一、起点

2023年9月12日，计算机病毒百科(Virusview.net)的威胁通缉令(简称通缉令)专栏正式上线。大家一定会问通缉令是干什么的？什么样子的？让我们来一一揭晓。

每年例行发布威胁通缉令是安天发起的一项安全知识科普教育活动，安天CERT工程师依托年度监测分析统计结果，每年年初对上一年度有代表性的安全威胁进行提炼总结——例如APT攻击中的恶意代码工具或利用的0day漏洞、有较大传播感染范围的恶意代码、有特殊技术特点的恶意代码等等，将其分类整理，并最后印刷在一套扑克牌上。通缉令是扑克牌卡牌的形式，对应扑克牌的四种花色“红心♥”、“黑桃♠”、“方块♦”、“梅花♣”，每个花色各13张，大王和小王总计54张。4种花色对应上一年影响最大的4类威胁，同时每类威胁按照综合的评估原则，列出13个典型的具体威胁，大小王为上一年度最值得关注的TOP1和TOP2威胁。在威胁的刻画方面，占据最大版面的是手绘的威胁可视化形象，一张张凶残的威胁病毒形象，生动的刻画了隐藏在网络背后攻击者的丑陋面目。通缉令卡片还提供了威胁首发时间、威胁名称、通俗缩写和简要描述，当然如果想要了解该威胁的详细信息可以点击图片，进入计算机病毒百科的关联词条了解威胁防御和解决方案。

图1 威胁通缉令

安天在2010年开始设计最初版本的“病毒通缉令”的想法时很简单，就是想依托打造一件能宣传安天AVL SDK反病毒引擎的科普风小纪念品。由于病毒与恶意代码本身就是抽象的东西，而反病毒引擎又是一种中间件，所以我们很难讲清楚我们的工作价值。当时有朋友去国外旅游，带回来国外将通缉犯照片印刷到扑克牌上的宣传品。我们一下获得了启发，既然现实社会可以“通缉”嫌犯，那么网络空间为什么不能通缉病毒和安全威胁呢？

我们当时有一个很好的基础，就是安天内部已经有一个贴在墙上的反病毒博物馆（关于博物馆的故事我们将在未来的Blog中揭晓），安天的平面设计组根据安天CERT梳理的经典病毒信息，把病毒绘制成漫画的形象，我们从中抽取出来就好了。

二、花色变迁与更名

最早一期的病毒通缉令基本是计算机病毒的历史科普，大部分病毒都是历史名气和影响力较大，或者有特殊的技术特点的。但其中较大比例都是DOS时代的古董，不太符合我们的“通缉令”的初衷设定。于是我们从第二版本更新时就确定了，只保留有活性病毒的原则。并确定了每年迭代更新一版，对存量只保留依然有较大危害的，同时把新的病毒上榜。

我们最早形成的花色分类思路也很简单，就是按照恶意代码的类型，由于恶意代码的基础类型是感染式病毒、蠕虫、特洛伊木马，先天可以用三种花色来标识，再把安全危害不大、但网民非常反感的流氓软件（色情广告件）作为一种花色。此后随着安天开始建设武汉移动安全研发中心，发现和捕获了更多手机终端的安全威胁，安天也开始了“砸锅卖铁搞移动引擎”重点研发突破，于是到了2012年版本，就把移动侧的恶意代码单独作为一种花色，取代了色情广告件。

后续我们也根据安全威胁的情况进行了多次花色的调整，比如实际上在整个恶意代码的结构占比、以及重大影响的安全事件中，感染式病毒和蠕虫是相对较少的，主流的恶意代码类型不具备主动感染传播能力。与此同时，2010年后安天CERT人工安全分析投入占比中，APT攻击的分析、溯源也占到了压倒性的地位，因此我们将带有主动传播复制属性的病毒和蠕虫合并到统一花色，而把APT攻击相关恶意代码单独增补为一个花色。

通缉令大小王都是当年威胁最严重的威胁类型，或者重大威胁隐患趋势。最近几年，通缉令一直都是大王“APT攻击”、小王“勒索攻击”。但前面几年大小王，也是我们讨论争议的热点。

三、风格和形态

从威胁可视化形象维度来看，对于威胁应该是什么样子的？我们内部也有很多分歧和讨论。安天蓝色飞翼Logo的设计师猛子（MP）同学执着于魔幻炫酷风，而当时的另一位主力设计师桂月同学作为女生则偏重于日漫科普风。所以早期的版本中两种风格混杂。安天人民群众也分成两派，男同学们相对更喜欢前者，而女同学们则更喜欢后者。后来特别喜欢克苏鲁的Seak还是钟情前者，所以最后就形成了统一的风格。现在回想起来Seak果然没有眼光。如果按照日漫风格走下去，也许今天的泡泡马玛特就可以有“威胁通缉令”盲盒了。但安天引擎和CERT的多数工程师还都更喜欢这种显得更“凶残”的威胁形象，这更能彰显我们的打败这些妖魔鬼怪的勇气和能力自信。

威胁通缉令两种风格对比

很多业内朋友是在找不到扑克时想到安天的威胁通缉令，但可能多数人已经不记得通缉令的历史上曾经在2012年尝试采用两套牌的方式，做过扑克和桌游两个版本。

我们尝试用病毒的一些特性作为buff，实现桌游上的安全对抗知识学习。但由于规则过于复杂，导致反响平平。但这一尝试为安天安全可视化重心在开发安全培训平台中，基于技能卡片的模式构建防御能力训练环境，提供了非常好的摸索。而通缉令也迅速回归更加普遍通用的扑克牌形态。

图3 历年威胁通缉令

四、AI来了

病毒百科是安天加速大模型平台建设应用的副产品，而这个过程中一个意外的收获就是把威胁转化为动漫形象的效率大大提高。由于这个形象绘制是一个艺术创作过程，所以安天MP网安文化工作室（其实只有猛子等俩人）才是通缉令节奏的“定速步骤”，通常都要跳票多次的。

从去年年末开始， Seak就开始了“硅谷2/5工程师会被大模型平台淘汰”的恐吓。安天是有自动化积累的，早在2001年，Seak和老张高度自信，可以用自动化分析取代绝大部分病毒分析员，而安天真的做到了，从2004年就开始尝试全自动分析每日增量恶意代码，并自动提取特征。如何才能把握新的变革趋势，从辅助编写和审查代码、特征工程质量提升、流量检测能力改善、XDR关联分析到代替工程师运维，开始了多点尝试。

没想到最先取得成果的却是猛子，他在同事们的协助下，基于开源，快速利用安天赛博超脑的算力，构建了一个绘图平台，然后就是尚未画完的按照他的估计还需要三个月的工作，竟然在一天晚上完成了。（这该死的求生欲）

五、上站

从2012年安天的小伙伴守在中国互联网大会的大门口第一次分发病毒通缉令，到今年支持网络安全宣传周的安全科普一条街。我们已经坚持了这项反病毒和安全威胁的科普活动12年。通缉令作为科普宣传品，对安天人来说这是一份公益性质的工作，每年威胁榜单的讨论的遴选、内容编写、形象绘制，都是不算工时的，我们坚持，在于我们热爱与威胁对抗的事业，我们也希望更多人了解威胁、知道威胁原理。通缉令坚持发放让更多人比较直观的了解最新的威胁和恶意代码的危害等，但受限于卡片的数量、更新频率、卡片版面的大小，感兴趣的用户很难深入了解威胁的行为机理、防御方案等信息，因此计算机病毒百科兴趣小组决定将威胁通缉令上线计算病毒百科，并把通缉令内容和百科词条打通，用户在浏览威胁通缉令专题的时候，可以查看关联的威胁词条，进一步了解威胁的详细信息。当然由于计算机病毒百科的本身我们设定的信息幅宽所限，我们并未在百科中提供详细的攻击组织等信息，对应的通缉令卡牌点击后，只有简单的知识词条，安天威胁情报平台的用户则可以在情报平台中检索查看。

同时由于病毒百科还没有完善DOS时代之前较为古老病毒知识词条，加之2014年我们对病毒分类命名调整和割接系统原因，目前通缉令2011~2013年的内容暂时仍未上线，我们预计将在12月上线相关内容。

六、最关键的来了

说了这么多，最后也不要忘记威胁通缉令是一副扑克。查杀病毒和恶意代码是安天AVL SDK引擎的战场；而掼蛋、拖拉机、斗地主是通缉令扑克的战场。

先进反病毒引擎，我们创造；朋友们的掼蛋装备，我们承包！

欢迎大家反馈对病毒百科的改善意见。更欢迎业界同仁、研究机构、研究者、爱好者，和我们一起共建计算机病毒百科，欢迎大家发送邮件到ti_support@antiy.cn。我们会给提交有效建议的小伙伴邮寄最新版的病毒通缉令。

安天研究院计算机病毒百科兴趣小组
2023年9月13日