安全通论第10章安全对抗的宏观描述课件.pptx

第第1010章章-安全对抗的宏观描述安全对抗的宏观描述早在200多年前，亚当斯密就在其国富论中指出，当自由市场经济充分竞争时，总有一只“看不见的手”，牵引着竞争各方，最终达成互利在网络空间中，黑客与红客的竞争对抗非常激烈，而且，还会越来越激烈但是，在网络空间的黑客和红客对抗中，也有一只“看不见的手”，让他们心平气和地休战（当然，也可以说是为下一场、更惨烈的对抗战做准备）10 10 安全对抗的宏观描述安全对抗的宏观描述本章将在攻防一体的情况下，描绘这只“看不见的手”的数学本质，以及这只手到底是怎么安抚黑客和红客的，此外，还再一次从另一角度证实了网络安全的“三状态”观念；即，黑客与红客的对抗，除了“你死”和“我活”之外，还有“均衡”状态10 10 安全对抗的宏观描述安全对抗的宏观描述1.充分竞争的共性2.攻防一体的“经济学”模型3.寻找“看不见的手”4.小结与邀请第第1010章章 安全对抗的宏观描述安全对抗的宏观描述只有在充分竞争的“市场经济”中，才会出现这只“看不见的手”，而在缺乏竞争的“计划经济”中，这只“手”就永远也不会出现，当然也就更看不见了哪里有充分竞争，哪里就会出现那只“看不见的手”！10.1 10.1 充分竞争的共性充分竞争的共性 在网络空间安全中，红客和黑客处于激烈的竞争状态，因此，猜测其中也存在“看不见的手”。

关键是要把这只“手”画出来因此，就需要借助经济学的“一般均衡理论”成果，来探索那只“看不见的手”的数学实质为此，首先在攻防一体的假设下，建立红客和黑客竞争对抗的“经济学”模型10.1 10.1 充分竞争的共性充分竞争的共性 建立“经济学”模型的原因经济可数字化（比如，政治、军事等就很难数字化），从而，为后续的量化研究奠定基础红客与黑客攻防竞争的真正的、相同的最终目的：经济利益可以借用经济学数百年来的众多成果，特别是微观经济学的“一般均衡理论”10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 攻防一体每一个人（用户）都既是红客，又是黑客；他既要保护自己的信息系统，又要想攻击别人的系统于是，就没必要刻意区分谁是红客，谁是黑客了，而统一都把他们看成用户10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 H：所有可能用户的集合（有限集）对每个用户hH来说，可能拥有多个规模不同、价值不同、安全度不同的信息系统，比如网银帐号、社交帐号、电子邮件系统、个人电脑、办公自动化系统、甚至还有大型的网络应用信息系统等。

系统”采用了贝塔朗菲（一般系统论创始人）的定义，即，系统是相互联系、相互作用的诸元素的综合体；更形象地说，系统是能够完成一种或者几种功能的多个部分按照一定的秩序组合在一起的结构10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 假设：每个用户都不亲自动手从事攻防活动，而是雇佣一批能力完全相同的、不带感情色彩的机器黑客（红客）来帮忙，保障其公平性机器黑客得根据被攻击系统的安全程度，来公平地向用户收取雇佣费；10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 机器黑客允许用户毁约，即，当它受雇将某个信息系统攻破后，在向雇主收取佣金时，如果雇主觉得要价太高了，那么，它可以降价，甚至雇主想给多少就给多少，绝不讨价还价；但是，如果雇主出价低于攻击成本，那么机器黑客将把该系统原样归还给原来的主人；如果雇主出价高于攻击成本，那么机器黑客交付给雇主的也只是一个“装有被攻破系统的、且定时才能打开的信封”10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 如果雇主甲给钱较少，若另一雇主乙却想以高一点的价来购买“甲刚刚获得的信封”时，机器黑客会重新攻破雇主甲，把这个信息系统装入另一个“定时才能打开的信封中”，卖给雇主乙；如此往复，直到所有用户不再有攻击意愿为止。

机器黑客只有受雇后，它才对目标系统发动攻击，而且自己从不主动攻击，更不会获取除佣金之外的其它收入10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 网上资金分类建设费，用于建设自己的信息系统，包括购买防火墙等和支付给红客的安全保护费等攻击费，用于雇佣机器黑客，攻破自己想要的、别人的目标信息系统业务费，用于自己的各信息系统中网络业务的正常开销，比如，存放在网络帐户中的散银、存放在红包中的钢镚儿等10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 网上资金分配专业红客:大部分网上资金，都分配给了建设费，意在构筑牢不可破的安全防线专业黑客:大部分网上资金，都分配给了攻击费，意在攻破别人更多的系统，获取更多的黑产收入没有攻击意愿的普通用户:其攻击费预算可能为零，只雇佣红客来保护自己的信息系统一般人:纯粹根据个人意愿而定此外，业务费是分散存放的，不参与攻防活动，但是，一旦某个信息系统被攻破了，那么，在“定时打开的信封”被启封后，该系统中存放的所有经费，就归其新主人了10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 攻防一体的模型场景每个用户都从机器红客那里买得一批钱袋子，然后，将自己的业务费分装在这些钱袋子里；接着，在身上挂着自己的钱袋子，同时冲入竞技场中；然后，彼此（雇佣黑客）抢夺其它人身上的钱袋子，当然，自己身上的钱袋子也会被别人抢走；等到大家都再也没有抢夺意愿了，这便是那只“看不见的手”的神奇功效，它能安抚大家，停止对抗后，同时打开自己（抢来或守住）的钱袋子，于是，本轮攻防就结束了。

当大家清理完本轮战果后，还将进入下一轮类似的、可能更惨烈的抢夺战10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 用户集H中，所有用户的钱袋子总数:N（分别编号为1，2，N），N为有限整数用 户 h身 上 的 钱 袋 子 状 况：一 个 N维 2进 制 向 量x=(x1,x2,xN)，其中，若xi=1，则表示此刻第i个钱袋子仍然挂在用户h的身上；否则，若xi=0，则表示第i个钱袋子在别人身上10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 用户hH给自己预留的攻击费为rh:一个N维向量 其第i个分量的值，表示预算给第i个钱袋子的攻击费（如果该分量小于别人身上某个钱袋子的攻击成本价，那么，就不能得到别人的这个钱袋子，因此，这笔预算就白花了）rh各分量之和，不该小于该用户h冲入竞技场之前，其身上悬挂的所有钱袋子的攻破成本价之和10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 由于用户很多，又由于机器黑客并不讨价还价（只是低于攻破系统的成本价时，就罢工而已），所以，任何用户都没有实力来确定攻破每个钱袋子的佣金价格，而只能被动地接受竞争佣金价格某 个 时 刻，攻 破 第 i个 钱 袋 子 的 佣 金 价 格:pi，i=1,2,N;此 刻 所 有 钱 袋 子 的 攻 破 佣 金 价 格:N维 向 量p=(p1,p2,pN)，这个价格是会随着各用户给机器黑客出价的变化而变化。

10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 假设每个用户hH都是理性的在佣金向量为p时，用户h想争取抢到的钱袋子向量x，一定会满足不等式p.x=i=1Npixirh即，他的攻击费用预算rh永远不会被突破（如果x和y是两个N维向量，那么，记号xy就表示x的每个足标，都不超过向量y的相应足标）今后称满足这个预算限制的钱袋子向量x为可行向量形象地说，对交不起佣金的“抢劫计划”，用户是不会奢望的用户h的所有可行向量的集合记为Xh，它显然是空间R+N中的一个子空间，这里R+N表示足标全为非负的N维向量的集合10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 每个用户h都有自己的“抢钱袋子”偏好h:“h”是N维实数空间RN上的一个弱序关系（即，对任何的N维向量x，y，z都成立如下两条性质：1）自反性，xhx；2）传递性，若yhx同时zhy，那么就有zhx）用户要合理地追求自己的利益最大化10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 如果同时满足yhx和xhy（即，从用户h的偏好角度看，y和x并没有哪个占优势，此时也称“x与y无差异”，记为xhy），那么，用户就不会用现有的x去换取y，因为，他没能从中获得额外的利益嘛。

如果yhx成立，但是不成立xhy（即，从偏好角度看，x严格优于y，记为xhy），那么，用户就一定不会用x去换取y10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 关于用户的偏好，我们还可以做如下几个合理的假设假设1（弱单调性T1）：总有某个可行向量（比如，冲进竞技场之前，h自己身上的钱袋子向量）是自己看重的，并且，所有钱袋子（无论是自己的还是别人的）都是无害的准确地说，如果x和y是用户h的两个可行向量，而且xhy（即，在N维实向量x和y中，x的每个足标，都严格大于y的对应足标），那么，就有xhy，即，用户h严格偏好于x10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 假设2（连续性T2）：对每个用户h的任意给定的可行向量x0，由所有偏好优于x0的可行向量的集合 Ah（x0）=x：x是h的可行向量，并且x0hx 是闭集；同时，由所有偏好劣于x0的可行向量的集合 Gh（x0）=x：x是h的可行向量，并且xhx0 也是闭集这里“闭集”是集合论的基本术语，意指包 含自身边界的集合具体说来，从任何一个可行向量x出发，考虑用户h的可行向量集内的一个线段，从优于x的一端开始，最终行进到劣于x的点（可行向量）；该线段必定也包含了与x无差异的某点。

也就是说，当从优于x的点，行进到劣于x的点时，必然要触及到无差异点10.2 10.2 攻防一体的攻防一体的“经济学经济学”模型模型 假设3（严格凸性T3）：令yhx（当然，也包含了xhy的可 能性），且 xy，0ahy，即ax+(1-a)y严格优于y该假设的数学含义表明“可行向量集内，无差异曲线是严格弯曲的，其内部不存在平坦段”；其经济学含义是：不存在完全可替代的“钱袋子向量”，这也是日常生活常识10.3 10.3 寻找寻找“看不见的手看不见的手”定义10.1（阻碍）：一个联盟，其实就是用户集H的任何一个子集因此，每个用户自己，也可以构成一个单成员联盟若存在某个联盟S，及其可行向量集yh:hS（以下称为“配置”）满足如下三个条件，则称某配置xh:hH的建立将会受到阻碍：10.3 10.3 寻找寻找“看不见的手看不见的手”条件1，hSyhhSrh(这里的不等式意指在向量的各个坐标分量上都成立提醒：rh表示用户h的预算攻击费)；条件2，对所有的hS，有xhhyh；条件3，对某些gS，有yggxg，即，按照用户g的偏好，他的钱袋子向量yg严格优于钱袋子向量xg10.3 10.3 寻找寻找“看不见的手看不见的手”该定义10.1中，“阻碍”的基本思想是：若仅利用联盟S内的可得钱袋子资源，则S中的某成员（比如那个g）就能够获得一个新的“钱袋子向量”（yg），其偏好程度严格优于他原来的“钱袋子向量”（xg）（经济学上，称为g取得了一个“帕累托改进”），那么，联盟S将阻碍配置xh:hH的建立。

当联盟S考虑实施阻碍时，它只根据自己的资源和偏好来做出决策，而不关心联盟外用户（HS）的境况10.3 10.3 寻找寻找“看不见的手看不见的手”定义10.2（核）：配置核，简称“核”，是指任何联盟S都无法阻碍的可行配置所构成的集合根据该定义，与核相对应的配置具有如下性质：核中的所有配置都必须满足个人理性原则，即，若xh:hH是一个核配置，则对所有的hH，都必有：xh优于他冲进竞技场之前的钱袋子向量若没有此性质，则该核将被一个单成员联盟所阻碍，因为他的当前“钱袋子向量”比初始状态还差，此时的核配置违背了个人理性10.3 10.3 寻找寻找“看不见的手看不见的手”核中的任何配置都不可能再取得“帕累托改进”，也称为是帕。