熊 強(qiáng)，肖廣濤

（江蘇大學(xué)管理學(xué)院，江蘇鎮(zhèn)江 212013）

據(jù)國家信息安全漏洞共享平臺（CNVD）統(tǒng)計(jì)，2018 年收集整理各類信息安全漏洞14 216 個(gè)，其中高危漏洞4 899 個(gè)，占比34.5%，可被利用來實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞12 653 個(gè)，占比89%，覆蓋1 444 家廠商或組織的近4 000 種產(chǎn)品，累計(jì)影響版本超過13 萬個(gè)。網(wǎng)絡(luò)的絕對安全不具有技術(shù)上和經(jīng)濟(jì)上的可行性，利用信息安全漏洞實(shí)施的安全攻擊在全球范圍內(nèi)頻發(fā)，給網(wǎng)絡(luò)空間安全帶來了不可逆的危害。信息安全漏洞管理已成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的中心環(huán)節(jié)，對于降低風(fēng)險(xiǎn)和分化風(fēng)險(xiǎn)起著至關(guān)重要的作用［1］。強(qiáng)化信息安全漏洞收集、分析、報(bào)告、通報(bào)等在內(nèi)的風(fēng)險(xiǎn)預(yù)警和信息通報(bào)工作已成為國家網(wǎng)絡(luò)安全保障的重要組成部分。為了從源頭開始收集更多的漏洞，諸多平臺利用信息安全眾測來提升平臺信息安全漏洞挖掘的效率，如360 補(bǔ)天平臺、工業(yè)互聯(lián)網(wǎng)安全響應(yīng)中心，等等。

所謂信息安全眾測主要是依托眾測平臺上技術(shù)過硬、聲譽(yù)良好的精英白帽，為企業(yè)提供定向的安全滲透測試與漏洞發(fā)現(xiàn)服務(wù)，白帽被業(yè)界稱之為“道德駭客”。通過實(shí)名認(rèn)證、雙因子認(rèn)證、網(wǎng)絡(luò)監(jiān)管等多種手段，保證測試過程安全，并通過構(gòu)建聯(lián)盟式協(xié)同學(xué)習(xí)環(huán)境［2］、優(yōu)化酬金機(jī)制激勵(lì)平臺中精英白帽以臨時(shí)團(tuán)隊(duì)的形式，展開知識共享，提升挖掘效率。正如360 補(bǔ)天眾測平臺所提出的“單打獨(dú)斗的孤傲，遠(yuǎn)不及志同道合的的共贏”。通過構(gòu)建團(tuán)隊(duì)實(shí)施知識共享已被證明能明顯提升組織創(chuàng)新績效［3］，但是白帽子在進(jìn)行安全知識共享時(shí)會帶來時(shí)間、精力的耗費(fèi)以及機(jī)會成本，而團(tuán)隊(duì)中“知識寄生蟲”的存在也會明顯降低白帽子進(jìn)行知識共享的積極性。因此，本文主要基于信息安全眾測平臺臨時(shí)團(tuán)隊(duì)，運(yùn)用演化博弈理論分析白帽子間進(jìn)行安全知識共享過程中的策略演化機(jī)制以及各因素對演化過程產(chǎn)生的影響，并根據(jù)研究結(jié)果提出促進(jìn)臨時(shí)團(tuán)隊(duì)內(nèi)白帽子進(jìn)行安全知識共享的建議。

1 研究基礎(chǔ)

信息安全漏洞眾測平臺白帽子開展的聯(lián)盟式協(xié)同學(xué)習(xí)是一種典型臨時(shí)團(tuán)隊(duì)。錢焱等［4］認(rèn)為臨時(shí)團(tuán)隊(duì)是指有固定的時(shí)間節(jié)點(diǎn)或時(shí)間狀態(tài)來預(yù)示組織使命結(jié)束的一種企業(yè)組織形態(tài),它一般等同于臨時(shí)組織。目前關(guān)于臨時(shí)團(tuán)隊(duì)內(nèi)知識共享的研究多是圍繞臨時(shí)團(tuán)隊(duì)的快速信任進(jìn)行。秦開銀等［5］研究發(fā)現(xiàn)臨時(shí)團(tuán)隊(duì)的知識共享與快速信任和績效呈顯著正相關(guān)，知識共享對臨時(shí)團(tuán)隊(duì)的快速信任和績效都有顯著增強(qiáng)效果。王淵［6］認(rèn)為快速信任在團(tuán)隊(duì)情緒智力對團(tuán)隊(duì)績效的作用關(guān)系中起中介作用，知識共享對團(tuán)隊(duì)情緒智力-團(tuán)隊(duì)快速信任-團(tuán)隊(duì)績效路徑起正向調(diào)節(jié)作用。Yong 等［7］指出，知識共享是知識管理的重要組成部分，團(tuán)隊(duì)成員積極地共享知識能夠保持團(tuán)隊(duì)的持續(xù)創(chuàng)造力和競爭力。已有的許多研究都驗(yàn)證了知識共享對團(tuán)隊(duì)績效等的促進(jìn)作用，比如提高團(tuán)隊(duì)的創(chuàng)新能力［8］。而當(dāng)前有關(guān)網(wǎng)絡(luò)安全知識共享的研究主要集中在企業(yè)組織層面，Gordon 等［9］通過建模和分析發(fā)現(xiàn)，如果沒有信息系統(tǒng)安全知識共享，每個(gè)企業(yè)根據(jù)邊際收益等于邊際成本的原則確定其在安全方面的投入，反之每個(gè)企業(yè)的安全投資將減少。Hausken［10］指出，基于第三方平臺共享過程中的“搭便車”行為嚴(yán)重影響了平臺作用的發(fā)揮，影響了社會福利。Rocha 等［11］分析社會文化和安全治理機(jī)制在多組織間實(shí)施信息安全知識共享中存在積極作用。熊強(qiáng)等［12］嘗試?yán)醚莼┺睦碚摲治龉?yīng)鏈企業(yè)組織中進(jìn)行信息安全投資及安全信息的共享問題。Lee 等［13］基于聲譽(yù)機(jī)制設(shè)計(jì)了信息安全知識強(qiáng)制披露共享機(jī)制，并通過仿真實(shí)驗(yàn)研究該機(jī)制的安全績效。研究個(gè)體層面信息安全知識的共享則較少，如Hausken［14］對信息安全漏洞共享過程中黑客、個(gè)體用戶行為等內(nèi)容進(jìn)行分析，重點(diǎn)闡述漏洞信息共享所帶來的正效應(yīng)及存在的負(fù)面影響。

綜上所述，當(dāng)下對信息安全眾測平臺中參與個(gè)體的安全知識共享行為研究相對不足，信息安全眾測平臺白帽子團(tuán)隊(duì)屬于臨時(shí)團(tuán)隊(duì)的一種，其團(tuán)隊(duì)內(nèi)的知識共享行為研究重點(diǎn)在如何建立快速信任來保證知識共享，而臨時(shí)團(tuán)隊(duì)內(nèi)知識共享的過程和激勵(lì)則少有研究。因此，本文根據(jù)已有研究，運(yùn)用演化博弈方法對臨時(shí)團(tuán)隊(duì)內(nèi)白帽子的安全知識共享行為進(jìn)行分析，探索各種影響因素對臨時(shí)團(tuán)隊(duì)白帽子安全知識共享演化軌跡的作用。

2 演化博弈模型構(gòu)建

2.1 博弈模型描述

在信息安全漏洞眾測平臺中，臨時(shí)團(tuán)隊(duì)中的白帽子在參與安全知識共享時(shí)由于背景不同，在知識的質(zhì)和量上一般存在知識勢差，所以白帽子在共享有關(guān)軟件漏洞、黑客信息、病毒等信息安全知識時(shí)互為供需，是雙向共享，故白帽子i的策略集合均為｛共享，不共享｝。由于共享行為的復(fù)雜性，以及不同白帽子在認(rèn)知方面的差異性，博弈參與主體為了實(shí)現(xiàn)自身利益最大化，需要通過不斷試錯(cuò)、學(xué)習(xí)、模型等階段逐步尋找最優(yōu)化策略，因此，完全符合演化博弈中關(guān)于參與主體的有限理性和經(jīng)濟(jì)人假設(shè)條件。

2.2 博弈模型參數(shù)設(shè)置

假設(shè)白帽子i本身固有的與信息安全相關(guān)的知識總量Ki，其知識量越大表明白帽子的業(yè)務(wù)能力越強(qiáng)。白帽子i參與安全知識共享時(shí)對臨時(shí)團(tuán)隊(duì)中其他成員的信任度為ωi，信任度越高則白帽子進(jìn)行安全知識共享的意愿越強(qiáng)烈，白帽子選擇共享的安全知識量表示為ωi Ki。安全知識如果只是單純的分享是不夠的，怎么樣運(yùn)用這些知識以提升漏洞的發(fā)掘效率是眾測項(xiàng)目成功的關(guān)鍵，假設(shè)安全知識的漏洞轉(zhuǎn)化率為αi。在知識共享的過程中，作為共享客體的知識不會隨著共享活動的增加而產(chǎn)生折舊，反而會在在共享群體中表現(xiàn)為知識量的增加，并且組織成員知識量會在增加到一定閾值時(shí)產(chǎn)生質(zhì)變，產(chǎn)生新的知識，稱之為知識的增值性，本文假設(shè)安全知識共享中的知識增值率為γ。在知識共享過程中會產(chǎn)生共享成本，主要有知識提供方在傳遞知識時(shí)付出的時(shí)間成本、人力成本等組成的傳遞成本以及由于知識傳遞而帶來的自身優(yōu)勢降低風(fēng)險(xiǎn)的機(jī)會成本。正是由于知識共享存在成本，導(dǎo)致了“知識寄生蟲”的產(chǎn)生，而知識共享中“搭便車”行為會極大損害知識共享提供方的積極性，假設(shè)共享成本為Ci。

在信息安全眾測平臺上，白帽子通過提交漏洞獲得獎(jiǎng)勵(lì)，漏洞有高危，中危和低危之分，本文不做詳細(xì)區(qū)分，設(shè)漏洞的平均收益為e。另外，平臺為了激勵(lì)白帽子團(tuán)隊(duì)內(nèi)的安全知識共享，設(shè)置了對漏洞挖掘領(lǐng)先團(tuán)隊(duì)的額外團(tuán)隊(duì)獎(jiǎng)勵(lì)，團(tuán)隊(duì)獎(jiǎng)勵(lì)與團(tuán)隊(duì)成員挖掘的漏洞的數(shù)量和危險(xiǎn)程度有關(guān)，假設(shè)白帽子臨時(shí)團(tuán)隊(duì)獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)的概率為β，漏洞獎(jiǎng)勵(lì)率用λ表示。模型參設(shè)假設(shè)如表1 所示。

表1 模型參數(shù)假設(shè)

2.3 博弈收益矩陣

將臨時(shí)團(tuán)隊(duì)劃分為兩個(gè)同質(zhì)群體：白帽子1 和白帽子2，采用不同的博弈策略所得到的博弈收益如下：

（1）當(dāng)白帽子1、白帽子2 均采用策略｛不共享，不共享｝時(shí)，此時(shí)白帽子之間沒有發(fā)生安全知識共享，也沒有共享成本，同時(shí)也不會獲得團(tuán)體獎(jiǎng)勵(lì)，此時(shí)白帽子相當(dāng)于單獨(dú)進(jìn)行滲透測試，其收益為。

（2）當(dāng)共享參與主體選擇不同的共享策略時(shí)，如白帽子1 采用共享策略，而白帽子2 采用不共享策略，選擇“知識共享”策略的白帽子1 只能獲得運(yùn)用固有知識單獨(dú)進(jìn)行滲透測試的漏洞收益，并且會產(chǎn)生一定的共享成本，但是有可能獲得平臺提供的團(tuán)隊(duì)獎(jiǎng)勵(lì)，故總收益為；選擇不共享策略的白帽子2 沒有進(jìn)行知識共享而是選擇“搭便車”，獲得對方進(jìn)行共享的安全知識與自我固有知識的協(xié)同作用帶來的漏洞收益，但無法得到團(tuán)隊(duì)獎(jiǎng)勵(lì)，即其總的收益支付為。反之，則白帽子1的總共享收益為，白帽子2 的總共享收益為

（3）若雙方均采用共享策略，共享雙方會獲取一定的共享收益，但也都會承擔(dān)一定的共享成本。共享收益由兩部分組成： 一是對方選擇“知識共享”策略所帶來的收益，包括直接接受的安全知識以及接受的安全知識產(chǎn)生的協(xié)同效應(yīng)帶來的安全漏洞收益的增加；二是平臺可能給予的團(tuán)隊(duì)獎(jiǎng)勵(lì)，即平臺為鼓勵(lì)共享主體的安全知識共享行為而向漏洞披露表現(xiàn)優(yōu)秀的團(tuán)隊(duì)提供的團(tuán)隊(duì)激勵(lì)。此時(shí)雙方的共享收益為：

基于上述定義，創(chuàng)建信息安全眾測平臺白帽子團(tuán)隊(duì)間知識共享的收益矩陣如表2 所示。

表2 白帽子信息安全知識共享博弈收益矩陣

3 演化博弈模型分析

3.1 演化平衡點(diǎn)分析

則白帽子1 的平均收益為：

根據(jù)演化博弈理論，白帽子策略改變的過程是一個(gè)學(xué)習(xí)過程，其學(xué)習(xí)速度由當(dāng)前選擇知識共享的白帽子的比例和選擇知識共享的收益有關(guān)，團(tuán)隊(duì)中選擇知識共享白帽子的比例越大，收益越好（相較于平均收益），則白帽子學(xué)習(xí)的激勵(lì)越大。設(shè)為時(shí)間，采用知識共享的白帽子比例的動態(tài)變化速度可用復(fù)制動態(tài)方程表示為：

同理，白帽子2 的平均收益為：

則：

3.2 平衡點(diǎn)穩(wěn)定性分析

利用雅可比矩陣的局部穩(wěn)定性判定白帽子團(tuán)隊(duì)之間的知識共享演化系統(tǒng)的穩(wěn)定性，對分別關(guān)于求偏導(dǎo)數(shù)得到雅可比矩陣，記作：

其中：

演化穩(wěn)定策略(ESS)必須滿足兩個(gè)條件：

在判定局部穩(wěn)定性時(shí)總共有8 種有效情況：

各情況下系統(tǒng)演化動態(tài)相位圖如圖1 所示。

圖1 各情況下系統(tǒng)演化動態(tài)相位圖

3.3 演化博弈結(jié)果分析

（1）在情況①時(shí)，起始狀態(tài)博弈雙方白帽子都是不共享，但是意識到共享之后會得到對方的安全知識、知識增值帶來的額外收益和團(tuán)隊(duì)獎(jiǎng)勵(lì)，并且初始共享成本較低，因此穩(wěn)定策略均為共享；情況②表示在白帽子1 率先選擇知識共享策略后，白帽子2 為了獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)而選擇進(jìn)行知識共享，情況④與此相似；情況③表示白帽子1 率先進(jìn)行知識共享，而白帽子2 沒有進(jìn)行知識共享，白帽子2 為了獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)而選擇進(jìn)行知識共享，而白帽子1 因?yàn)榘酌弊? 的“搭便車”行為以及共享成本的上升，而選擇不進(jìn)行知識共享，情況⑥與此相似。

（3）在情況⑦中白帽子2 進(jìn)行知識共享，白帽子1 則進(jìn)行“搭便車”行為，隨著共享成本的不斷升高，白帽子2 選擇拒絕進(jìn)行知識共享；在情況⑧共享成本非常高，已經(jīng)超過了白帽子安全知識共享收益總和，因此白帽子均選擇不進(jìn)行安全知識共享。

3.4 模型參數(shù)分析

4 算例分析

在上文的演化博弈的模型理論研究基礎(chǔ)上，本文將進(jìn)一步運(yùn)用Python 進(jìn)行參數(shù)分析，分析具體參數(shù)變化下演化博弈過程。根據(jù)各參數(shù)的取值范圍，初始值選取如下：模擬周期100。

（1）白帽子選擇安全知識共享的初始概率對演化結(jié)果的影響。從圖2 可以看出，白帽子1 選擇安全知識共享策略的概率的收斂趨勢和收斂速度不僅與自身初始選擇安全知識共享策略的概率有關(guān)，而且受到白帽子2 初始選擇安全知識共享策略概率大小的影響。即越大，越大，白帽子1 在演化博弈中選擇安全知識共享策略的概率越大，速度越快。

圖2 共享策略的不同初始概率對演化結(jié)果的影響

（2）信任度ωi對白帽子安全知識共享策略演化結(jié)果的影響。取y0=0.3 為前提，分別對ωi賦值0.2和0.4 得出圖3?？梢钥闯鲭S著信任度的增加，白帽子的安全知識共享策略從“不共享”變?yōu)椤肮蚕怼?，表明白帽子對臨時(shí)團(tuán)隊(duì)中其他成員的信任度越高，其安全知識共享意愿越強(qiáng)烈。

圖3 信任度對白帽子安全知識共享策略演化結(jié)果的影響

（3）安全知識增值率對白帽子安全知識共享策略演化結(jié)果的影響。在y0=0.3 的情況下，分別取γ=0.3 和γ=0.7，從圖4 可以看出隨著γ值的增大，白帽子的安全知識共享穩(wěn)定策略從收斂于“不共享”到收斂于“共享”，并且隨著初始選擇信息安全知識共享策略的概率x0的增大而增大。

圖4 安全知識增值率對白帽子安全知識共享策略演化結(jié)果的影響

（4）團(tuán)隊(duì)漏洞獎(jiǎng)勵(lì)率對白帽子安全知識共享策略演化結(jié)果的影響。同樣在y0=0.3 的情況下，取λ=0.4 和λ=0.6，得到圖5?？梢园l(fā)現(xiàn)白帽子的安全知識共享穩(wěn)定策略在λ的取值較小時(shí)，收斂于“不共享”，隨著λ取值的增大，穩(wěn)定策略收斂于“共享”。

圖5 團(tuán)隊(duì)漏洞獎(jiǎng)勵(lì)率對白帽子安全知識共享策略演化結(jié)果的影響

（5）獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)的概率對白帽子安全知識共享策略演化結(jié)果的影響。在y0=0.3 的前提下，β分別取0.28 和0.32，得到圖6。從圖6 可以看出，當(dāng)白帽子獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)的概率較低時(shí)，其傾向于選擇“不共享”策略；隨著β值的增大，白帽子的安全知識共享策略演化結(jié)果收斂于“共享”。

圖6 獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)的概率對白帽子安全知識共享策略演化結(jié)果的影響

（6）安全知識共享成本對白帽子知識共享策略演化結(jié)果的影響。同樣以y0=0.3 為前提，對白帽子1的安全知識共享成本C1進(jìn)行取值。從圖7可以看出，當(dāng)C1=1.5 時(shí)，x0在不同取值情況下，白帽子選擇安全知識共享策略的概率x均收斂于1，也即其穩(wěn)定策略是“共享”；當(dāng)C1=2.1 時(shí)，x收斂于1，表示當(dāng)白帽子的共享成本超過漏洞知識共享的收益時(shí)，其安全知識共享穩(wěn)定策略變?yōu)椤安还蚕怼薄?/p>

圖7 安全知識共享成本對白帽子安全知識共享策略演化結(jié)果的影響

5 結(jié)論

本文運(yùn)用演化博弈方法對信息安全眾測平臺白帽子臨時(shí)團(tuán)隊(duì)內(nèi)的知識共享進(jìn)行研究，模擬了各種情況下白帽子間知識共享的演化進(jìn)程，發(fā)現(xiàn)白帽子臨時(shí)團(tuán)隊(duì)間知識共享與知識共享成本、知識共享量、固有知識量、知識增值率、安全知識漏洞轉(zhuǎn)化率、團(tuán)隊(duì)平均漏洞獎(jiǎng)勵(lì)率和獲得團(tuán)隊(duì)獎(jiǎng)勵(lì)的概率等有關(guān)，為了促進(jìn)信息安全眾測平臺臨時(shí)團(tuán)隊(duì)白帽子間的知識共享，提出如下幾方面政策建議：

（1）建立完善白帽子信譽(yù)機(jī)制，通過建立白帽子之間的快速信任，促進(jìn)有效溝通，減少白帽子的溝通成本，提高他們的共享意愿。

（2）推進(jìn)白帽子分類管理，眾測平臺通過推動同一行業(yè)或相關(guān)行業(yè)白帽子的組合建隊(duì)，提升協(xié)同效果。

（3）設(shè)置合理的團(tuán)隊(duì)獎(jiǎng)勵(lì)機(jī)制，為了減少一些白帽子進(jìn)行無意義的組隊(duì)額外獲取組織的物質(zhì)獎(jiǎng)勵(lì)，形成良好的競爭環(huán)境，適當(dāng)增加團(tuán)隊(duì)獎(jiǎng)勵(lì)概率，保持只對高績效團(tuán)隊(duì)進(jìn)行獎(jiǎng)勵(lì)，并且排名越高獎(jiǎng)勵(lì)的比率越高。

（4）降低共享成本，對白帽子進(jìn)行知識共享產(chǎn)生的機(jī)會成本進(jìn)行補(bǔ)貼，加強(qiáng)考評減少“搭便車”現(xiàn)象。