楊義先 鈕心忻
編者按:網絡空間安全作為一項新的全球治理議程,已經成為世界關注的焦點、各國政府的戰(zhàn)略目標之一,但人們對網絡空間安全的研究,還缺乏全面系統的理論指導,針對該問題,我刊特轉載自《科學網》一篇由北京郵電大學楊義先、鈕心忻教授編寫的《安全通論——攻防篇之“盲對抗”》(原文網址:http://blog.sciencenet.cn/blog-453322-947304.html)。在該文章中,給出了黑客攻擊能力和紅客防御能力的可達理論極限,并巧妙地構造了一個隨機變量Z =(X+Y )mod2,將一次真正成功的攻防問題,等價地轉換成了攻擊信道(X ;Z ),同時恰到好處地應用了看似并不相關的仙農編碼定理。
摘要:精確地給出了黑客攻擊能力和紅客防御能力的可達理論極限。對黑客來說,如果他想真正成功地把紅客打敗k次,一定有某種技巧,使他能夠在k /C次進攻中,以任意接近1的概率達到目的;如果黑客經過n次攻擊,獲得了S次真正成功,那么一定有S ≤nC。對紅客來說,如果他想真正成功地把黑客擋住R次,一定有某種技巧,使得他能夠在R /C次防御中,以任意接近1的概率達到目的;如果紅客經過n次防衛(wèi),獲得了R次真正成功,一定有R ≤ND。這里C和D分別是攻擊信道和防御信道的信道容量。如果C
關鍵詞:黑客;紅客;進攻;防御;信道
Abstract:In this paper, the limit theory of hacker attack ability and honker defense ability is given. If a hacker wants to beat a honker K times, there must be some skills, so that he can achieve the purpose with probability arbitrarily close to 1 in the k /C times offensive. If a hacker achieves S successes after n attacks, there must be S ≤nC. If a honker wants to defend against a hacker R times, there must be some skills, so he can achieve the purpose with probability arbitrarily close to 1 in the k /C times defensive; If a honker achieve n times real success after n times defensive, there must be R ≤ND. C and D respectively represent the channel capacity of offensive channel and defensive channel. If C
Key words:hacker; honker; offensive; defensive; channel
1 盲對抗場境
攻防是安全的核心,特別是在有紅黑雙方對抗的場景下(比如,戰(zhàn)場、公安、網絡安全等),攻防幾乎就等于安全。所以,在安全通論的建立過程中,我們將花費更多的篇幅來研究攻防問題。但是,長期以來,人們并未對攻防場景進行過清晰的整理,再加上攻防一詞經常被濫用,從而導致攻防幾乎成了一個只能意會不能言傳的名詞,當然就更無法對攻防進行系統的理論研究了。
因此,為了開始我們的研究,必須首先理清攻防場景。更準確地說,下面我們只考慮無裁判的攻防,因為像日??吹降闹T如拳擊比賽等有裁判攻防的體育項目,并不是真正的攻防。在攻防系統中,只有攻方和守方這兩個直接利益相關方(雖然有時涉及的人員會超過兩個),但絕沒有利益無關的第三方。所以,對攻防結果來說,吹哨的裁判員其實是干擾,是噪音,而且還是主觀的噪音,因此必須要去除。
無裁判攻防又可以進一步分為兩大類:盲攻防、非盲攻防。所謂盲攻防,指每次攻防后,雙方都只知道自己的損益情況,而對另一方卻一無所知,比如,大國博弈、網絡攻防、實際戰(zhàn)場、間諜戰(zhàn)、潑婦互罵等都是盲攻防的例子;非盲攻防,指每次攻防后,雙方都知道本次攻防的結果,而且還一致認同這個結果,比如,石頭剪刀布游戲、下棋、炒股等都是非盲攻防的例子。一般來說,盲對抗更血腥和殘酷,而非盲對抗的娛樂味更濃。在文章中,我們只考慮盲攻防[1]。
為了更形象地說明,下面我們仍然借用拳擊的術語來介紹盲攻防系統。當然,這時裁判已經被趕走,代替裁判的是無所不知的上帝。
攻方(黑客)是個神仙拳擊手,永遠不知累,他可用隨機變量X來表示。黑客每次出擊后,都會對自己的本次出擊給出一個真心盲評價(比如,自認為本次出擊成功或失敗,當自認為本次出擊成功時,記為X=1;當自認為出擊失敗時,記為X=0),但是,他絕不將這個真心盲評價系統告訴任何人。此處,之所以假定攻方(黑客)的盲自評要對外保密,是因為我們可以因此認定他的盲自評是真心的,不會也沒有必要弄虛作假。
守方(紅客)也是個神仙拳擊手,他也永遠不知累,可用隨機變量Y來表示。紅客每次守衛(wèi)后,也都會對自己的這次守衛(wèi)給出一個真心盲評價(比如,自認為本次守衛(wèi)是成功或失敗,當自認為守衛(wèi)成功時,記為Y=1;當自認為守衛(wèi)失敗時,記為Y=0)。這個評價也仍然絕不告訴任何人。同樣,之所以要假定紅客的盲自評要對外保密,是因為我們可以因此認定他的自評是真心的,不會也沒有必要弄虛作假。
裁判員雖然被趕走了,但是我們卻把上帝請來了。不過,上帝只是遠遠地呆在凌霄寶殿看熱鬧,他知道攻守雙方心里的真實想法,因此也知道雙方對每次攻防的真心盲自評,于是他可將攻守雙方過去N次對抗的盲自評結果記錄下來:(X,Y)=(X1,Y1)、(X2,Y2)、…、(XN,YN)。
足夠長的時間之后,上帝看夠了,便叫停攻守雙方。讓他們分別對擂臺進行有利于自己的秘密調整,當然某方(或雙方)也可以放棄本次調整的機會,如果他(他們)認為當前擂臺對自己更有利的話。這里,所謂的秘密調整,指雙方都不知道對方做了些什么調整。比如,針對網絡空間安全對抗,也許紅客安裝了一個防火墻,也許黑客植入了一種新的惡意代碼等;針對陣地戰(zhàn)的情況,也許攻方調來了一去增援部隊,也許守方又埋了一批地雷等。
總之,攻守雙方調整完成后,雙方又在新的擂臺上,再開始下一輪的對抗。
不過,我們不研究攻守雙方的下一輪對抗,只考慮當前輪,即由上面的X、Y、(X,Y)等隨機變量所組成的系統。
至此,盲攻防場景的精確描述就完成了??梢姡W絡戰(zhàn)、間諜戰(zhàn)、潑婦互罵等對抗性很慘烈的攻防,都是典型的盲對抗。
2 黑客攻擊能力極限
根據第1節(jié)中的隨機變量X和Y,上帝再新造一個隨機變量Z=(X+Y)mod2。由于任何兩個隨機變量都可以組成一個通信信道,所以我們把X作為輸入,Z作為輸出,上帝便可構造出一個通信信道F,我們稱之為攻擊信道。
另一方面,如果有1 bit信息被成功地從發(fā)端(X)傳到了收端(Z),那么要么是“X=0,Z=0”,要么是“X=1,Z=1”。由于Y=(X+Z)mod2,所以由“X=0,Z=0”推知“X=0,Y=0”;由“X=1,Z=1”推知“X=1,Y=0”。而“X=0,Y=0”意味著攻防本次盲自評為失敗∩守方本次盲自評為失敗;“X=1,Y=0”意味著攻方本次盲自評為成功∩守方本次盲自評為失?。痪C合起來就意味著攻方獲得某次攻擊的真正成功。
簡而言之,我們可以知道:如果黑客的某次攻擊真正成功,那么攻擊信道F就成功地傳輸1 bit到收端;如果有1 bit被成功地從攻擊信道F的發(fā)端,傳送到了收端,那么黑客X就獲得了一次真正成功攻擊。
引理1:黑客獲得一次真正成功的攻擊,其實就對等于攻擊信道F成功地傳輸了1 bit。
根據仙農信息論的著名《信道編碼定理》[2]:如果信道F的容量為C,那么對于任意傳輸率k/n≤C,都可以在譯碼錯誤概率任意小的情況下,通過某個n bit長的碼字,成功地把k bit傳輸到收信端;如果信道F能夠用n長碼字,把S bit無誤差地傳輸到收端,那么,一定有S≤nC。
定理1(黑客攻擊能力極限定理):設由隨機變量(X;Z)組成的攻擊信道F的信道容量為C。那么:如果黑客想真正成功地把紅客打敗k次,一定有某種技巧(對應于仙農編碼),使得他能夠在k/C次攻擊中,以任意接近1的概率達到目的;如果黑客經過n次攻擊,獲得了S次真正成功的攻擊,一定有S≤nC。
由定理1可知:只要求出攻擊信道F的信道容量C,那么黑客的攻擊能力極限就確定了。
下面我們需要計算出F的信道容量C。
利用此I(Y, Z)可知:以Y為輸入,Z為輸出的防御信道G的信道容量D就等于Max[I(Y, Z)](這里最大值是針對Y為所有可能的二元離散隨機變量來計算的)或者更簡單地說,容量D等于Max0 4 攻守雙方的實力比較 由于信道容量是在傳信率k/n保持不變的情況下,系統所能夠傳輸的最大信息比特數,而每成功傳輸1 bit,就相當于攻方的一次攻擊真正成功(或守方的一次防守真正成功),所以從宏觀的角度來看,我們可以推導出定理3。 定理3(攻守實力定理):設C和D分別表示攻擊信道F和防御信道G的信道容量,如果C 我們需要注意到:攻擊信道的容量C,其實是q的函數,所以可以記之為C(q);同理,防御信道的容量D是p的函數,可以記之為D(p)。由此,在盲對抗中,紅黑雙方可以通過對自己預期的調整,即改變相應的概率分q和p,從而改變C(q)和D(p)的大小,并最終提升自己在盲對抗中的勝算情況。換句話說,我們證明了一個早已熟知的社會事實,即定理4。 定理4(知足常樂定理):在盲對抗中,黑客(或紅客)有兩種思路來提高自己的業(yè)績,或稱為“幸福指數”。增強自身的相對打擊(或抵抗)力,即增加b和d(或c和a);降低自己的貪欲,即增加p(或q)。但是,需要注意你可能無法改變外界,即調整b和d(或c和a),但卻可以改變自身,即調整p(或q)。由此可見:知足常樂是盲對抗中的一個真理。 5 結束語 我們的訣竅有兩點:巧妙地構造了一個隨機變量Z=(X+Y)mod2,并將一次真正成功的攻防問題,等價地轉換成了攻擊信道(X;Z)(或者防守信道(Y;Z))的1 bit成功傳輸問題;恰到好處地應用了看似風馬牛不相關的仙農編碼定理。以上兩點,任缺一項,就不會找到讓“黑客悟空”永遠也跳不出去的“如來手掌”。 參考文獻 [1] THOMAS M C, THOMAS J A.信息論基礎[M]. 阮吉壽, 張華, 譯. 北京:機械工業(yè)出版社出版, 2007 [2] SHU L, DANIEL J C. 差錯控制編碼[M]. 晏堅, 何元智, 潘亞漢, 等譯. 北京:機械工業(yè)出版社出版, 2007