1、借助充分竞争的市场经济类比,本章从中观角度,描述网络空间安全对抗的运动规律和演化过程。结果发现,若只考察“行为举止”,熟知的许多市场经济现象,在网络对抗中几乎都能找到相应的影子,反之亦然。过去,安全专家都只关注网络对抗的“局部微观画像”(比如,加密、病毒、木马、入侵等核心安全技术),这在节奏相对较慢的“人与人对抗”环境中,确实可以说是唯一重要的事情。但是,随着机器黑客的即将登场,“机器对机器攻防”的节奏,将以指数级速度增加,因此,从中观和宏观角度去了解网络战场,就显得十分重要了;否则,若“只见树木,不见森林”,就一定会失去网络对抗的主动权。类似的情况在半个世纪前就出现过:若无数据通信,就无需信
2、息论。早期的电报、电话等就不需要,就没有带宽和速度的需求。1.为什么需要中观画像2.安全对抗的耗散行为3.安全态势中观画像的解释4.类比的闲话网络空间安全对抗很虚:因为在虚拟空间,对抗没有硝烟,甚至看不到敌人是谁,在哪,以及如何进攻的;你对邻居的安全处境也是一无所知,甚至不知道他是敌是友。网络空间安全对抗很实:当你中招后,你的真金白银可能瞬间化为乌有,你的智能汽车失控,你的电脑即刻死机,你的心脏起搏器停止工作。顶级红客可通过精准分析,描述出网络对抗的局部围观战况,这便是常规网络安全技术所实现的目标;在第十章给出网络对抗的宏观画像。本章将通过耗散结构理论给出网络的中观画像。从中观角度看,网络空间
3、安全的最佳类比,也许仍然是充分竞争的市场经济。一个网络(子)系统,可类比于一种商品;相互对抗的红客和黑客,可类比市场中的供应方和需求方;攻防双方的各种手段,可类比于市场中抬价与压价的各种花招;网络(子)系统的不安全熵,可类比于商品的价格。经济中有一只看不见的手,能通过调节商品价格,使供需各方都很满意,从而市场趋于稳定;类似地,网络(子)系统中,也有一只看不见的手,能使相应的不安全熵,稳定在某个量值,从而抚平攻防各方,使网络战场趋于平静。同样的商品,在不同的地域(时间),可能稳定于不同的价格;类似地,同样的网络子系统,处于不同的环境(时间段)时,也可能稳定于不同的不安全熵状态。一种商品(比如,汽
4、油)的价格波动,可能引起另一种商品(比如,汽车)的价格波动;类似地,一个子系统的不安全熵的变化,可能引起另一个子系统的不安全熵的变化。总之,充分竞争的市场经济,与网络空间安全对抗,几乎遵从同样的变化规律。理解了相对直观的市场经济状态,就隐约看见了抽象的网络空间安全对抗。当然,经济学与网络安全类比,绝不是机械地照搬,甚至从“一般均衡性理论”这个研究经济学的利器来看,供求双方价格最优化的边界条件,就完全不适用与红客与黑客的对抗,从而导致价格理论几乎无法应用于网络安全研究。幸好,耗散结构理论可以同时研究市场经济和网络安全对抗,这里借助于该获得“诺贝尔奖”的理论绘制网络空间安全中观画像。注:耗散结构理
5、论,由普利高金教授创立,上世纪80、90年代该理论和 混沌理论、自组织理论,被称为“新三论”。而“旧三论”为:控制论、信息论和系统论。在本书中,这几个高大上的理论,都有体现。前面的章节,把网络系统作为“封闭系统”来处理,得到了重要的成果。而本章考虑的网络(子)系统不再封闭,而是“开放系统”,即,在系统边界上与环境有信息、物质和能量的交流。在环境发生变化时,网络(子)系统通过与环境的交互,以及本身的调节作用,达到某一稳定状态,从而实现自调整或自适应。一个远离平衡态的开放网络(子)系统(以下均简称为“系统”),通过红客和黑客的攻防对抗,不断与外界交换物质、能量和信息,从周围环境中引入负熵(红客的功
6、劳)和正熵(黑客的后果),来改变不安全熵的取值。由于内部各子系统之间的非线性相互作用,通过涨落,便可能使各个子系统合作行动,从而形成某种时间、空间和功能稳定的耗散结构,使不安全熵稳定在一定的量值附近。更具体地说,系统的不安全熵的改变dS由三部分组成:其一,是系统内部本身的不可逆过程(比如,非人为的设备老化、自然故障等)所引起的不安全熵增diS;其二,是黑客攻击系统所造成的不安全熵增deS;其三,是红客保障系统安全所引起的不安全熵减dgS。并且,这三股熵流合成后就有dS=diS+deS+dgS,其中前两项diS(自然熵流)和deS(黑客熵流)均为非负,而第三项dgS(红客熵流)为负值。如果红客的
7、安全保障能力足够强,使得dgSdiS+deS,那么,dS就为负,即,系统因为红客的负熵流(dgS),抵消了黑客和自然退化所引起的熵增,从而,系统整体的不安全熵就会减少,安全度就不断提高,最后稳定在一种较平衡的不安全熵总值更低的新状态,即,形成了耗散结构。系统偏离平衡态的程度,可由三股流(自然熵流、红客熵流、黑客熵流)的“力量”强弱来表征。系统处于平衡状态时,三股“熵流”与产生熵流的“力量”综合皆为零;当系统处于非平衡态的线性区(称为“近平衡区”)时,如果“力量”和“熵流”为非线性关系,即“力量”较强时,系统就会远离平衡状态,处于非平衡、非线性区。非平衡过程的“不安全熵流”,不仅取决于该过程的推
8、动“力量”,而且,还受到其它非平衡过程的影响;换句话说,不同的非平衡过程之间,存在着某种耦合。用F 表示系统的不安全熵流,xi表示系统中影响不安全熵流的各种“力量”,它们其实就是影响系统安全的各种因素(比如,红客的安全保障能力、黑客的攻击能力和系统的自然退化力等,当然,这些“能力”其实也可以分为多个组成部分),则F是xi的函数,即,F=F(x1,x2,)=F(xi)。以平衡状态作为参考,将函数F展开成泰勒级数,便有 F(xi)=F(xi,0)+idF/dxioxi+(1/2)m,nd2F/(dxmdxn)oxmxn+系统远离平衡状态时,该泰勒级数中将保留非线性的高次项,影响系统安全的“力量”与
9、“不安全熵流”是非线性关系。如果红客的安全保障能力足够强,则不安全熵就会不断减少,最后稳定在一种不安全熵较小的较平衡状态。由此可知,系统远离平衡时,不仅影响系统不安全熵流的力量较强,而且,由于非线性的耦合作用,影响系统安全的各种因素,都会彼此作用,最终产生协同,形成新的平衡状态。而且,在该新稳定状态系统中,众多子系统的不安全熵流相互弥补和抵消,保证了整体系统的宏观状态显现稳定性,而这种稳定性需要不断耗散物质、能量或信息来维持。如果你觉得太难理解,那么我们考虑“水”,这个系统。给水加热,低温时,水处于稳定的状态;随着温度的增加,水开始冒泡,并逐渐处于远离平衡态。进一步加热,水温进一步升高,水开始
10、翻滚,呈现强的非线性作用,出现有序的漩涡结构,从而进入新的平衡态-沸腾状态,水温保持恒定 100度。为了保持这个状态,需要不断地加热,以维持该状态。同时大量的水汽溢出,水汽的运动速率更大,带走大量热。如果不在加热,便会随着热量的耗散,温度下降,而回到原来的平衡态。如果你觉得上述描绘太过定性,下面就来做些定量的描述。其实这些描述不仅仅限于网络安全对抗,而且,对经济状态(见蔡绍洪等教授的文献15)甚至一般的耗散系统都有效。设 非 平 衡 系 统 中,各 子 系 统 的 不 安 全 熵 流 分 别 是q1,q2,qk,,它们都是时间 t 和各自面临的不安全因素rk1,rk2,的函数。所以,整体系统可
11、以描述为状态矢量q=(q1,q2,qk,)=qk:k=1,2,=qk(rki,t):k,i=1,2,。由于存在着不安全熵流的耗散,对于稳定的非平衡定态网络系统而言,在其内部某一确定的子系统和某一确定的时间内,红客输入的熵减,必须等于在同一子系统和同一时间内,由黑客和自然退化原因耗散掉的熵增。如果红客、黑客和自然等三方力量输入的不安全熵出现了“堆积”(无论是正堆积,还是负堆积),那么,当前的定态便会失稳。只有在无“堆积”的情况下,系统才能维持其定态的稳定,这便是网络空间安全对抗中的“不安全熵守恒定律”。(比如水沸腾后失稳时,会由沸腾到稳定,或者全部变成水汽(一种新的平衡)设在定态条件下,第i个子
12、系统的不安全熵为Mc(因为,对任何系统来说,安全只是相对的,不安全才是绝对的,所以,Mc不会为0,而是正值),外界在单位时间内向该子系统输入的不安全熵为Ma(它其实是黑客的增熵,减去红客的负熵),与此同时,该子系统向外界耗散出的不安全熵为Mb,则该子系统定态稳定的条件就是:Ma=Mb或者,等价地Ma/Mc=Mb/Mc;此处MD=Ma/Mc称为耗散参量,MT=Mb/Mc称为输入参量,它们都是无量纲的参量。于是,在未达非平衡相变临界点时,系统是定态稳定的必要条件是MT=MD。MD当然是熵流q的函数,比如,表示为非线性泛函数MD=f(q1,q2,qn),它与网络系统中的各种不安全因素(无论来自黑客、
13、红客还是自然力量)都有关。假定,在整个非平衡过程中,MT的变化是连续平滑的。由于耗散能力有限,当系统趋于平衡相变临界点时(比如水出现沸腾的点),便有MTMD,这时原有的耗散模式就不再守恒,因此,就在系统内形成“堆积”,使原定态失稳。这种“堆积”迫使处于非稳的系统寻找新的耗散途径,以便重新稳定下来。这时相干性增强,各种涨落更加活跃,推动着系统进入一个新的耗散状态,使MDMT重新得以满足。新的耗散模式维持了系统新的定态稳定,即在非平衡定态背景下,系统由原来的状态,跃迁到一种新的状态上,从而完成了一次非平衡相变:不安全熵稳定在新的水平上。由此可见,当黑客、红客和自然退化力量的平衡被打破后,网络系统(
14、或子系统)又会在新的情况下,达到新的平衡。在新平衡中,网络攻防可能会出现一些新的变化(智能化的攻击新特征、或者防御新特征等等的出现,当然也可能是意想不到的新技术等),就像水烧开后,大量水汽的出现和涡流的出现一样,这在水烧开前是不存在的。借用耗散结构理论的方法,不安全熵流矢量q=(q1,q2,qn)的一般运动规律,可以用广义郞兹万方程描述为:dqi/dt=Ki(q)+Fi(t)(i=1,2,n)其中,Ki(q)=Ki(q1,q2,qn)是非线性函数,代表各种影响安全的力量导致的不安全熵流,Fi(t)是各种微扰引起的随机和涨落力。如果微扰足够小,即,Fi(t)可以省略不计,那么,上面的广义郞兹万方
15、程,就可简化为:dqi/dt=k=1naikqk+fi(q)(i=1,2,n)注:郞兹万方程很著名,爱因斯坦曾用它描述 分子运动论。此式中fi(q)为q的一组非线性函数,由于此时系统的定态点是稳定的,其线性项系数矩阵的本征值具有负实部,即矩阵aik是负定的,即,总可以通过线性变换(或选取适当的新坐标),使得该矩阵对角化,这时便有方程组:dq1/dt=-R1q1+g1(q1,q2,qn)dq2/dt=-R2q2+g2(q1,q2,qn)dqi/dt=-Riqi+gi(q1,q2,qn)dqn/dt=-Rnqn+gn(q1,q2,qn)这里Ri为阻尼系数,它们都是正数,gi(q)为q的另一组非线性
16、函数。至此,网络中各子系统(网络)的不安全熵流变化是彼此关联的,网络整体上仍然显得杂乱无章;如果考虑到随机力Fi(t)的作用,网络的安全状态(即,不安全熵),只能作无规律的起伏。但是,对一般的非平衡相变系统,其变量q中包含着序参量 u 和耗散参量 MD。当红客和黑客等外界力量,使系统趋于临界点时,序参量的衰减阻尼系数将变为零(如果不为零,系统稳定不会失稳),而其它参量的衰减阻尼系数虽不为零,但却有限;于是,u就会出现“临界慢化”,整个系统的演化,便将由u所主宰,其余变量(包括耗散参量MD)都将受到u的支配。不失一般性,可记u=q1和MD=qa,此处2an。于是,前面的方程组可重写为:du/dt
17、=-R1u+g1(u,q2,MD,qn)dq2/dt=-R2q2+g2(u,q2,MD,qn)dMD/dt=-RaMD+ga(u,q2,MD,qn)dqn/dt=-Rnqn+gn(u,q2,MD,qn)当网络系统趋于不安全熵的非平衡相变临界点时(水临界沸腾,必然有一个子系统跳出来首先打破平衡(失稳),根据协同学原理,将出现极限R10,并且,其它Ri0(ni2)且有限,即,此时除u是软模变量之外,其它量(包括MD)都是硬模变量。根据支配原理,若令其它参量都不随时间而变化,那么,略去第1个方程后,上述的方程组又可再简化为:-R2q2+g2(u,q2,MD,qn)=0-RaMD+ga(u,q2,MD
18、,qn)=0-Rnqn+gn(u,q2,MD,qn)=0求解这(n-1)个联立方程,可得q2=h2(u),MD=ha(u),qn=hn(u),即,硬模变量q2,MD,qi,qn都被序参量u支配。将这些解,代入序参量u的变化方程(即du/dt的那个方程),便有:du/dt=-R1u+g1(u,q2,MD,qn)=-R1u+g1u,h2(u),ha(u),hn(u)=-R1u+G(u)此时,对整个复杂巨系统的相变分析,转化为对于一个或者两个参量系统的分析,这是耗散理论非常高明的地方。注意到耗散参量MD的非线性泛函数表达式MD=f(q1,q2,qn),于是,将上面的各qi表达式代入此式,便知,在网络
19、安全对抗系统非平衡相变临界点的无限小邻域内,成立MD=fu,h2(u),ha(u),hn(u)=E(u),此式中,E(u)是序参量u的某种非线性函数。当外界红客和黑客的控制力量相抵消时,序参量u与约化临界距离之间便有如下依赖关系(用一个指数函数表述,很多物理定律都这么干):u=(0,E0)。其中,为序度临界指数,其值与网络安全系统的临界类型有关;=(R-Rc)/R,此处的R和Rc的含义是:在一般情况下,非平衡相变的过程,可由系统控制参量(红客、黑客和自然退化的对抗)R来控制,网络(子)系统趋于临界点的程度,可用临界距离(R-Rc)来表征,Rc是控制参量R的临界值。由于各类非平衡相变临界点,都有
20、一个共同特征:在临界点,序参量由0开始,连续生成;或由非零开始,连续消失而生成。即,当系统趋于临界点时,有:u0,(0,E0)。可见,在非平衡相变临界点的无限小区域内,u的量值很小,因此,公式MD=fu,h2(u),ha(u),hn(u)=E(u)的右端,可按自变量u,在临界点进行幂级数展开。设该幂展式中,低阶不为零项的幂指数为,则当系统趋于临界点(u0)时,函数E(u)便可渐近地表示为:E(u)Au,这里A为原展式中,最低阶不为零项的系数,故在非平衡临界点的无限小邻域内,MD正比于u。而与系统的具体耗散模式和耗散内容有关,在非平衡系统中,对于不同的定态,可以取不同的值(正、负或零)。这也意味
21、着,当网络系统趋于不安全熵的非平衡相变临界点(即,R10)时,耗散参量MD(u)也与成正比,它揭示了MD与临界距离之间的依赖关系。当然,若=0,则系统就处于平衡状态了。综上可知,在网络安全对抗系统的非平衡相变临界点,耗散参量MD会出现某种奇异特性,即,可能出现某种跃变或发散。当控制参量0时,意味着红客对网络安全的保障能力和黑客的破坏能力,成为至关重要的因素,它们将导致网络的安全状态稳定在更高一层的安全状态,或跌落到更低一层的安全状态,甚至可能造成网络的彻底崩溃。网络空间安全的发展过程,是一个典型的演化过程,推动该演化的力量主要来自三方面:网络系统的自然退化、黑客的攻击、红客的安全保障措施等。演
22、化的要点,可以概括为如下八个方面:1)网络系统及其子系统的开放性(即,攻防各方的介入)是形成新的安全状态(不安全熵稳定在新的量值)的前提和基本条件。2)自然退化和攻防对抗的非平衡,是不安全熵达到新稳态的源泉。所谓平衡状态,就是指构成网络系统的各种安全要素在物质、能量和信息分布上的均匀、无差异状态。3)远离平衡态是形成新的安全结构(新的不安全熵量值)的最有利条件。4)“网络系统内部,攻防各方之间,存在非线性的相互作用”是新的安全结构形成并得以保持的内在根据。网络系统若要形成新的安全结构,那么,构成该系统的各种安全要素之间,既不能是各自孤立的,也不能仅仅是简单的线性联系。5)“涨落”是安全结构形成
23、的“种子”和动力学因素。“涨落”是指系统中某个变量或行为对平均值所发生的偏离。对于网络等任何多自由度的复杂体系,这种偏离都是不可避免的。但它对具有不同安全性的系统,其作用是不相同的。6)“涨落达到或超过一定的阈值”是使系统形成新的安全结构或使系统原有安全结构遭到破坏的关键。任何网络系统都有保持其本质的规定性或稳定性的临界度。X(N+1)=AX(N)(1-X(N)7)可以用网络系统的不安全熵的阈值来表示“度”。当不安全熵不断增大时,系统可能会逐次出现相继的分叉,而且,每个分叉中既有确定性不安全因素,也有随机性因素。在两个分叉点之间,系统遵从确定性定律和化学动力学的某些规律,但在各分叉点附近,“涨
24、落”却扮演着重要作用,甚至决定了系统所追随的分叉支线。8)网络系统通过“自组织”形成新的稳定安全结构。“类比”:是理解新事物的有效手段,同时也能够帮助人类揭示新奥秘“类比”是重要的科研方法,它首先针对“原问题”,寻找一个有效的并且一般来说相对容易(或已有答案)的“类比问题”;然后,通过解决“类比问题”,再反过来探索“原问题”的解决办法。虽然不能将类比对象的结果照搬到原问题如今,类比方法(包括定性、定量、以及两者的结合)在自然科学研究中,已变得越来越重要了。一般说来,定性类比是定量类此的前提和条件,定量类比则是定性类比的发展和提高。甚至科学发展已与定性类比密不可分:巧妙的定性类比,往往能为科学的
25、进一步发展指明方向;当然,后续还必须有充分的定量研究,才能达到精确的规律性认识。因此,用市场经济来类比网络安全,这只是一个开端,还必须有更深入的后续量化研究。归纳、演绎和类比都是重要的推论方法,都可能从已知前提推出未知结论,而且,这些结论也都要在一定程度上受制于前提;但是,它们的结论被前提制约的程度是不同的:演绎的结论受到前提的制约最大,其次是归纳,再次才是类比。因此,类比在科学探索(特别是初期探索)中发挥的作用最大。而网络安全对抗的中观和宏观“画像”,就处于初期探索的状态,但愿基于市场经济的类比,能够发挥有效的作用。类比的实例:我国古代科学家宋应星:将声波和水波类比。科学家欧姆:将电流传导和热传导类比。物理学家:将“夸克”和磁极进行类比。物理学家:将将气体分子与粒子类比。科学家米勒:通过类比设计了一个模拟生命起源的实验。
