拯救互联网 网络熵有望狙击Storm蠕虫(4)

　　链接一

　　熵和网络熵

　　在热力学中，熵指物理系统(如一杯冰水、气球中的气体或太阳系)的现状出现的变化。它是“分子无序”的度量。1877年，奥地利物理学家Ludwig Boltz mann设想用一种概率方法来衡量气体分子集合的熵。Boltzmann证明了集合的熵与这种气体拥有的微观状态数成比例。

　　什么是分子的结构呢？不妨考虑气温，气温由分子移动的平均速度决定。室温可能是20℃，但有些分子的移动速度会很快，比如门开后突然吸入的气流。熵体现了哪些分子以哪种速度移动的不确定性。

　　就一组特定的宏观量如温度和体积而言，熵衡量系统(这里指室内空气)的概率反映了在不同可能状态下分布的程度。举个简单的例子，如果掷一副骰子，会有11种不同结果，而有些结果的概率较高。可能性和概率的完整数组就是概率分布(probability distribution)—比如得到2只有一种可能，而得到6有五种可能、得到7有六种可能。同样，室内的每个气体分子有许多不同的可能位置和速度。

　　就一个骰子可能结果分布的熵而言，每种可能结果都有同样概率(1/6)，所以概率分布是平的。这种情况下，分布结果没什么可以预测的。它们是完全随机的，这种分布的熵非常高—实际达到了最大值。以两个骰子为例，有几种可能组合或者结果的概率要高于另几种组合。比如说，7的概率比11的概率高得多。所以如果把两个骰子掷25次，结果比把一个骰子掷25次的随机性小。换一种说法是，两个骰子系统的熵小于一个骰子系统。据此能更可靠地猜出特定结果。

　　所有可能位置和速度的数组形成了气体的分布概率。因为熵理论其实旨在根据一系列结果概率来描述系统的结构，所以就能把高或低的熵与结果的高或低概率联系起来。所以，热力学上的熵(就像气体分子处于预测状态的概率)与我们对某系统了解的信息量大致相当。

　　链接二

　　病毒和蠕虫的攻击机理

　　病毒是种程序，可自我复制，在用户不知道的情况下感染计算机。它常常会破坏计算机的文件甚至硬件本身。同样，蠕虫也是自我复制的计算机程序，使用网络把蠕虫副本从一台计算机(名为“主机”)发送到网络上的其他计算机。蠕虫经常通过耗用带宽来危害网络。

　　电子邮件蠕虫这种最常见的蠕虫传播缓慢，原因是用户点击附件后才会被感染或者传播蠕虫。Storm通过各种途径植入到主机上，而最常见的途径是电子邮件附件。但并不是所有蠕虫都是通过电子邮件传播的: 2004年，“震荡波”(Sasser)这个臭名昭著的蠕虫利用了微软Windows的网络漏洞，指令被感染系统下载并执行病毒代码。这种蠕虫的传播速度确实很快。虽然“震荡波”之后没出现过灾难性的蠕虫，但网络安全系统仍得防范这种攻击，因为我们根本不知道下一个蠕虫会何时突然袭击。

　　面对可能迅速出现、防火墙无力应对的攻击，许多公司和政府如今依靠出售通信带宽给自己的互联网及其他服务提供商，以便网络流量进入之前先“清理”。全球最大的运营商正在竭力这么做，包括AT&T、BT、韩国电信、NTT和Verizon。它们是互联网的支柱，每天承载着全球的大部分流量。但它们拥有世界上最庞大、最复杂的网络，因而流量检查起来绝非易事。

　　首先，这些全球性网络有几百个出入口。如BT Global Services在全球170个国家开展业务，在每个国家就要为成千上万的大公司和服务提供商提供连接。不过，防火墙及其他安全技术旨在保护每一条“链路”即互联网连接—每家公司的广域网在此处与运营商交换数据。其次，防火墙设备运行于公司网络的速度，而不是AT&T和NTT等运营的那种骨干网。而公司网络的运行速度通常在1Gbps以下。为这种网络设计的商用防火墙产品根本无力保护含有数千条链路、链路核心速率快10到100倍的网络。