1. 上古时代

网络安全的上古时代可从1986年C-BRAIN病毒诞生之日算起，到20世纪90年代初。这个时代的计算机系统相对简单，木马病毒的代码结构也比较简单，数量也较少，网络互联程度不高，破坏力和威胁性都很有限。最具代表性的网络安全事件包括磁芯大战、大脑病毒和莫里斯蠕虫的传播。

1.1 计算机病毒的理论原型

1946年2月14日，世界上第一台通用计算机在美国宾夕法尼亚大学诞生。这台名为“埃尼阿克”(ENIAC)的计算机占地面积约170平方米，总重量约30吨就在其诞生后仅3年，也就是1949年，冯·诺依曼就在其论文《复杂自动置的理论及组织的进行》中，首次提出了一种会自我繁殖的程序存在的可能。

冯·诺依曼的这一观点，被视为计算机病毒最早的理论原型。虽然目前的计算机病毒未必都有传染性或自我繁殖的特性，但早期的计算机病毒确实如此。

1.2 早期计算机病毒

（1）C-BRAIN

C-BRAIN（大脑病毒）是公认的第一个流行计算机病毒，由一对巴基斯坦兄弟编写。1986年，因其公司出售的软件时常被任意非法复制，使得购买正版软件的人越来越少。所以，兄弟二人便编写了大脑病毒来追踪和攻击非法使用其公司软件的人。

该病毒运行在DOS 系统下，通过“软盘”传播，会在人们盗用软件时将盗用者硬盘的剩余空间“吃掉”。所以说，人类历史上的第一个计算机病毒实际上是为了“正义”而编写的“错误”程序。

（2）莫里斯蠕虫

莫里斯蠕虫是第一个通过互联网传播的病毒，由康奈尔大学的罗伯特·莫里斯制作。

1988年，某国国防部的军用计算机网络遭受莫里斯蠕虫攻击，致使网络中6000多台计算机感染病毒，直接经济损失高达9600万美元。后来出现的各类蠕虫都是模仿莫里斯蠕虫编写的。罗伯特·莫里斯编写该蠕虫的初衷其实是向人们证明网络漏洞的存在，但病毒扩散的影响很快就超出了他的想象。为此，他被判有期徒刑3年、1万美元罚金和400小时社区服务。

1.3 主要特点

（1）感染性、破坏性的计算机病毒是主要威胁

该时代的网络威胁形式还比较单一，绝大多数都是带有感染破坏性的传统计算机病毒。目标主要是计算机，这些病毒感染计算机后，大多会有明显的感染迹象。就是说，病毒通常会主动自我显形；同时，不论传染方式如何，这些病毒大多自己发起攻击。这与后来流行的自我隐形、定点攻击的主流木马程序有很大的区别。此外，萌芽时代还没有智能手机，病毒攻击的。

（2）计算机病毒数量不多，攻击目的不同

萌芽时代绝大多数的流行病毒都是由制作者手动编写的，因此产量较低，平均每年流行的新病毒数量为几百到几千个。当时绝大多数病毒制作者都是“不可理喻”的，因为这些病毒除了搞破坏，就是搞各种恶作剧，病毒的“发作”通常都不会给毒制作者带来任何好处。制作这些病毒的目的，有的是验证问题(如莫里斯蠕虫)有的是炫耀技术，还有一些是伸张“正义”，如防止盗版(如打包病毒)或警示们应该给计算机打补丁等。

2. 黑客时代

2.1 计算机病毒的大流行

20世纪90年代中后期至21世纪初的最初十年，是计算机病毒大流行时代。随着Windows操作系统的全球普及，互联网的高速发展以及社交网站、网络游戏、电子商务的日益繁荣，大量计算机病毒涌现。

网络攻击逐渐成为“有利可图”的事，在利益的驱动之下，木马程序、挂马网页、钓鱼网站、流氓软件等新型攻击手法不断涌现，并开始呈现爆发式增长，网络诈骗的雏形出现。此外，针对企业和机构的DDoS攻击、网页篡改和渗透等活动也日渐活跃。

2.2 知名计算机病毒

计算机项攻击目标也开始从早期操作系统(如DOS)逐渐进化为Windows 系统，并开过软盘、光盘、互联网和移动存储设备等方式进行传播。世界范围内的“难”几乎每隔一两年就会爆发一次。

（1）CIH病毒

CIH病毒名称源于作者台湾大同工学院学生陈盈豪的名字拼音（Chen Ing-hau）缩写，CIH病毒可篡改主版BIOS, 破坏系统全部信息。

1998年6月2日，首例CIH病毒在中国台湾被发现；1998年6月6日，发现CIH 病毒V1.2版本；1998年6月12日，发现CIH 病毒V1.3版本；1998年6月30日，发现CIH 病毒V1.4版本；1998年7月26日，CIH病毒在美国大面积传播；1998年8月26日，CIH病毒实现了全球蔓延，公安部发出紧急通知，新华社和新闻联播跟进报导；1999年4月26日，CIH病毒1.2版首次大规模爆发，全球超过六千万台电脑受到了不同程度的破坏。此后，陈盈豪公开道歉并积极提供解毒程式和防毒程式，CIH病毒逐渐得到有效控制。

（2）爱虫病毒

2000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播，短短的一两天内就侵袭了100多万台计算机 [2] 。这个病毒是通过Microsoft Outlook电子邮件系统传播的，邮件的主题为“I LOVE YOU”，包含附件“Love-Letter-for-you.txt.vbs”。

打开病毒附件后，该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本，阻塞邮件服务器，同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。

（3）冲击波病毒

2003年8月，冲击波病毒席卷全球。该病毒利用微软网络接口RPC漏洞进行传播，传播速度极快，1周内感染了全球约80%的计算机，成为历史上影响力最大的病毒。

病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后利用DCOM RPC缓冲区漏洞攻击该系统，一旦成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。

计算机感染冲击波病毒之后的现象也非常独特，计算机在开机后会显示一个关机倒计时提示框，该框无法关闭，计时到0以后，计算机就会自动关闭。再次开机又会重复这一过程，使计算机无法使用。

（4）熊猫烧香

熊猫烧香是知名度最高的“国产”病毒。该病毒从2007年1月开始肆虐网络，感染的计算机数量达几百万台。该病毒的主要特点是，将计算机上所有的可执行程序的图标改成熊猫举着三根香样子的图片，并导致计算机系统甚至整个局域网瘫痪。

2.3 主要特点

相比于萌芽时代，黑客时代的攻击技术和攻击方式都有了很大的进步，为日后的黑产时代奠定了基础。总体来看，黑客时代的网络威胁主要有以下几个特点。

（1）安全失衡

随着个人电脑和互联网的高速普及，网络攻击技术的发展速度都大大超出了网络安全技术与服务的发展速度，使得应用与安全之间失去平衡，绝大多数的个人计算机都处于极低的防护水平。

（2）单兵作战

由于在这个时代入侵个人计算机非常容易，因此即便单兵作战，攻击者通常也会获得很高的收益且风险很低。也正因为如此，黑客时代的绝大多数攻击者都会单独行动，而绝大多数被攻击的人也都是普通网民。

（3）利益导向

随着挂马网页、钓鱼网站、流氓软件等木马程序与新型威胁“遍地开花”，利益驱动下黑客活动越来越猖獗。

3. 黑产时代

3.1 网络威胁持续升级

2010年后，随着免费安全软件的普及，普通个人计算机面临的直接网络威胁越来越小，动辄数百万台计算机被感染的事件几乎绝迹。但是，与传统网络威胁逐渐消失相伴的是网络黑产的日益成熟。信息泄露、网络诈骗等多种形式的网络威胁开始迅速地大范围流行。

3.2 代表性事件

（1）数据泄露

国内数据泄露问题最早被关注是在2011年，起因是国内知名的开发者社区CSDN发生大规模数据库泄露事件。此后，信息泄露问题在全球范围内持续高发。

（2）网络诈骗

信息泄露的直接后果之一就是网络黑市、网络诈骗横行。表面上看，信息泄露的责任主体是企业，但受影响最深的是普通网民。2016年，山东临沂女学生徐某因被网络诈骗而死亡，引发了人们对信息泄露与网络诈骗的高度关注。网络购物退款诈骗、机票退改签诈骗、冒充公检法诈骗等多种精准、高危的诈骗形式，让普通网民防不胜防。

3.3 主要特点

（1）黑色产业链体系化、专业化

攻击体系化、手段专业化、产业链条化是黑产时代网络威胁的主要特点。尤其是有组织的针对企业和机构开展攻击、获取数据，并精准实施网络诈骗是该时代的主要特点。

（2）智能手机与物联网设备成攻击目标

在萌芽时代和黑客时代，个人计算机都是网络攻击的主要目标。但进入黑产时代以后，智能手机很快成了各类网络威胁，特别是网络诈骗主要的攻击目标。同时，物联网设备防护能力低，漏洞修复不及时等问题，也使得其频频沦陷。2016年10月发生的某国断网事件，就是由一个控制了近90万个物联网设备,名为Miri 的僵尸网络发起的DDoS 攻击造成的。

4 高级威胁时代

4.1 高级威胁时代到来

所谓高级，其实就是指攻击手法高超且十分隐蔽，一般很难被发现，一般称这种网络威胁为高级威胁。如果这种高级威胁是持续不断的，那么就称其为高级持续性威胁（APT，Advanced Persistent Threat)。高级威胁时代以2010年的震网（Stuxnet）为序幕，以2017的影子经纪人事件为标志，高级威胁时代的全面到来。

4.2 著名的APT组织

（1）方程式组织

2017年4月，黑客组织“影子经纪人”在互联网上公布了包括“永恒之蓝”在内的一大批据称是“方程式组织”(Equation Group)漏洞利用工具的源代码。

方程式组织是一个由卡巴斯基实验室于2015年发现并曝光的尖端网络犯罪组织，该组织被称为世界上最尖端的网络攻击组织之一，同震网（Stuxnet）和火焰（Flame）病毒的制造者紧密合作且在幕后操作。方程式组织的名字来源于他们在网络攻击中对使用强大加密方法的偏好。其与美国国家安全局（NSA）存在联系。并且该组织使用的C2地址早在1996年就被注册，暗示了其存在了20年之久。该组织实力雄厚，在漏洞方面具有绝对优势，并且拥有强大的武器库。涉及的行业包括政府和外交机构、电信、航天、能源、核研究、军事、纳米技术、宗教活动家、媒体、运输业、金融行业等。

2017年的5月12日，一个利用了“永恒之蓝”工具的勒索病毒 WannaCry开始在全球范围内大规模爆发，短短几个小时内，就有中国、英国、美国、德国、日本、土耳其、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等国家被报道遭到了WannaCry的攻击，大量机构的设备陷入瘫痪。据媒体报道，受此次病毒影响的国家超过100个。这是自冲击波病毒之后，全球范围内最大规模的一场网络病毒灾难。

（2）海莲花

海莲花（OceanLotus）组织，似越南政府背景，攻击活动至少可追溯到2012年，长期针对中国及其他东亚国家（地区）政府、科研机构、海运企业等领域进行攻击。其会对在越南制造业、科技公司、消费品行业和酒店业中有既得利益的外国企业进行了长时间的入侵与渗透，以及一直会以外国政府和对越南持不同政治意见的个人和媒体为主要目标。从2012年至今，持续对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行长时间不间断攻击。至今十分活跃。

4.3 主要特点

（1）国家级APT实力急剧上升

在国家和地区的大力支持下，国家级APT组织实力正在急剧上升，单个企业、政府部门、基础设施难以应对，势必导致国家级APT组织的产出投入比持续增加，而这也将进一步刺激国家加大对这些APT组织和网络攻击方面的投入。此外，当其他国家和地区支持的APT组织在网络空间中为所欲为时，也将刺激受攻击的国家和地区发展官方APT组织。

（2）新一代网络安全技术开始受到重视

高级威胁的出现，使得绝大多数的传统安全方法失效，以大数据、流量分析、威胁情报等技术为代表的新一代网络安全技术开始受到重视，并在应对高级威胁过程中得以快速发展。而一家安全机构对APT组织及其行动的研究和发现能力，也在一定程度上代表了这家机构的综合能力。

5. 网络安全技术发展总结

网络安全技术的发展是攻防持续对抗升级的产物，主要经历了以下三个主要阶段：

（1）第一代：特征码查黑

核心技术：特征码查黑

所谓特征码，简单来说就是病毒所特有的程序代码或代码组合(病毒特征库)，杀毒软件的作用就是拿着一系列特征码和计算机中的程序文件进行比对，一旦匹配，就将程序文件判定为病毒并进行杀毒。特征码技术也被后人视为一种“非黑即白”的杀毒技术，也可以说是一种“查黑”技术。

同时，特征码技术主要针对静态样本的源代码，而不太关心程序的行为活动，导“先感染，后查杀”的情况屡屡发生。另外，特征码的提取对样本分析师的技术水平要求很高，所以当时安全机构能力的高低往往取决于样本分析师的数量和素质。

（2）第二代：云查杀+白名单

白名单的思想是，除确认可信的程序以外，其他一切程序都不可信，都必三接受包括云查杀、主动防御等安全技术的监控。

云查杀技术将原本放在计算机中的特征对比工作放在了服务器中，从而解了计算机的计算和存储资源，同时实现了病毒特征库的实时在线更新。特别是基于程序指纹的杀毒技术出现以后，病毒只要被发现确认，就可以越过特征分被立即查杀。

主动防御技术是指对程序的行为进行监控，一旦发现如篡改驱动、秘密下载修改浏览器设置等危险操作，就会立即采取防御措施并对用户进行提示的技术。这种方法对于防范黑名单之外的木马程序非常有效。由于主动防御技术也属于种“查行为”的安全方法，因此，有些情况下它也被视为二代半的安全技术。人工智能引擎首先对程序文件建立数学模型，之后提取程序文件多种维度的数学特征和代码特征，再通过机器学习形成判断规则，最后自主判断哪些程序的特征组合是有害的，哪些是无害的。

第二代网络安全技术的特点可以概括为“查白”。这一代技术立足于动态防御:目标是“御敌于国门之外”。同时，人工智能引擎的出现大大降低了人工分析的观度，多数情况下，样本分析人员只需要判断一个序是好是坏就可以了，至于她何提取特征，由计算机完成。

（3）第三代:大数据+威胁情报

随着移动互联网、物联网的飞速发展，设备多样化、系统复杂化，同时攻击多呈现元化。一是攻击者目的的多元化，脱库、勒索、挖矿、窃密；二是攻击者身份的多元化，黑客、APT组织、内鬼；三是攻击者手段的多元化，渗透、扫描、预制(设备或软件出厂时带后门)、钓鱼、漏洞、社会工程学等。

此时，以大数据、威胁情报、人工智能、协同联动等技术为代表的第三代网络安全技术涌现了出来。第三代网络安全技术的特点可以概括为“查行为”。这一代技术的核心目标不再是程序与程序的对抗，而是人与人的对抗。安全工作者对抗的目标是“攻击者与攻击者的行为”，而安全技术和产品则成为延伸“人”的能力的工具。在这个时代，网络安全工作对“人”提出了更高的要求，远超此前的任何一个时代。

（4）总结

• 从查黑，到查白，再到查行为
• 从静态，到动态，再到大数据
• 从先感染后查杀，到“御敌于国门之外”，再到快速发现、快速响应