2008年9月24日。新世紀飯店的一間小會議室里，坐著兩位院士，幾位司局級信息安全專家，還有國家863計劃的某個課題組長，還有幾位機要部委負責信息安全的處長們。

　　兩臺不同電腦開始演示。一個技術人員從網上找到一個木馬，下載之后，控制了另一臺電腦。屏幕上清楚地顯示，一臺電腦被完全監(jiān)控。隨后，監(jiān)控程序甚至打開了另一臺電腦上的攝像頭。更驚人的是，像這樣的程序，可以同時監(jiān)控多臺電腦，如同我們在電視上看到的路況監(jiān)控臺。 

　　而這臺被控制的電腦里已裝上的殺毒軟件居然毫無察覺。 

　　這樣的事情很多。一位電子政務的處長說，“信息安全問題嚴重性越來越大，發(fā)現(xiàn)的問題都不是小事”。他說的不是個人用戶，而是，政府部門信息系統(tǒng)。 

　　這是在，國家863計劃“基于程序行為自主分析判斷的實時防護技術”課題組召開的“病毒防范現(xiàn)狀與國際病毒防御技術最新發(fā)展趨勢”高端研討會上的一幕。 

　　百萬“肉雞” 

　　上網搜一下，你就可以看到各種“黑客”報價，諸如，一萬只“肉雞”叫賣1000元——大約每只“肉雞”0.1元。所謂“肉雞”，簡單解釋是指在互聯(lián)網上被黑客遠程控制的電腦。被遠程控制有的有如上面所描述的被完全監(jiān)控，打開攝像頭。而更多的是，長期潛伏。監(jiān)控用戶動作竊取一切有價值的東西，諸如密碼，虛擬財產，個人隱私等等。甚至，還有一些是被控制的計算機屬于僵尸網絡，通過攻擊網絡進行敲詐。 

　　例如，媒體報道，有人利用木馬病毒偷拍下夫妻生活，敲詐5000元。再例如，媒體報道，有人在網上花70元購買的病毒，2小時內竊取到3萬元。 

　　“現(xiàn)在互聯(lián)網上，被秘密控制的電腦已經達到數(shù)百萬臺”，國家863計劃“基于程序行為自主分析判斷的實時防護技術”課題組組長、著名反病毒專家劉旭對記者表示，病毒的趨利性正在變得日益明顯。劉旭分析，“肉雞之所以賣得這么便宜，正是因為數(shù)量巨大”。 

　　例如，有人在網上花70元購買的病毒，2小時內竊取到3萬元。 

　　國家計算機網絡應急技術處理協(xié)調中心統(tǒng)計顯示，2007年監(jiān)測到中國內地有90萬個IP地址主機被植入木馬，比2006年增加21倍。另外，2007年的抽樣監(jiān)測發(fā)現(xiàn)，內地有360萬個IP地址主機被植入了僵尸程序，2007年各種僵尸網絡被用來發(fā)動拒絕服務攻擊一萬多次，發(fā)送垃圾郵件110多次，實施信息竊取操作3900多次。調查發(fā)現(xiàn)，黑客如果利用僵尸網絡對某一個特定的目標實施拒絕服務攻擊的話，破壞力將會更強，互聯(lián)網數(shù)據中心IDC機房很容易遭遇類似的攻擊。目前，我國監(jiān)測到最大規(guī)模的僵尸網絡達到了129萬個僵尸節(jié)點。 

　　在中國互聯(lián)網上，有數(shù)百萬 

　　專家說，“這個數(shù)據還是保守估計”。 

　　病毒“行銷增值一條龍” 

　　現(xiàn)在，這種獲利性病毒已經形成了一條完整的產業(yè)鏈，有專門從事生產的病毒制造者，他們只管生產病毒，有下家接手。 

　　有控制大量“肉雞”兜售“市場”的專業(yè)“分銷商”。他們不從事具體破化和竊取，只是販賣“渠道”，販賣大量“肉雞”給那些需要作惡的人，這算是“批發(fā)業(yè)務”。 

　　有專門從事最終渠道的兜售者，他們像零售商一樣。 

　　有花錢買來作惡的病毒最終“消費者”，他們利用買來的病毒進行破壞，竊取，敲詐，攻擊。 

　　更離譜的是，還有專業(yè)的病毒制作“培訓”。這一切都是公然在互聯(lián)網上進行，網民可以以很低的成本獲取。 

　　這種病毒趨利化的趨勢，不僅危及到了個人用戶的利益，更對國家信息安全和信息化造成了威脅。與會的電子政務專家陳拂曉指出，一年多以來，我國政府遇到的泄密事件里面，有相當多是由于木馬盜竊泄露出去的。陳拂曉表示，出于對泄密的擔憂，一些新的應用開發(fā)不得不被停止，“這產生的結果，就是嚴重影響了國家的信息化。” 

　　殺毒軟件“死了” 

　　“基于原來原理的殺毒軟件每天都要升級特征碼，這個受不了?，F(xiàn)在是不升級，而是升級了實際上也沒有多少用”。來自中辦秘書局一位負責信息系統(tǒng)的處長說。 

　　“作為我們來講，受病毒侵害很深。我們覺得互聯(lián)網的問題嚴重性越來越大，發(fā)現(xiàn)的問題都不是小事”。國務院辦公廳電子政務辦公室的劉慈副處長也深有感受。 

　　同樣憂心忡忡的還有財政部信息網絡中心運營維護處的趙曉光處長，以及國家保密局攻防實驗室的相關負責人。本報記者在“病毒防范現(xiàn)狀與國際病毒防御技術最新發(fā)展趨勢”高端研討會上看到，這樣的擔憂已經很普遍，基本達成共識。 

　　他們，都是信息安全技術的“關鍵”用戶。 

　　“反病毒軟件非常容易被攻破”，得出這一結論是來自美國SonomaState大學的教授GeorgeLedin，他帶領自己的學生們模擬“黑客”進攻，這一切都是在學校內部的封閉網絡進行的，以防止危害互聯(lián)網，實驗結果是，絕大多數(shù)殺毒軟件本身是沒有什么用。 

　　根據瑞星公司今年發(fā)布的研究報告，黑客利用加殼等手段產業(yè)化、自動化生產病毒成為趨勢，使得病毒數(shù)量暴增，一個熟練的病毒工程師每天可以分析40到50個樣本，但目前每天出現(xiàn)在網上的病毒樣本平均是3000到4000個。這樣的生產速度，幾乎已經達到了廠商捕獲和分析能力的極限。 

　　今年年初，國內三大殺毒軟件廠商——江民、金山、瑞星都先后推出2007年年度安全報告，都提出，傳統(tǒng)殺毒軟件技術難以防范新病毒。而在賽門鐵克的用戶大會上，專家也認為，“殺毒軟件將死”。 

　　“現(xiàn)有的殺毒技術非常脆弱。”劉旭說，“現(xiàn)在用戶的計算機已經很少沒有安裝殺毒軟件，但是超過千萬臺的計算機被黑客控制，而這些‘肉雞’和‘僵尸’上安裝的殺毒軟件卻對病毒視而不見。” 

　　“所有的殺毒軟件都是跟著病毒跑，滯后于病毒。”在中國工程院院士倪光南看來，反病毒產業(yè)發(fā)展到當前，“跟著病毒跑的話，特征庫也會越來越大，將來掃描起來可能需要很長時間，所以我覺得需要創(chuàng)新。” 

　　主動防御真假論 

　　隨著“殺毒軟件將死”的論斷被普遍認可，全球信息安全廠商也紛紛開始“主動防御”的探索，但迄今為止，國際上沒有純粹的主動防御產品，很多殺毒軟件里的“主動防御”功能頻繁誤報使得用戶反饋不好，甚至對主動防御產生誤解。這讓殺毒軟件廠商只能把“主動防御”作為缺省“不使用”。 

　　“目前國內外殺毒軟件提供的所謂主動防御功能，實際上還只是處于主動防御的初級階段”，劉旭在研討會上分析，“舉一個很常見的例子，在使用某款號稱具有智能主動防御功能的產品時，經常會遇到‘有程序正在向您的計算機設置全局掛鉤，是否允許’之類的提示。什么叫全局掛鉤？一般用戶可能不理解，也就無從選擇。用戶使用殺毒軟件，就是將殺毒防毒的工作交給軟件，現(xiàn)在反而要自己進行判斷，這是不合理，更是不負責任的。現(xiàn)在的殺毒軟件越來越像‘高手’專用的，表面上是易用性不足，實際上是這些產品還沒有真正成熟的主動防御技術。” 

　　主動防御技術是依據程序行為，自主識別和判斷程序是否是病毒的一項反病毒新技術。它通過對病毒行為規(guī)律分析、歸納、總結，并結合反病毒專家判定病毒的經驗，提煉出病毒識別規(guī)則知識庫；模擬專家發(fā)現(xiàn)新病毒的機理，通過分布在用戶計算機系統(tǒng)上的各種探針，動態(tài)監(jiān)視程序運行的動作，并將程序的一系列動作通過邏輯關系分析組成有意義的行為，再結合應用病毒識別規(guī)則知識，實現(xiàn)對病毒的自動識別。劉旭認為，主動防御技術是解決目前病毒危害比較理想的反病毒技術。 

　　根據微點公司對近百萬種病毒的測試表明，微點主動防御軟件能夠有效防范99%以上的未知病毒。 

　　“我們組織了專家對微點軟件進行檢測，檢測后我們認為技術層面上是很好的，是個很了不起的成果” 中國工程院院士周仲義對微點主動防御技術給予高度評價。“國家863每個課題都有七到八個，從反病毒角度來說，我們布置的不多，所以你們拿到863課題，說明專家對微點的技術方案、技術思路，是認可的。” 

　　國家863計劃信息安全技術主題專家組組長、首席專家馮登國教授說，“863計劃十一五要總結出很多亮點，希望這個能夠作為一個亮點被總結。” 

　　肩負財政部信息安全重責的趙處長說，“覺得有了新的希望”。