楊義先　鈕心忻

編者按：網(wǎng)絡(luò)空間安全作為一項(xiàng)新的全球治理議程，已經(jīng)成為世界關(guān)注的焦點(diǎn)、各國政府的戰(zhàn)略目標(biāo)之一，但人們對(duì)網(wǎng)絡(luò)空間安全的研究，還缺乏全面系統(tǒng)的理論指導(dǎo)，針對(duì)該問題，我刊特轉(zhuǎn)載自《科學(xué)網(wǎng)》一篇由北京郵電大學(xué)楊義先、鈕心忻教授編寫的《安全通論——攻防篇之“盲對(duì)抗”》（原文網(wǎng)址：http：//blog.sciencenet.cn/blog-453322-947304.html）。在該文章中，給出了黑客攻擊能力和紅客防御能力的可達(dá)理論極限，并巧妙地構(gòu)造了一個(gè)隨機(jī)變量Z =（X+Y ）mod2，將一次真正成功的攻防問題，等價(jià)地轉(zhuǎn)換成了攻擊信道（X ；Z ），同時(shí)恰到好處地應(yīng)用了看似并不相關(guān)的仙農(nóng)編碼定理。

摘要：精確地給出了黑客攻擊能力和紅客防御能力的可達(dá)理論極限。對(duì)黑客來說，如果他想真正成功地把紅客打敗k次，一定有某種技巧，使他能夠在k /C次進(jìn)攻中，以任意接近1的概率達(dá)到目的；如果黑客經(jīng)過n次攻擊，獲得了S次真正成功，那么一定有S ≤nC。對(duì)紅客來說，如果他想真正成功地把黑客擋住R次，一定有某種技巧，使得他能夠在R /C次防御中，以任意接近1的概率達(dá)到目的；如果紅客經(jīng)過n次防衛(wèi)，獲得了R次真正成功，一定有R ≤ND。這里C和D分別是攻擊信道和防御信道的信道容量。如果C D，則紅客輸；如果C =D，則紅黑實(shí)力相當(dāng)。

關(guān)鍵詞：黑客；紅客；進(jìn)攻；防御；信道

Abstract：In this paper， the limit theory of hacker attack ability and honker defense ability is given. If a hacker wants to beat a honker K times， there must be some skills， so that he can achieve the purpose with probability arbitrarily close to 1 in the k /C times offensive. If a hacker achieves S successes after n attacks， there must be S ≤nC. If a honker wants to defend against a hacker R times， there must be some skills， so he can achieve the purpose with probability arbitrarily close to 1 in the k /C times defensive； If a honker achieve n times real success after n times defensive， there must be R ≤ND. C and D respectively represent the channel capacity of offensive channel and defensive channel. If C D， then the honker loses. If C =D， they have considerable strength.

Key words：hacker； honker； offensive； defensive； channel

1 盲對(duì)抗場境

攻防是安全的核心，特別是在有紅黑雙方對(duì)抗的場景下（比如，戰(zhàn)場、公安、網(wǎng)絡(luò)安全等），攻防幾乎就等于安全。所以，在安全通論的建立過程中，我們將花費(fèi)更多的篇幅來研究攻防問題。但是，長期以來，人們并未對(duì)攻防場景進(jìn)行過清晰的整理，再加上攻防一詞經(jīng)常被濫用，從而導(dǎo)致攻防幾乎成了一個(gè)只能意會(huì)不能言傳的名詞，當(dāng)然就更無法對(duì)攻防進(jìn)行系統(tǒng)的理論研究了。

因此，為了開始我們的研究，必須首先理清攻防場景。更準(zhǔn)確地說，下面我們只考慮無裁判的攻防，因?yàn)橄袢粘？吹降闹T如拳擊比賽等有裁判攻防的體育項(xiàng)目，并不是真正的攻防。在攻防系統(tǒng)中，只有攻方和守方這兩個(gè)直接利益相關(guān)方（雖然有時(shí)涉及的人員會(huì)超過兩個(gè)），但絕沒有利益無關(guān)的第三方。所以，對(duì)攻防結(jié)果來說，吹哨的裁判員其實(shí)是干擾，是噪音，而且還是主觀的噪音，因此必須要去除。

無裁判攻防又可以進(jìn)一步分為兩大類：盲攻防、非盲攻防。所謂盲攻防，指每次攻防后，雙方都只知道自己的損益情況，而對(duì)另一方卻一無所知，比如，大國博弈、網(wǎng)絡(luò)攻防、實(shí)際戰(zhàn)場、間諜戰(zhàn)、潑婦互罵等都是盲攻防的例子；非盲攻防，指每次攻防后，雙方都知道本次攻防的結(jié)果，而且還一致認(rèn)同這個(gè)結(jié)果，比如，石頭剪刀布游戲、下棋、炒股等都是非盲攻防的例子。一般來說，盲對(duì)抗更血腥和殘酷，而非盲對(duì)抗的娛樂味更濃。在文章中，我們只考慮盲攻防[1]。

為了更形象地說明，下面我們?nèi)匀唤栌萌瓝舻男g(shù)語來介紹盲攻防系統(tǒng)。當(dāng)然，這時(shí)裁判已經(jīng)被趕走，代替裁判的是無所不知的上帝。

攻方（黑客）是個(gè)神仙拳擊手，永遠(yuǎn)不知累，他可用隨機(jī)變量X來表示。黑客每次出擊后，都會(huì)對(duì)自己的本次出擊給出一個(gè)真心盲評(píng)價(jià)（比如，自認(rèn)為本次出擊成功或失敗，當(dāng)自認(rèn)為本次出擊成功時(shí)，記為X=1；當(dāng)自認(rèn)為出擊失敗時(shí)，記為X=0），但是，他絕不將這個(gè)真心盲評(píng)價(jià)系統(tǒng)告訴任何人。此處，之所以假定攻方（黑客）的盲自評(píng)要對(duì)外保密，是因?yàn)槲覀兛梢砸虼苏J(rèn)定他的盲自評(píng)是真心的，不會(huì)也沒有必要弄虛作假。

守方（紅客）也是個(gè)神仙拳擊手，他也永遠(yuǎn)不知累，可用隨機(jī)變量Y來表示。紅客每次守衛(wèi)后，也都會(huì)對(duì)自己的這次守衛(wèi)給出一個(gè)真心盲評(píng)價(jià)（比如，自認(rèn)為本次守衛(wèi)是成功或失敗，當(dāng)自認(rèn)為守衛(wèi)成功時(shí)，記為Y=1；當(dāng)自認(rèn)為守衛(wèi)失敗時(shí)，記為Y=0）。這個(gè)評(píng)價(jià)也仍然絕不告訴任何人。同樣，之所以要假定紅客的盲自評(píng)要對(duì)外保密，是因?yàn)槲覀兛梢砸虼苏J(rèn)定他的自評(píng)是真心的，不會(huì)也沒有必要弄虛作假。

裁判員雖然被趕走了，但是我們卻把上帝請來了。不過，上帝只是遠(yuǎn)遠(yuǎn)地呆在凌霄寶殿看熱鬧，他知道攻守雙方心里的真實(shí)想法，因此也知道雙方對(duì)每次攻防的真心盲自評(píng)，于是他可將攻守雙方過去N次對(duì)抗的盲自評(píng)結(jié)果記錄下來：（X，Y）=（X1，Y1）、（X2，Y2）、…、（XN，YN）。

足夠長的時(shí)間之后，上帝看夠了，便叫停攻守雙方。讓他們分別對(duì)擂臺(tái)進(jìn)行有利于自己的秘密調(diào)整，當(dāng)然某方（或雙方）也可以放棄本次調(diào)整的機(jī)會(huì)，如果他（他們）認(rèn)為當(dāng)前擂臺(tái)對(duì)自己更有利的話。這里，所謂的秘密調(diào)整，指雙方都不知道對(duì)方做了些什么調(diào)整。比如，針對(duì)網(wǎng)絡(luò)空間安全對(duì)抗，也許紅客安裝了一個(gè)防火墻，也許黑客植入了一種新的惡意代碼等；針對(duì)陣地戰(zhàn)的情況，也許攻方調(diào)來了一去增援部隊(duì)，也許守方又埋了一批地雷等。

總之，攻守雙方調(diào)整完成后，雙方又在新的擂臺(tái)上，再開始下一輪的對(duì)抗。

不過，我們不研究攻守雙方的下一輪對(duì)抗，只考慮當(dāng)前輪，即由上面的X、Y、（X，Y）等隨機(jī)變量所組成的系統(tǒng)。

至此，盲攻防場景的精確描述就完成了?？梢?，網(wǎng)絡(luò)戰(zhàn)、間諜戰(zhàn)、潑婦互罵等對(duì)抗性很慘烈的攻防，都是典型的盲對(duì)抗。

2 黑客攻擊能力極限

根據(jù)第1節(jié)中的隨機(jī)變量X和Y，上帝再新造一個(gè)隨機(jī)變量Z=（X+Y）mod2。由于任何兩個(gè)隨機(jī)變量都可以組成一個(gè)通信信道，所以我們把X作為輸入，Z作為輸出，上帝便可構(gòu)造出一個(gè)通信信道F，我們稱之為攻擊信道。

另一方面，如果有1 bit信息被成功地從發(fā)端（X）傳到了收端（Z），那么要么是“X=0，Z=0”，要么是“X=1，Z=1”。由于Y=（X+Z）mod2，所以由“X=0，Z=0”推知“X=0，Y=0”；由“X=1，Z=1”推知“X=1，Y=0”。而“X=0，Y=0”意味著攻防本次盲自評(píng)為失敗∩守方本次盲自評(píng)為失?。弧癤=1，Y=0”意味著攻方本次盲自評(píng)為成功∩守方本次盲自評(píng)為失?。痪C合起來就意味著攻方獲得某次攻擊的真正成功。

簡而言之，我們可以知道：如果黑客的某次攻擊真正成功，那么攻擊信道F就成功地傳輸1 bit到收端；如果有1 bit被成功地從攻擊信道F的發(fā)端，傳送到了收端，那么黑客X就獲得了一次真正成功攻擊。

引理1：黑客獲得一次真正成功的攻擊，其實(shí)就對(duì)等于攻擊信道F成功地傳輸了1 bit。

根據(jù)仙農(nóng)信息論的著名《信道編碼定理》[2]：如果信道F的容量為C，那么對(duì)于任意傳輸率k/n≤C，都可以在譯碼錯(cuò)誤概率任意小的情況下，通過某個(gè)n bit長的碼字，成功地把k bit傳輸?shù)绞招哦?；如果信道F能夠用n長碼字，把S bit無誤差地傳輸?shù)绞斩?，那么，一定有S≤nC。

定理1（黑客攻擊能力極限定理）：設(shè)由隨機(jī)變量（X；Z）組成的攻擊信道F的信道容量為C。那么：如果黑客想真正成功地把紅客打敗k次，一定有某種技巧（對(duì)應(yīng)于仙農(nóng)編碼），使得他能夠在k/C次攻擊中，以任意接近1的概率達(dá)到目的；如果黑客經(jīng)過n次攻擊，獲得了S次真正成功的攻擊，一定有S≤nC。

由定理1可知：只要求出攻擊信道F的信道容量C，那么黑客的攻擊能力極限就確定了。

下面我們需要計(jì)算出F的信道容量C。

利用此I（Y， Z）可知：以Y為輸入，Z為輸出的防御信道G的信道容量D就等于Max[I（Y， Z）]（這里最大值是針對(duì)Y為所有可能的二元離散隨機(jī)變量來計(jì)算的）或者更簡單地說，容量D等于Max0

4 攻守雙方的實(shí)力比較

由于信道容量是在傳信率k/n保持不變的情況下，系統(tǒng)所能夠傳輸?shù)淖畲笮畔⒈忍財(cái)?shù)，而每成功傳輸1 bit，就相當(dāng)于攻方的一次攻擊真正成功（或守方的一次防守真正成功），所以從宏觀的角度來看，我們可以推導(dǎo)出定理3。

定理3（攻守實(shí)力定理）：設(shè)C和D分別表示攻擊信道F和防御信道G的信道容量，如果CD，那么整體上紅客處于弱勢；如果C=D，那么紅黑雙方實(shí)力相當(dāng)。

我們需要注意到：攻擊信道的容量C，其實(shí)是q的函數(shù)，所以可以記之為C（q）；同理，防御信道的容量D是p的函數(shù)，可以記之為D（p）。由此，在盲對(duì)抗中，紅黑雙方可以通過對(duì)自己預(yù)期的調(diào)整，即改變相應(yīng)的概率分q和p，從而改變C（q）和D（p）的大小，并最終提升自己在盲對(duì)抗中的勝算情況。換句話說，我們證明了一個(gè)早已熟知的社會(huì)事實(shí)，即定理4。

定理4（知足常樂定理）：在盲對(duì)抗中，黑客（或紅客）有兩種思路來提高自己的業(yè)績，或稱為“幸福指數(shù)”。增強(qiáng)自身的相對(duì)打擊（或抵抗）力，即增加b和d（或c和a）；降低自己的貪欲，即增加p（或q）。但是，需要注意你可能無法改變外界，即調(diào)整b和d（或c和a），但卻可以改變自身，即調(diào)整p（或q）。由此可見：知足常樂是盲對(duì)抗中的一個(gè)真理。

5 結(jié)束語

我們的訣竅有兩點(diǎn)：巧妙地構(gòu)造了一個(gè)隨機(jī)變量Z=（X+Y）mod2，并將一次真正成功的攻防問題，等價(jià)地轉(zhuǎn)換成了攻擊信道（X；Z）（或者防守信道（Y；Z））的1 bit成功傳輸問題；恰到好處地應(yīng)用了看似風(fēng)馬牛不相關(guān)的仙農(nóng)編碼定理。以上兩點(diǎn)，任缺一項(xiàng)，就不會(huì)找到讓“黑客悟空”永遠(yuǎn)也跳不出去的“如來手掌”。

參考文獻(xiàn)

[1] THOMAS M C， THOMAS J A.信息論基礎(chǔ)[M]. 阮吉壽， 張華， 譯. 北京：機(jī)械工業(yè)出版社出版， 2007

[2] SHU L， DANIEL J C. 差錯(cuò)控制編碼[M]. 晏堅(jiān)， 何元智， 潘亞漢， 等譯. 北京：機(jī)械工業(yè)出版社出版， 2007