湯 衛(wèi), 陳玉玲, 楊義先, 鈕心忻

1. 貴州大學(xué) 數(shù)學(xué)與統(tǒng)計(jì)學(xué)院, 貴陽(yáng)550025

2. 公共大數(shù)據(jù)國(guó)家重點(diǎn)實(shí)驗(yàn)室(貴州大學(xué)), 貴陽(yáng)550025

3. 貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 貴陽(yáng)550025

4. 北京郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院, 北京100876

1 引言

近幾年大數(shù)據(jù)行業(yè)呈現(xiàn)井噴式發(fā)展, 與之密切相關(guān)的系統(tǒng)和數(shù)據(jù)安全等成為社會(huì)廣泛關(guān)注的焦點(diǎn). 就網(wǎng)絡(luò)系統(tǒng)的安全而言, 可以借助密碼學(xué)中的公鑰加密體制等進(jìn)行保密運(yùn)算, 以確保系統(tǒng)的運(yùn)行能夠符合現(xiàn)實(shí)需求. 這幾年針對(duì)復(fù)雜網(wǎng)絡(luò)系統(tǒng)的管理和控制問(wèn)題, 楊義先等學(xué)者利用分解系統(tǒng)和檢索定位的思想開(kāi)展了相關(guān)的研究, 這成為密碼學(xué)研究數(shù)據(jù)和系統(tǒng)安全的新思路[1–3], 是對(duì)密碼學(xué)系統(tǒng)安全和數(shù)據(jù)保密理論的重要補(bǔ)充. 因此針對(duì)誘發(fā)系統(tǒng)不安全狀態(tài)的諸多因素, 進(jìn)行不安全事件的治理和控制是密碼學(xué)研究的重要挑戰(zhàn)[1,2].

系統(tǒng)的安全和發(fā)展是一個(gè)動(dòng)態(tài)的過(guò)程, 核心目標(biāo)是在安全的基礎(chǔ)上實(shí)現(xiàn)高質(zhì)量的發(fā)展, 一方面安全是發(fā)展的前提和必然要求, 另一方面發(fā)展為系統(tǒng)安全提供了更多的機(jī)會(huì)和保障. 在現(xiàn)實(shí)情境中, 分析復(fù)雜系統(tǒng)的安全性和控制策略是一個(gè)關(guān)鍵的問(wèn)題, 尤其是如何對(duì)網(wǎng)絡(luò)系統(tǒng)的不安全事件進(jìn)行綜合分析和治理是網(wǎng)絡(luò)監(jiān)管部門乃至全民的重要任務(wù), 所以需要大力加強(qiáng)對(duì)系統(tǒng)安全的研究[1–6]; 在分析復(fù)雜系統(tǒng)的安全性時(shí),若利用關(guān)聯(lián)性原理將系統(tǒng)分解成若干個(gè)子系統(tǒng), 那么系統(tǒng)的安全性就轉(zhuǎn)化為各個(gè)子系統(tǒng)的安全性. 而子系統(tǒng)安全性的研究, 需要檢索定位不安全系統(tǒng)內(nèi)外兩方面的誘因, 建立治療機(jī)理并提出行之有效的策略來(lái)處理不安全問(wèn)題. 對(duì)此過(guò)去密碼學(xué)重點(diǎn)研究的是系統(tǒng)的加解密機(jī)制和訪問(wèn)控制策略, 對(duì)系統(tǒng)不安全事件的管理等沒(méi)有進(jìn)行深入分析, 隨著《安全通論》和其他相關(guān)研究的深入[1–10], 利用不安全熵去定量分析系統(tǒng)安全已成為一種共識(shí), 但是其分析方法大多限于思想和觀念的分析, 并未展開(kāi)詳細(xì)的論述和研究[11–18], 因此嘗試從系統(tǒng)誘因的視角利用狀態(tài)轉(zhuǎn)移過(guò)程中的不安全熵和效益變化來(lái)構(gòu)建數(shù)學(xué)模型, 并分析系統(tǒng)安全控制問(wèn)題.

自公鑰密碼理論問(wèn)世以來(lái), 網(wǎng)絡(luò)安全模型的研究多是基于公鑰加密和分級(jí)控制的理論和技術(shù), 許多網(wǎng)絡(luò)安全專家基于此對(duì)系統(tǒng)進(jìn)行安全分析[4–10]. 為了改進(jìn)密碼學(xué)領(lǐng)域在分析網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)研究方面的不足,許多專家都在致力于構(gòu)建全面系統(tǒng)的網(wǎng)絡(luò)安全基礎(chǔ)理論并提出行之有效的創(chuàng)新性思想和方法.《安全通論》等[1–3]從宏觀的視角出發(fā)利用安全與風(fēng)險(xiǎn)之間的對(duì)立統(tǒng)一關(guān)系, 基于信息熵的理論構(gòu)建網(wǎng)絡(luò)系統(tǒng)的不安全熵, 以動(dòng)態(tài)發(fā)展的觀點(diǎn)研究系統(tǒng)的不安全性問(wèn)題, 并提出了系統(tǒng)安全經(jīng)絡(luò)圖分解方法, 利用安全經(jīng)絡(luò)圖的元誘因考察系統(tǒng)的安全性, 以此治療系統(tǒng)元誘因和控制系統(tǒng)的安全態(tài)勢(shì), 雖然與網(wǎng)絡(luò)安全有關(guān)的眾多文獻(xiàn)資料研究了如何利用現(xiàn)有技術(shù)確保系統(tǒng)的安全性, 但是在故障分析和策略選擇等方面仍然還存在部分理論的不足[12–18]. 文獻(xiàn)[1,2] 等在博弈論和系統(tǒng)論的基礎(chǔ)上分析了黑客攻防模式和最佳攻擊策略等, 但是在如何選擇元誘因治療的最佳策略和實(shí)踐模式仍然沒(méi)有做出詳細(xì)的分析, 所以本文從基于元誘因的不安全事件分解的視角出發(fā), 構(gòu)建元誘因治療的數(shù)學(xué)模型, 利用概率效益矩陣選擇最佳元誘因治療策略, 并依靠狀態(tài)轉(zhuǎn)移中的不安全熵等分析系統(tǒng)安全變化趨勢(shì), 期待為網(wǎng)絡(luò)安全系統(tǒng)的管理和設(shè)計(jì)等提供參考和指導(dǎo), 同時(shí)這也為研究系統(tǒng)安全的密碼學(xué)理論提供了一種新的思路.

本文結(jié)構(gòu)如下: 第2 節(jié)介紹安全經(jīng)絡(luò)圖分解的相關(guān)知識(shí)和本文需要用到的一些相關(guān)概念; 第3 節(jié)給出基于元誘因治療的數(shù)學(xué)模型和系統(tǒng)安全趨勢(shì)的分析思路, 通過(guò)概率矩陣選擇最佳的治療策略組合, 并且用系統(tǒng)轉(zhuǎn)移過(guò)程中的不安全熵和期望效益變化來(lái)刻畫(huà)系統(tǒng)的安全趨勢(shì); 第4 節(jié)對(duì)分析系統(tǒng)不安全事件的治療思路和方案, 并通過(guò)模擬仿真描繪系統(tǒng)狀態(tài)變化趨勢(shì); 第5 節(jié)是對(duì)全文的一個(gè)總結(jié).

2 基礎(chǔ)知識(shí)

2.1 有限系統(tǒng)不安全事件的素分解

2.2 有限系統(tǒng)不安全事件A 的素誘因和元誘因分解

定義3[1]設(shè)X 是B 的一個(gè)真子集, 若P(B|X)>P(B), 則X 為B 的一個(gè)誘因.

定義4[1]設(shè)X 和Y 是B 的兩個(gè)誘因, 同時(shí)滿足X ∩Y =?和B =X ∪Y, 則B 是可分解的, 并稱X 和Y 是B 的兩個(gè)素誘因; 如果B 的兩個(gè)誘因X 和Y 不能繼續(xù)分析, 那么稱X 和Y 是B 的兩個(gè)元誘因.

3 元誘因治療的數(shù)學(xué)模型

3.1 系統(tǒng)安全經(jīng)絡(luò)圖的繪制算法

有限系統(tǒng)的不安全事件A 按事件—素事件—素誘因—元誘因的四級(jí)分解體制進(jìn)行分解, 并將分解的結(jié)果繪制成一棵倒生長(zhǎng)的安全經(jīng)絡(luò)圖(樹(shù)), 具體步驟為:

(1) 將不安全事件A 分解事件為D1,D2,··· ,Dm, 其中Di∩Dj不一定是空集.

(2) 進(jìn)一步對(duì)可再分解的事件Di分解為素事件B1,B2,··· ,Bs, 其中Bi∩Bj=?.

(3) 對(duì)分解的素事件進(jìn)行素誘因分解為R1,R2,··· ,Rt,Ri∩Rj=?.

(4) 對(duì)非元誘因的素誘因進(jìn)一步分解為元誘因c1,c2,··· ,cn.

在分解不安全事件時(shí), 需要注意的是分解的前提是針對(duì)有限系統(tǒng). 并且每一次分解都遵循定義1–4和定理1 和定理2 的分解原理, 在基于事件獨(dú)立性和和事件概率的基礎(chǔ)上進(jìn)行分解.

在分解元誘因的過(guò)程中, 需要根據(jù)具體系統(tǒng)的結(jié)構(gòu)特點(diǎn)進(jìn)行事件和誘因劃分, 每次分解的素事件和素誘因都可以繼續(xù)在往下繼續(xù)分解, 如此進(jìn)行系統(tǒng)經(jīng)絡(luò)圖繪制.

基于上述的分析, 有限系統(tǒng)不安全事件A 的安全經(jīng)絡(luò)圖的算法如圖1 所示, 同時(shí)給出基于算法的一個(gè)分解示意圖.

算法1 有限系統(tǒng)不安全事件元誘因分解算法Input: Input system event A Output: output A = {c1,c2,··· ,cn}, graphA 1 A →{D1,D2,··· ,Dm}2 for i,j = 1 : N,and m ≤s ≤t ≤n ≤N,m,s,t,n ∈R do{D1,D2,··· ,Dm} = {B1,B2,··· ,Bs},s ≥m;5 end 6 if Bi = {R1,R2,··· ,Rj} then 3 if Di = {B1,B2,··· ,Bj}, then 4{B1,B2,··· ,Bs} = {R1,R2,··· ,Rt},t ≥s;8 end 9 if Ri = {y1,y2,··· ,yj} then 7 10 {R1,R2,··· ,Rt} = {c1,c2,··· ,cn}, n ≥t;11 end 12 graph A 13 end

圖1 系統(tǒng)安全經(jīng)絡(luò)圖繪制Figure 1 System safety meridian diagram drawing

3.2 元誘因治療機(jī)理的函數(shù)構(gòu)建和分析法

從圖1 可知, 要治療系統(tǒng)的元誘因可采取分而治之的策略, 按照至下而上依次治療. 只要底層元誘因被治愈, 那么由該元誘因所決定的素誘因或者素事件就會(huì)被治愈, 即會(huì)引發(fā)不安全事件A 的自愈效應(yīng). 所以元誘因作為系統(tǒng)不安全的病因所在, 只要能夠充分把握住元誘因的狀態(tài)和發(fā)展趨勢(shì), 就能成功的把握系統(tǒng)的安全態(tài)勢(shì). 假設(shè)對(duì)于有限系統(tǒng)的不安全事件, 在沒(méi)有受到刺激時(shí), 元誘因由其內(nèi)部屬性及調(diào)節(jié)參數(shù)通過(guò)生成機(jī)制的作用形成, 即若系統(tǒng)的元誘因在受到刺激的作用時(shí)發(fā)生病變, 則構(gòu)成誘因函數(shù), 其中是刺激對(duì)作用后的病變?cè)T因.

假設(shè)對(duì)于有限系統(tǒng)的不安全事件A, 在沒(méi)有受到刺激時(shí), 元誘因yi由其內(nèi)部屬性q ={q1,q2,··· ,qn}及調(diào)節(jié)參數(shù)k = {k1,k2,··· ,kn} 通過(guò)生成機(jī)制κ 的作用形成, 即Y = κ{q,k}. 若不安全事件A 的元誘因yi在受到刺激ti的作用時(shí)發(fā)生病變, 則構(gòu)成誘因函數(shù)ci=?(yi,ti), 其中ci是刺激ti對(duì)yi作用后的病變?cè)T因.

在元誘因沒(méi)有被激發(fā)的時(shí)候, 那么不需要對(duì)誘因進(jìn)行治療, 只需要嚴(yán)密觀測(cè)每個(gè)元誘因的狀態(tài), 以及減少對(duì)元誘因可能產(chǎn)生作用的外部刺激. 此時(shí)的保護(hù)策略是制定一系列的安全預(yù)防機(jī)制, 并且針對(duì)每個(gè)元誘因設(shè)置不同的狀態(tài)報(bào)警器, 按時(shí)匯總并分析元誘因的整體安全狀態(tài).

若元誘因在內(nèi)部屬性和刺激ti的綜合作用下被激活并對(duì)系統(tǒng)產(chǎn)生了安全威脅, 為了保護(hù)系統(tǒng)的安全性, 則需對(duì)其誘因函數(shù)進(jìn)行治療. 治療每個(gè)元誘因需對(duì)誘因函數(shù)進(jìn)行反病因分析, 由于誘因函數(shù)? 是由變量q,k,ti決定, 故一定存在相應(yīng)的治療原理f(q,k) 和f(ti), 綜合誘因治療原理構(gòu)成治療函數(shù)f(ci,ti). 治療函數(shù)f 需要根據(jù)誘因函數(shù)? 進(jìn)行綜合分析, 其目標(biāo)是利用誘因函數(shù)使元誘因恢復(fù)到正常狀態(tài)即yi=f(ci,ti). 由于導(dǎo)致不同元誘因病變的誘因函數(shù)不盡相同, 所以可以找到所有元誘因的誘因函數(shù)集合為?={?1,?2,··· ,?m}, 因此同樣也存在對(duì)應(yīng)的治療函數(shù)集合為f ={f1,f2,··· ,fm}, m ≥n.

在治療元誘因時(shí), 需要在治療函數(shù)的基礎(chǔ)上結(jié)合各種可用的現(xiàn)實(shí)資源或者治療方法設(shè)計(jì)ci的治療策略, 稱為策略函數(shù)si= θ(fi,zi), 其中zi表示現(xiàn)實(shí)資源或條件. 在治療元誘因時(shí)選用的不同策略形成的策略空間記為S ={s1,s2,··· ,sm)}={θ(f1,z1),θ(f2,z2),··· ,θ(fm,zm)}.

定理3 治療函數(shù)f 是誘因函數(shù)? 的逆向制約函數(shù).

證明: 假設(shè)yi被激活為ci, 則可能是ci= ?(yi,ti) 中的q 或k 或ti發(fā)生了變化, 那么一定對(duì)應(yīng)存在對(duì)應(yīng)的屬性、參數(shù)和刺激的治療方法f(q,k) 和f(ti), 其中治療方法是對(duì)ci的病因? 進(jìn)行逆向構(gòu)建, 使ci=?(yi,ti)回到安全狀態(tài),此時(shí)將治療工具組合成治療函數(shù)yi=f(ci,ti).從而可知f(ci,ti)是?(yi,ti)的逆向制約函數(shù).

注: 由于激活每個(gè)元誘因的誘因函數(shù)?i不盡相同, 所以針對(duì)元誘因yi的治療函數(shù)fi就不會(huì)相同, 從而根據(jù)治療函數(shù)fi設(shè)計(jì)的治療策略si就不唯一. 即與每個(gè)元誘因?qū)?yīng)的策略函數(shù)可以根據(jù)元誘因的具體情況進(jìn)行調(diào)整和設(shè)計(jì), 那么對(duì)于每個(gè)元誘因可能存在多個(gè)策略函數(shù),

在檢測(cè)硬件系統(tǒng)不安全事件A 的故障原因時(shí), 需要按照不安全事件A 的現(xiàn)狀, 并結(jié)合可能導(dǎo)致該現(xiàn)狀的素事件和素誘因確定病因所在, 從而實(shí)現(xiàn)不安全事件A 的素誘因定位, 針對(duì)誘發(fā)該素誘因的元誘因進(jìn)行仔細(xì)分析, 包括考察與元誘因有關(guān)的物理屬性、結(jié)構(gòu)屬性和功能屬性等, 若各屬性正常, 則考察各個(gè)元誘因在受到黑客攻擊ti的作用時(shí)如何引發(fā)不安全事件A, 從而尋找到導(dǎo)致系統(tǒng)故障的誘因函數(shù), 進(jìn)而再建立對(duì)應(yīng)的治療函數(shù). 根據(jù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中多數(shù)的系統(tǒng)底層元誘因的分析, 可以把黑客攻擊不安全事件A的主要屬性和誘因函數(shù)分析如下.

編號(hào) 屬性名稱 屬性描述 元誘因構(gòu)成方式 元誘因受損模式q1 物質(zhì)屬性 構(gòu)成元誘因的基本物理元件 以物理性和物質(zhì)狀態(tài)的基本原理體現(xiàn) 相關(guān)物質(zhì)被損壞等q2 結(jié)構(gòu)屬性 體現(xiàn)元誘因的組成機(jī)制和模式 元誘因的基本組成原理和構(gòu)造方式 元件結(jié)構(gòu)受損或紊亂等q3 功能屬性 表示元誘因基本功能屬性狀態(tài) 以實(shí)現(xiàn)的功能需求為主導(dǎo), 形成功能的關(guān)聯(lián) 功能元件丟失或失調(diào)等q4 數(shù)值屬性 元誘因的邏輯參數(shù)和相關(guān)數(shù)值 元誘因的基本參數(shù)集合和形成的特征數(shù)據(jù) 數(shù)值缺失和參數(shù)錯(cuò)誤等

表1 中, 將不安全事件A 的元誘因?qū)傩苑譃樯鲜鏊膫€(gè)方面, 并且當(dāng)黑客選擇攻擊系統(tǒng)時(shí), 總可以選擇對(duì)元誘因的物理元件或功能結(jié)構(gòu)等進(jìn)行攻擊. 黑客等在攻擊系統(tǒng)時(shí)需要對(duì)這些屬性進(jìn)行分析和處理, 每個(gè)屬性對(duì)應(yīng)著不同的屬性值, 重點(diǎn)是弄明白每個(gè)屬性的作用和屬性之間的相互影響. 下面我們把導(dǎo)致不安全事件A 可能遭受的主要刺激(攻擊方式) 歸納如下.

編號(hào) 名稱 誘因函數(shù) 誘因函數(shù)描述 治療函數(shù) 治療函數(shù)描述t1 物理攻擊 ci = w1(yi,t1) 對(duì)相關(guān)元誘因的屬性狀態(tài)施加物理攻擊或其他黑客攻擊, 使得元誘因物理受損yi = f1(ci,t1) 修復(fù)更換受損元件, 入侵檢測(cè)和設(shè)置防火墻, 多層物理隔離等方法t2 共謀攻擊 ci = w2(yi,t2) 某管理員私下泄露系統(tǒng)密碼文件 yi = f1(ci,t2) 加強(qiáng)管理, 數(shù)據(jù)加密備份,更新密碼方案和協(xié)議t3 木馬病毒 ci = w3(yi,t3) 通過(guò)電子郵件或系統(tǒng)漏洞將病毒程序代碼安裝到目標(biāo)用戶, 并使之運(yùn)行yi = f1(ci,t3) 查殺病毒, 安裝補(bǔ)丁, 安裝防火墻, 修補(bǔ)系統(tǒng)程序漏洞t4 拒絕服務(wù) ci = w4(yi,t4) 通過(guò)占用系統(tǒng)服務(wù)器或者CPU的運(yùn)行內(nèi)存等讓系統(tǒng)陷入癱瘓,終止網(wǎng)絡(luò)服務(wù)等yi = f1(ci,t4) 進(jìn)行系統(tǒng)加固或重載服務(wù)器等措施

表2 通過(guò)分析黑客攻擊系統(tǒng)的部分途徑和方法研究元誘因的病變函數(shù)和治療函數(shù), 從而對(duì)系統(tǒng)不安全事件采取不同的治療策略進(jìn)行處理. 對(duì)于實(shí)例中的誘因函數(shù)集? = {?1,?2,?3,?4} 和治療函數(shù)集f ={f1,f2,f3,f4}, 通過(guò)結(jié)合現(xiàn)實(shí)資源和方法形成相應(yīng)的治療策略S ={s1,s2,s3,s4}.

3.3 基于概率矩陣和期望效益的元誘因治療分析

在研究不安全事件的治療方案時(shí)需要考察各個(gè)病變?cè)T因的治療策略, 即在治療過(guò)程中, 如何選擇出最佳的治療策略組合{s1,s2,s3,s4} 去治療病變?cè)T因{c1,c2,c3,c4}

對(duì)病變?cè)T因的治療需要考察每個(gè)治療策略對(duì)不同元誘因治愈的概率大小, 同時(shí)還要考察不同治療策略治療元誘因的期望收益. 在選擇最佳治療策略組合時(shí), 可按照不同策略治愈元誘因的概率結(jié)合治療成本及期望效益等共同決定, 使得治療策略組合能夠獲得治療總收益最大化.

假設(shè)si治愈ci的概率記為p(ci|si), 那么不同治療策略治愈不同元誘因的概率矩陣如下

此時(shí)若僅考慮從每個(gè)策略治愈的概率大小進(jìn)行策略選擇, 那么按照治愈概率大小剔除劣勢(shì)概率策略就可以找到最佳的治療策略組合. 但是由于不同策略治愈元誘因成本不一樣, 產(chǎn)生的收益也會(huì)有差異, 若在治療系統(tǒng)前, 計(jì)算出治療元誘因的系統(tǒng)期望收益和總收益, 則按照期望收益和總收益的情況進(jìn)行策略選擇比按照概率進(jìn)行選擇更具合理性.

對(duì)于系統(tǒng)不安全事件而言, 正如不同構(gòu)成要件對(duì)系統(tǒng)整體產(chǎn)生的影響值不同一樣, 所以每個(gè)元誘因?qū)Σ话踩录酥琳麄€(gè)系統(tǒng)產(chǎn)生的影響不同. 假設(shè)元誘因ci對(duì)系統(tǒng)產(chǎn)生的期望效益影響值為mi時(shí), 那么治愈單個(gè)元誘因的期望效益值可記為Ei= p{ci|si}mi. 如果治療元誘因花去成本為αi, 那么此時(shí)治愈單個(gè)元誘因的收益為Ri=Ei?αi.

因此, 若各個(gè)元誘因?qū) 的期望效益影響值分別為{m1,m2,··· ,mn}, 治愈不同元誘因的成本為{α1,α2,··· ,αn}, 則根據(jù)不同治療策略的概率矩陣可計(jì)算出治療系統(tǒng)的所有元誘因所獲得總收益為

其中si(i = 1,2,··· ,n) 是病變?cè)T因ci的治療策略之一, E 和α 分別表示治療元誘因所獲得的總期望效益和花去的總成本, 包括經(jīng)濟(jì)成本和時(shí)間成本.

那么根據(jù)公式(1), 從矩陣P 中選出每個(gè)病變?cè)T因的治療策略si, 則根據(jù)元誘因成本α, 期望效益影響值m 去計(jì)算治療元誘因的期望效益和總收益如表3 所示.

C →Y C →y1 C →y2 ··· C →yi ··· C →yn s1 s2 ··· si ··· sn m m1 m2 ··· mi ··· mn α α1 α2 ··· αi ··· αn s E E1 E2 ··· Ei ··· En R r1 = E1 ?α1 r2 = E2 ?α2 ··· ri = Ei ?αi ··· rn = En ?αn

對(duì)不安全事件的治療成本和效益影響值需要根據(jù)具體的系統(tǒng)環(huán)境和現(xiàn)實(shí)情況進(jìn)行計(jì)量, 一般數(shù)據(jù)來(lái)自于對(duì)大量數(shù)據(jù)的統(tǒng)計(jì)分析整理獲得. 在元誘因的治療過(guò)程中, 由于一個(gè)元誘因可能存在多個(gè)可供使用的策略, 且不同策略對(duì)不同元誘因產(chǎn)生的利潤(rùn)不同, 則根據(jù)概率矩陣和成本損耗等算出治療的期望效益和總收益, 對(duì)治療收益值的大小順序進(jìn)行遞減排序, 利用剔除劣勢(shì)策略的方式找到最優(yōu)策略來(lái)迅速找到最佳的元誘因治療策略, 即最優(yōu)策略組合為

3.4 狀態(tài)轉(zhuǎn)移中的安全趨勢(shì)和收益變化分析

3.4.1 系統(tǒng)狀態(tài)轉(zhuǎn)移與安全趨勢(shì)分析

若不安全事件A 的元誘因經(jīng)過(guò)一輪治療后由初始狀態(tài)Z0轉(zhuǎn)變?yōu)闋顟B(tài)Z1, 并從狀態(tài)Zi轉(zhuǎn)變到狀態(tài)Zi+1. 假設(shè)存在狀態(tài)轉(zhuǎn)移函數(shù)為中T : Zi×S →Zi+1, 其中T(Zi,s,Zi+1),i = 0,1,··· ,n 表示對(duì)Zi狀態(tài)的元誘因執(zhí)行策略組合S 后轉(zhuǎn)為狀態(tài)Zi+1. 在狀態(tài)轉(zhuǎn)移過(guò)程中, 因?yàn)榻?jīng)過(guò)治療之后的元誘因可能被治愈, 也可能沒(méi)有被治愈, 同時(shí)可能還有新的元誘因被激活, 所以系統(tǒng)的安全性就會(huì)隨著元誘因治療的過(guò)程不斷地發(fā)生安全趨勢(shì)變化, 而所采用的基本策略空間S 前后保持不變, 所以對(duì)系統(tǒng)的安全性我們進(jìn)行深入的分析.

定義5[1]在一個(gè)有限系統(tǒng)的不安全事件A 中, 若元誘因造成系統(tǒng)的不安全性用自安全量I(ci) =?log p(ci) 表示, 則不安全事件A 的安全性大小可以用自安全量的概率加權(quán)的平均值來(lái)度量, 即自安全量的數(shù)學(xué)期望不安全熵來(lái)刻畫(huà)如下

其中p(ci) 表示元誘因yi病變ci為的概率.

對(duì)系統(tǒng)的整體安全性, 可以考察系統(tǒng)在治療過(guò)程中的前后狀態(tài)的不安全熵的變化趨勢(shì), 利用不安全熵的增量變化趨勢(shì)指導(dǎo)元誘因的治療. 假設(shè)記系統(tǒng)的不安全熵增量為

從上式可以計(jì)算出不安全熵隨著狀態(tài)轉(zhuǎn)移的變化情況, 根據(jù)系統(tǒng)前后狀態(tài)的熵增量可定量研究系統(tǒng)的安全狀態(tài). 即系統(tǒng)不安全熵增量變化狀況可分為以下幾類情況進(jìn)行分析.

(1) 若△H = 0, 表示系統(tǒng)不安全事件A 的前后兩個(gè)狀態(tài)沒(méi)有發(fā)生不安全熵的變化, 但是從時(shí)間的角度來(lái)說(shuō), 系統(tǒng)的安全性保持穩(wěn)定. 此時(shí)系統(tǒng)由上一個(gè)狀態(tài)到達(dá)當(dāng)前狀態(tài), 可能是由于被激活的元誘因未被成功治愈, 或者是系統(tǒng)沒(méi)有發(fā)生新的元誘因被激活, 或者是激活的元誘因和被治愈的元誘因?qū)ο到y(tǒng)不安全熵的影響等價(jià)抵消.

(2) 若△H > 0, 系統(tǒng)不安全事件件A 的不安全熵減少, 此時(shí)系統(tǒng)變得比以前更加安全了. 發(fā)生這種情況主要是由于系統(tǒng)的元誘因被成功治愈或者是系統(tǒng)采取加固措施對(duì)元誘因進(jìn)行加固, 此時(shí)前一狀態(tài)的不安全熵高于當(dāng)前狀態(tài)的不安全熵.

(3) 若△H <0, 系統(tǒng)不安全事件件A 的不安全熵發(fā)生增加. 此時(shí)可能是元誘因被外部刺激成功激活,或者是新激活的元誘因?qū)ο到y(tǒng)產(chǎn)生的影響大過(guò)被治愈的元誘因?qū)е碌挠绊?

在研究系統(tǒng)的不安全性方面, 采取措施對(duì)系統(tǒng)元誘因進(jìn)行治療, 為的就是將系統(tǒng)的不安全因素清除或者加固系統(tǒng)元誘因, 減少系統(tǒng)的不安全熵. 那么在多輪的系統(tǒng)元誘因治療過(guò)程中, 系統(tǒng)應(yīng)該盡量保證自身的不安全熵能夠逐漸減少或者保持平穩(wěn)以使得系統(tǒng)不發(fā)生安全事故, 從而促進(jìn)系統(tǒng)整體狀態(tài)變好.

3.4.2 狀態(tài)轉(zhuǎn)移中的期望收益和安全性分析

按照3.4.1 對(duì)不安全熵的定量研究方法, 可以分為以下幾類情況對(duì)期望收益進(jìn)行分析.

(1) 若△R = 0, 表示系統(tǒng)不安全事件A 的前后兩個(gè)狀態(tài)沒(méi)有發(fā)生收益的變化, 這說(shuō)明對(duì)系統(tǒng)沒(méi)有產(chǎn)生新的收益.

(2) 若△R < 0, 系統(tǒng)不安全事件的收益減少, 此時(shí)系統(tǒng)變得總價(jià)值減少. 這時(shí)需要加強(qiáng)對(duì)系統(tǒng)的管理和投入.

(3) 若△R>0, 系統(tǒng)不安全事件的收益發(fā)生增加, 符合對(duì)系統(tǒng)的價(jià)值的追求.

在研究系統(tǒng)的收益方面, 采取措施對(duì)系統(tǒng)元誘因進(jìn)行治療, 是為將系統(tǒng)的不安全因素清除和加固元誘因, 增加系統(tǒng)的收益.

在實(shí)例中, 假設(shè)系統(tǒng)不安全事件A 的不安全熵和期望收益隨著病變?cè)T因被治愈的狀態(tài)變化而變化,其中對(duì)其不安全熵的三種可能情況記為{△H >0,△H =0,△H <0}={1,0,?1}, 期望收益的三種情況也可以記為{△R > 0,△R = 0,△R < 0} = {1,0,?1}. 在分析系統(tǒng)的不安全狀態(tài)和收益變化兩方面的因素時(shí), 需要根據(jù)兩者的邊緣趨勢(shì)變化來(lái)分析系統(tǒng)的聯(lián)合變化趨勢(shì), 從而決定如何有針對(duì)性的選擇治療策略.

對(duì)于系統(tǒng)的發(fā)展和安全趨勢(shì)來(lái)說(shuō), 最佳的狀態(tài)是不安全熵減少, 收益值增加, 即{△H > 0,△R >0} = {1,1}. 在進(jìn)行系統(tǒng)管理的過(guò)程中, 經(jīng)常不能實(shí)現(xiàn)兩者的共贏, 那么在管理者的利益需求和安全需求的雙向要求下如何進(jìn)行協(xié)調(diào)成為重要的問(wèn)題. 根據(jù)發(fā)展和安全的辯證關(guān)系, 系統(tǒng)應(yīng)該追求在相對(duì)安全下的最佳利益, 所以我們首先關(guān)注系統(tǒng)不安全熵的變化趨勢(shì)問(wèn)題, 只有系統(tǒng)在越來(lái)越安全的情況才能實(shí)現(xiàn)有價(jià)值的發(fā)展需求. 所以最佳的狀態(tài)為{△H > 0,△R > 0} = {1,1}, 如果在無(wú)法兩者兼顧的情況下以不安全熵為先, 然后追求利益最大化.

表4 是對(duì)不安全熵和收益的邊緣變化趨勢(shì)和聯(lián)合變化趨勢(shì)的分析. 當(dāng)△R > 0 和△H > 0 時(shí)記策略值為1, 當(dāng)△R=0 和△H =0 時(shí)記策略值為0, 當(dāng)△R<0 和△H <0 時(shí)記策略值為?1. 在熵策略和效益策略兩個(gè)維度的策略選擇上, 根據(jù)博弈論的基本原理可知, 最佳的均衡點(diǎn)是{1,1}.

△H > 0 △H = 0 △H < 0 效益趨勢(shì) 熵策略△R > 0 {1,1} {1,0} {1,?1} 效益增加 {1,1}△R = 0 {0,1} {0,0} {0,?1} 效益穩(wěn)定 {0,1}△R < 0 {?1,1} {?1,0} {?1,?1} 效益減少 {?1,1}熵趨勢(shì) 更加安全 平穩(wěn)狀態(tài) 風(fēng)險(xiǎn)增加 0 熵最佳效益策略 {1,1} {1,0} {1,?1} 效益最佳 {1,1}

經(jīng)過(guò)一輪治療后, 因?yàn)椴糠直患ぐl(fā)的元誘因被治愈, 所以系統(tǒng)的不安全熵減少, 系統(tǒng)趨向于更安全的狀態(tài), 同時(shí)這樣狀態(tài)也會(huì)為系統(tǒng)帶來(lái)經(jīng)濟(jì)收益, 如果經(jīng)濟(jì)收益也同時(shí)增加說(shuō)明這樣的治療策略是所有策略中的雙贏策略. 前面對(duì)治療策略的選擇是根據(jù)被激活元誘因被治愈的可能性大小進(jìn)行劣勢(shì)策略剔除留下的優(yōu)勝策略, 但是沒(méi)有對(duì)策略引起的安全趨勢(shì)和效益做深層次分析, 此處相當(dāng)于是對(duì)策略選擇的一個(gè)重新證明和反向印證, 這對(duì)改進(jìn)策略選擇有著很好的幫助. 一般來(lái)說(shuō)對(duì)元誘因越有效的策略也會(huì)帶來(lái)更多的收益.

對(duì)系統(tǒng)不安全事件實(shí)施多次治療, 需要根據(jù)每個(gè)系統(tǒng)安全變化趨勢(shì)展開(kāi)系統(tǒng)論證和分析. 隨著被激活元誘因不斷被治愈, 新的元誘因也會(huì)因?yàn)楦鞣N外界原因重新被激活, 正如黑客生存規(guī)律符合系統(tǒng)自我平衡的生物學(xué)定律一般, 系統(tǒng)的安全趨勢(shì)最終會(huì)趨向于一個(gè)動(dòng)態(tài)的穩(wěn)定值, 元誘因的生存狀態(tài)是此起彼伏的.

4 元誘因治療實(shí)踐分析與模擬仿真

通過(guò)第3 節(jié)對(duì)元誘因治療數(shù)學(xué)模型的分析, 可將基于安全經(jīng)絡(luò)圖的元誘因治療過(guò)程分為四個(gè)階段.

(1) 綜合分析階段. 本階段的主要任務(wù)包括對(duì)有限系統(tǒng)A 的安全經(jīng)絡(luò)圖分解和繪制, 通過(guò)尋找元誘因的內(nèi)外屬性和形成機(jī)理去構(gòu)建誘因函數(shù)和與之相對(duì)應(yīng)的治療策略, 對(duì)已激活的元誘因進(jìn)行綜合分析.

(2) 策略決策階段, 本階段的主要任務(wù)是利用階段(1) 形成的數(shù)據(jù)信息去計(jì)算元誘因治療的概率效益矩陣, 為有限系統(tǒng)A 的所有元誘因選取到最佳治的療策略組合, 并在此基礎(chǔ)上展開(kāi)元誘因的治療. 治療時(shí)尤其關(guān)注內(nèi)外環(huán)境的變化和可供利用的資源, 要充分使用各項(xiàng)有效資源進(jìn)行治療.

(3) 效果反饋階段. 通過(guò)對(duì)元誘因的治療之后考察治療的元誘因狀態(tài)和效益轉(zhuǎn)移情況, 并根據(jù)治療前后狀態(tài)的不安全熵和效益狀態(tài)的變化趨勢(shì)分析治療的效果如何. 在治療中通過(guò)分析狀態(tài)的轉(zhuǎn)移及時(shí)發(fā)現(xiàn)問(wèn)題所在, 利用反饋的治療效果更好地進(jìn)行管理和決策服務(wù).

(4) 迭代調(diào)整階段. 經(jīng)過(guò)效果反饋和誘因進(jìn)一步尋找以及對(duì)治療策略和相關(guān)狀態(tài)的深入分析, 充分考慮從一輪治療到多輪治療的過(guò)程中怎么進(jìn)行治療策略迭代調(diào)整, 對(duì)每一輪的治療都要做到及時(shí)有效最優(yōu)的目標(biāo), 示意圖如圖2.

上述四個(gè)階段是按照分析反饋迭代調(diào)整的治療思路對(duì)元誘因進(jìn)行治療, 在治療過(guò)程中的創(chuàng)新變化和策略組合調(diào)整等需要根據(jù)具體情況具體分析.

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)遭受黑客攻擊的不安全事件而言, 主要的元誘因事件有病毒攻擊、系統(tǒng)漏洞攻擊、欺詐類攻擊和木馬攻擊四個(gè), 同時(shí)針對(duì)這四個(gè)攻擊的治療策略主要包括訪問(wèn)控制策略、網(wǎng)絡(luò)信息加密策略、入侵檢測(cè)策略、防火墻策略、秘鑰管理策略和漏洞補(bǔ)丁策略等.

在進(jìn)行計(jì)算機(jī)不安全事件元誘因治療時(shí), 首先對(duì)于上述黑客攻擊事件, 按照3.3 和3.4 中對(duì)實(shí)驗(yàn)數(shù)據(jù)的要求搭建實(shí)驗(yàn)環(huán)境, 并在多次模擬攻防實(shí)驗(yàn)中, 針對(duì)系統(tǒng)的不安全事件采集相關(guān)的數(shù)據(jù), 然后利用采集的數(shù)據(jù)統(tǒng)計(jì)分析出不安全事件的4 個(gè)元誘因的基本信息和相關(guān)治療策略, 最后按照不同策略治愈元誘因的概率P、治療成本α 等計(jì)算效益.

基于采集的數(shù)據(jù)在總結(jié)經(jīng)驗(yàn)并計(jì)算出實(shí)驗(yàn)參數(shù)的基礎(chǔ)上, 然后利用模擬實(shí)驗(yàn)數(shù)據(jù)畫(huà)出在不同治療策略下計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭受黑客攻擊時(shí)的元誘因治愈概率對(duì)比圖3.

從圖3 可知, 針對(duì)不同的黑客攻擊方式可以采取不同的治療策略來(lái)治療系統(tǒng)元誘因. 由于每個(gè)治療策略的治療效果各不相同, 所以應(yīng)充分考慮從治療策略的實(shí)用性和治愈概率大小等角度選定治療策略.

圖2 元誘因治療的執(zhí)行思路和策略路徑圖Figure 2 Map of implementation thoughts and strategies of meta-inducement therapy

圖3 不同策略下病變?cè)T因被治愈的概率對(duì)比圖Figure 3 Comparison diagram of the probability of cure of pathologic factors under different strategies

同時(shí)還可以利用模擬的數(shù)據(jù)按照公式(3)和(4)計(jì)算出系統(tǒng)在黑客攻擊狀態(tài)下的不安全熵和期望效益,從而可以畫(huà)出這兩者隨著系統(tǒng)不安全概率變化的趨勢(shì)圖. 在模擬的元誘因治療數(shù)據(jù)中, 我們針對(duì)每個(gè)治療策略對(duì)系統(tǒng)產(chǎn)生的期望效益影響值進(jìn)行合理化設(shè)計(jì), 并且根據(jù)治療策略對(duì)系統(tǒng)不安全熵和產(chǎn)生效益變化趨勢(shì)的情況進(jìn)行模擬數(shù)值分析, 并給出趨勢(shì)圖如圖4.

從圖4 可知, 系統(tǒng)不安全事件被治愈的概率越高, 那么系統(tǒng)的不安全熵就越低. 即系統(tǒng)越安全的時(shí)候系統(tǒng)的不安全熵就會(huì)越低, 符合治療的目標(biāo).

圖5 顯示出系統(tǒng)的期望收益因治愈系統(tǒng)元誘因的概率變化而變化, 即系統(tǒng)的期望收益隨著系統(tǒng)元誘因被治愈概率越高則期望收益越大. 一般情況下兩者是正比關(guān)系, 但是期望收益與治療成本和治愈概率等因素有關(guān), 所以在進(jìn)行策略計(jì)算時(shí)需要綜合考察成本、影響值和治愈概率等因素. 由此看來(lái), 系統(tǒng)的不安全熵和期望收益是開(kāi)展元誘因治療的兩個(gè)重要目標(biāo), 所以掌握兩者的變化趨勢(shì)是十分重要的.

圖4 不同治療策略下系統(tǒng)不安全熵和概率變化圖Figure 4 Changes of system unsafe entropy and probability under different treatment strategies

圖5 系統(tǒng)期望收益隨著治愈概率變化的趨勢(shì)圖Figure 5 Trend chart of system expected revenue changing with treatment probability

5 結(jié)論

本文通過(guò)對(duì)有限系統(tǒng)不安全事件元誘因治療模型的分析得出以下幾點(diǎn)結(jié)論: 首先, 任何有限系統(tǒng)的不安全事件都可以通過(guò)系統(tǒng)安全經(jīng)絡(luò)圖進(jìn)行誘因檢索和分析, 利用系統(tǒng)的元誘因結(jié)構(gòu)設(shè)計(jì)系統(tǒng)的管理和整治方案, 對(duì)加強(qiáng)系統(tǒng)的安全控制等有著非常重要的作用; 其次, 借助對(duì)系統(tǒng)狀態(tài)轉(zhuǎn)移過(guò)程中元誘因不安全熵和效益隨狀態(tài)轉(zhuǎn)移的分析, 幫助系統(tǒng)管理員通過(guò)調(diào)整狀態(tài)轉(zhuǎn)移過(guò)程的參數(shù)來(lái)促進(jìn)系統(tǒng)狀態(tài)朝向預(yù)定目標(biāo)轉(zhuǎn)變; 再次, 本文結(jié)合信息論和密碼學(xué)的研究成果進(jìn)行模型構(gòu)建, 利用系統(tǒng)不安全熵增量和效益變化情況來(lái)分析系統(tǒng)的整體安全性, 這方便于在進(jìn)行系統(tǒng)安全控制和管理時(shí)依照相關(guān)原理設(shè)計(jì)相應(yīng)的安全狀態(tài)警報(bào)器, 以不安全熵作為參考依據(jù)進(jìn)行嚴(yán)密觀測(cè)和處理; 最后, 我們給出一個(gè)行之有效的元誘因治療思路, 有助于實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)不安全事件的全面控制和精準(zhǔn)治理, 同時(shí)也可以促進(jìn)密碼學(xué)對(duì)系統(tǒng)安全控制等的研究, 對(duì)增強(qiáng)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全和進(jìn)行數(shù)據(jù)保密分析等方面也有著重要的意義.

本文是基于在密碼學(xué)網(wǎng)絡(luò)安全研究的大框架下對(duì)系統(tǒng)的不安全事件進(jìn)行研究, 屬于密碼學(xué)研究的一個(gè)新視角. 雖然模型已對(duì)元誘因治療策略等進(jìn)行了分析, 但是對(duì)攻防體系中的元誘因相互關(guān)聯(lián)性等問(wèn)題還沒(méi)有進(jìn)行論述, 這是未來(lái)需要重點(diǎn)考慮的重點(diǎn)工作之一, 在此基礎(chǔ)上我們可以繼續(xù)分析在攻防體系中的元誘因治療方案.