当年给某高校恶意代码研究组的一封公开信[2003年]

写在前面：有朋友看到再谈反病毒领域工程化技术与科学方法的结合一文提到的公开信，向我索取，索性贴出来吧，突然发现我记错了，我以为信是05年的，其实是03年底的。想起来了，那天是PACT-ANTIY病毒监控预警平台上线测试两周年的日子。

亲爱的恶意代码研究组兄弟们：

在开发的协作之外，有很多想法希望和大家交流探讨，一直没有找到合适的机会和方式，因此写了这封信。

关于研究方向：

对于研究方向，从我个人来说，我一直钦佩大家投入这个方向的勇气，我们感觉病毒领域工程化过强，不容易出学术成果，这应该是事实。但同时我也不希望我们产生方向上的迷茫感。与我们在工程领域所取得的很多突破相比，我们的学术研究的确似乎在停滞。因此深为担忧就是我们的方向会陷于对病毒的无端恐惧、对建模的盲目崇拜和对体系架构和其他宏观方面的片面追求之中。

缺少了解的东西才会让人感到恐惧，难以驾驭的东西才会去崇拜，自认为是捷径的东西才会偏执的去追求。这其中映射了我们很多的不足。反映小组对走出所擅长的网络层面心存惶惑，试图绕过病毒是一种“程序”这个事实，而试图通过宏观的角度、套用算法的角度来毕其功于一役的解决问题。

所谓恐惧当然不是说我们害怕感染病毒，而一方面在于在于对病毒在深入剖析能力，准确的剖析方法上的不足，另一方面在于没有剖析过足够多的病毒，难以产生一种真正的总结和飞跃。

还记得关于中国反病毒历史上，关于检测未知病毒的争论吗？

A说：“如果你分析过100个病毒，你就知道检测未知病毒是不可能的”

B反驳说：“如果你分析过1000病毒，你就知道该如何设计未知病毒的检测了”

如果不能深入的去了解和分析，就不会产生诸多的概括、总结和升华，但事实上病毒分析并非很困难的东西，当然也不是所谓纯没有层次的体力活。在其中找到乐趣，找到规律。将为我们的研究打下良好的基础。

所谓盲目崇拜不是说我抵制数学建模，我只是认为在组内，建模的难度和玄妙，被无端扩大化了。这实际反而映射出是数学功力的不足。建模的成功，是一种整体积累，单点突破的成果，不进一步扎实数学基础，只是想从海外的paper里面寻找一些灵感，可能会造成思路狭窄，亦步亦趋。

对体系架构上的偏执，一定程度上同样反映对于微观领域的不足。如果在微观领域没有足够的分析和研究，直接去寻找普遍规律。我觉得基础是不够稳固的。同时，我们应该避免那种每看到一篇论文的盲目倾慕感。看到算法的，羡慕他们的算法基础，看到有丰富数据和实验环境的，羡慕他们的研究条件。而应该去想，我们自己有什么，我们自己能做什么。

最近我与其他高校从事病毒研究的一些人员有所交流，他们很倾慕实验室的现有条件，有良好的网络平台，有足够的病毒样本资源等等。

很多领域都大有作为，也包括病毒分析的微观领域：

如病毒检测的完备性描述方法

脚本压缩与描述方法

病毒变形算法描述与抗变形问题

基于样本静态信息的数据挖掘评估方法

针对海量行为分析数据的神经网络分析等

…

等等，我觉得其中的点不下30个。筛选起来，有很多可以有作为的东西。

关于工程化和学术化关系：

我曾经对某些学术成果评价不高，包括上一次对于小波问题的诘问，有同仁认为我有反学术倾向，实际并非如此。

我的确一直认为“反病毒产品的巨大成功，是与其完成了由科学界让位于工程界，由政府行为让位于企业行为，由民间自发让位于商业自觉是分不开的。”

但我也同时认为，反病毒技术走到今天，一定程度上开始缺少科学的预见，和学术的指导，正在陷于工程化迷思。但这种迷思，绝不会由完全不了解反病毒历史和传统技术内核的人来打破。

我之所以一再强调现有工程化技术，是既不希望我们试图完全抛弃现有工程化基础，而完全盲人摸象去摸索，也不希望我们再去做工程界若干年前做的事情。从反病毒从学术化回归工程化的10多年中，工程领域所取得的很多研究成果都有很高的学术价值，只是没有被公开而已，而我们要作事情之一是以此为基础，进行归纳和升华，并有我们的理解和发展。我们应该基于对现有反病毒领域工程化技术的理解、掌握，把这些作为我们研究的基础。用一种站在巨人肩膀上的态度，而不是绕着走的态度。

关于人与人之间的协作：

有些问题不是小组的单独问题，也不是工大的问题，是整个学术界的问题。在解决一个个具体问题的时候，我们通宵达旦，协同作战。但对于思路、方法，论文的方向，我们是否小心翼翼，不使“春光外泄”。

搭建一个研究方向，应该是一个群体的行为。我个人认为，如果不是那种昙花般的一两个个体成果或者论文，而要一个整体的效果的话，需要满足若干条件：

1、一个比较适当的基础领域

2、一个相对饱满的理论空间

3、一个或者多个基础公共算法

4、一套完善的整体实验资源

5、一套相互配合的研究人员

…….

这些都不是单打独斗所能为之。但至少有很多人对分工和配合能否形成风气和制度表示怀疑的。

学术研究团体，如果需要成功，必须有配合、有互补，而不能每个人单独作战，在这方面，1+1是绝对大于2的。

关于理想：

学术成果诞生，需要有客观条件，但更需要一定的主观基础，科学知识基础，实证精神与探索毅力。但有一点我是深信不疑的，那就是如果有科学理想的指引，无论科学知识的积累，还是对科学实证的坚持，科学探索中那种坚持不懈毅力的巩固，都是有很大裨益的。

我不想空泛的谈什么道德理想，我只是想说，才华如果湮没于 “发论文、毕业、分配好单位”，那么可能也就只能做到这些。这不能不说是“发不了论文，毕不了业”的忧郁的由来。

如果一个更高远的目标存在，很多短期目标就会变得简单，而容易跨越。那是因为当有一个更高远的目标的时候，我们就有更强的动力，而也能更多的享受到研究和工作带给我们的快乐，不是么？

很多兄弟说在上次与兄弟专业交流时，被L博士镇了，我对L博士亦多有仰慕，但我相信很多时候，并不存在水平问题，而是一个目标问题，我相信他不是一个以“发论文，博士毕业”为目的的人，而是他对科学技术的挚爱和追求驱动他取得成就。

想一想，在80年代初期，我们的民族沐浴在1+2等许多成果的光辉里，那时中华民族是最崇尚科学知识的民族，是整个民族都有科学理想的民族。而如今的我们的国民，包括我们的一些精英知识分子，却很多是最现实主义最功利化的。想来深觉可叹，当然，这是我的个人看法。

想到几点，就写了几点，只是一个交流。安天和大家已经协作了很长时间。我们共同解决了很多问题，难点。在这端时间里，无论我个人还是安天，都在这个合作中，从大家身上学到了很多东西，包括技术上的，非技术上的，都有很多值得学习和借鉴的东西。希望今后双方更深入的交流，知无不言，言无不尽。我期待2年后，恶意代码研究组将是这个领域的学术领导者。我们会成功的。

你们的seak

2003年11月18日夜