1、 本章定量研究,黑客、红客和用户同时并存的复杂网络空间的生态学问题。重点包括:黑客与用户形成的“狮子与牛羊”般的狩猎与被猎生态平衡问题;黑客与红客形成的“牧民与狮子”般的竞争性生态平衡问题;用户与红客形成的“牧民与牛羊”般的互惠互利生态平衡问题;黑客、红客和用户三方共同形成的“狮子、牧民和牛羊”般的捕猎、竞争和互惠共存的复杂生态平衡问题。1.生物学榜样2.“黑客+用户”生态学3.“黑客+红客”生态学4.“用户+红客”生态学5.“黑客+用户+红客”生态学6.安全攻防小结 网络空间的三种生物:黑客红客网络普通用户(简称“用户”)相互作用:竞争(黑客与红客)捕猎与被猎(黑客与用户)互惠互利(红客与用
2、户)网络安全生态学就是要仿照古老的生物生态学,用数学模型,从数量上来描述黑客、红客和用户的生存与环境关系,并以此解释一些宏观现象,为网络空间安全的保障提供战略借鉴。为何能够把黑客、红客和用户当作生物来看待呢?其一,他们的功能与角色完全取决于所使用的工具(包括硬件和软件)。其二,他们都拥有共同的预装(或预配)基础设施(包括基础软件和核心硬件等),而其主要区别只体现在更上层的自选应用工具方面。其三:几乎每一种自选应用工具的扩散,都具有口口相传的特性。即,当某人拥有并使用某应用工具后,若满意,他会向其朋友推荐;而其朋友中,又有一些人会跟进,甚至再向其朋友推荐;如此反复推进,最终,该工具使用者数量的增
3、加模式就完全等同于生物的繁殖模式了。由于这些工具使用者的代际很密集,数量也很大,所以,可以用连续函数来表示任何时刻用户的密度(或数量)。如果我们把拥有并使用N个工具的活人隐去,而只把他等同于这N个工具的集合的话,由于这些应用工具都是像生物一样繁殖的,那么,由黑客、红客和用户组成的活人网络世界,也就等同于一个软、硬件工具世界,而每一种工具就等同于一种生物。因为:工具被使用 生物个体是活的;卸载、放弃或被毁坏 生物个体死亡;未被放弃但也暂未被使用时 生物个体迁出;重新又被使用 生物个体迁入;淘汰 灭绝从安全功能角度看,所有这些生物都可以分为三大类:从事破坏活动的黑客类工具、从事与黑客对抗的红客类工
4、具、从事建设事业的用户类工具。为习惯计,我们仍然用黑客、红客和用户来表示这些工具。当黑客和用户被放在一起时,就相当于将狮子和牛羊放一起了,这时不应该再将它们视作同一个种群,必须再次借鉴古老的生物生态学,来为它们建立“多种群生态学”。由于黑客、红客和用户的生存状态相差很大,所以,本章分别根据“黑客+用户”、“黑客+红客”、“红客+用户”、“黑客+红客+用户”等情况,来考虑两种群和三种群的安全生态学。本章研究的是工具,而不是活人,所以,当某个活人同时拥有和使用多个黑客工具、红客工具和用户工具时,我们便将此人割裂成多个虚拟人的集合体,让虚拟人各自扮演黑客、红客和用户的角色。在黑客、红客和用户三者间的
5、所有可能两种群生态学中,“黑客+用户”的生态学最为重要,因为,黑客的真正第一攻击目标是用户,用户的敌人是黑客。从生物类比来看,黑客与用户的关系恰如捕猎与被猎。用户与黑客单独生存时:设x(t)和y(t)分别是t时刻用户和黑客的密度(或个数),由于它们都具有生物繁殖特性,即,当它们单独生存时,用户的密度x(t)满足动力学方程(1/x)dx/dt=r1-f1(x)而黑客的密度y(t)也满足(1/y)dy/dt=r2-g2(y)用户和黑客混居时:它们的密度变化不但要遵守自己的规律,还受另一方的影响。设相应的影响函数分别为g1(y)和f2(x),那么用户与黑客相互作用的动力学模型如下:(1/x)dx/d
6、t=r1-f1(x)-g1(y)(1/y)dy/dt=r2-g2(y)+f2(x)其中fi(x)和gi(y)(i=1,2)都假定是非负值函数。第一个方程里的“-g1(y)”是因为黑客攻击造成用户减损而致;第二个方程里的“+f2(x)”是因为用户死亡为黑客提供了生存机会(食物)的原因。黑客与用户相互线性影响时的生态平衡性 假定影响函数fi(x)和gi(y)都为线性函数,于是,“黑客+用户”的生态方程为如下Lotka-Volterra模型:dx/dt=x(a10-b11x-b12y)dy/dt=y(a20+b21x-b22y)这里的各个系数bij(i=1,2)均为非负。当b110时,称用户为密度制
7、约的;当b11=0时,称用户为非密度制约的。同理,当b220时,称黑客是密度制约的;当b22=0时,称黑客为非密度制约的。a10和a20分别表示用户和黑客的生长率(出生率减死亡率)。若记k=b21/b12,那么,上述生态方程可重写为:dx/dt=x(a10-b11x)-b12xy dy/dt=y(a20+kb12x-b22y)第一个公式中的b12xy表示单位时间内用户被黑客攻破的数目;而黑客的当前数目为y,所以,b12x表示每个黑客在单位时间内攻破用户的数目,或形象地称为黑客的捕食率(捕食率为正),它表示黑客攻击用户的能力。令上述生态方程的右边等于0,于是,得到两条直线:L1:a10-b11x
8、-b12y=0 L2:a20+b21x-b22y=0 如果这两条直线有一个交点(x,y)(满足x0,y0),那么,根据Routh-Hurwits稳定性条件,有:渐近稳定性引理:若b11b22+b21b120并且b11x+b22y0,那么,平衡点(x,y)是渐近稳定的,即,如果用户和黑客的数量偶然落进了(x,y)点附近,那么将最终趋于x和y。什么情况下,这种偶然会变成必然呢?双密度制约的生态平衡定理:如果b110和b220同时成立(即,用户和黑客都是密度制约的),那么,无论最初有多少个用户和黑客(当然暗含为正),它们最终的数量都会趋于x和y,从而达到生态平衡。黑客密度制约的生态平衡定理:即使对用
9、户没有密度制约(这对弱者是公平的),即,b11=0和b220(此时b21b120成立),那么,无论最初有多少个用户和黑客,它们最终的数量都会趋于x和y,从而达到生态平衡。dx/dt=x(a10-b11x)-b12xy dy/dt=y(a20+kb12x-b22y)a10=0.1,b11=0.2,b12=0.3,a20=0.8,b21=0.4,b22=0.5a10=0.1,b11=0,b12=0.3,a20=0.8,b21=0.4,b22=0.5(1)黑客无迁出时的生态平衡定理 在黑客只攻击本群用户的假定下(即,黑客不迁出),则用户和黑客的生态模型变成如下:dx/dt=x(b-b12y)dy/d
10、t=y(-d+Eb12x-b22y)其中各参数均为正常数,b是用户的出生率,d是黑客的死亡率,E是因为用户被攻破而给黑客做的贡献率。此时,唯一的正平衡点(x,y),即x=(bb22+db12)/E(b12)2 和y=b/b12并且它还是全局稳定的,即,无论最初有多少个用户和黑客,它们最终的数量都会趋于x和y,从而达到生态平衡,这便是黑客无迁出时的生态平衡定理。dx/dt=x(b-b12y)dy/dt=y(-d+Eb12x-b22y)b=0.2,b12=2,d=0.8,E=0.8,b22=3(2)黑客迁出时的用户灭绝与生态平衡定理 如果考虑黑客的迁出行为(比如暂不攻击,或者转向攻击本群之外的其他
11、用户),用户和黑客的生态方程变成:dx/dt=x(b-b12y)dy/dt=y(f+Eb12x-b22y)这里各参数也为正常数,方程的非平凡平衡点(x,y)x=(bb22-fb12)/E(b12)2 和y=b/b12 如果 f(bb22)/b12时,x0,在这种情况下,第一象限中的所有解都趋于(0,f/b22),从而导致用户被全部攻破,即,用户灭绝;如果fbb22/b12)b=0.2,b12=2,f=0.1,E=0.8,b22=3(fdb11,即平衡点为正,那么,此时,该正平衡点是全局稳定的,即,无论最初有多少个用户和黑客,它们最终的数量都会趋于x和y,从而达到生态平衡。dx/dt=x(b-b
12、11x-b12y)dy/dt=y(-d+Eb12x)b=0.2,b11=2,b12=1,d=0.8,E=0.8 无论是用户还是黑客,都会遇到一些意外情况造成其个体数量的减少,比如,设备的常规升级换代;公安机关对黑客的专项打击活动等。如果在上述的生态方程中,考虑到这种减员因素(假定被减少的是常数),那么,相应的“用户+黑客”生态方程就可变为:dx/dt=x(b-b11x-b12y)-F dy/dt=y(-d+Eb12x)-G此时,便有如下定理,有意外减损时的生态平衡定理:如果该方程组存在正平衡点(x,y),并且F0,G0,那么,(x,y)是全局稳定的,即,无论最初有多少个用户和黑客,它们最终的数
13、量都会趋于x和y,从而达到生态平衡。下面在特殊情况G=0,F0下,对该定理给出较形象的解释。此时,平衡点(x,y)为x=d/(Eb12)y=1-b11d/(Eb12)-EFb12/d/b12因而,只有当F0,这里F=db-b11d/(Eb12)/(Eb12)从而(x,y)是全局稳定的。当FF时,将导致用户灭绝,故称F临界减损率。本小节中前面的所有结果,都有一个假设前提,即用户与黑客数量相互之间的影响是线性的。该线性假定的优点是简捷、深入,并且在许多情况下,它确实能够较好地逼近真实结果;而且,根据工程经验,人们能够从实际案例中获得的许多数据也只能是各种比率等,这就暗含了线性假设。当然,线性假设的
14、局限也是显然的,所以,现在试图考虑更一般的情况。Kolmogorov模型:用户和黑客相互影响的最一般模型是Kolmogorov模型:dx/dt=xF1(x,y)dy/dt=yF2(x,y)假如曲线F1(x,y)=0和F2(x,y)=0只有一个正交点(x,y),即,x0和y0,它又称为正平衡点。由Taylor定理,便可将上述一般模型分解为:dx/dt=x(x-x)F1/x+(y-y)F1/ydy/dt=y(x-x)F2/x+(y-y)F2/y这里分别记偏微分值F11=F1/x、F12=F1/y、F21=F2/x 和F22=F2/y。设用户和黑客形成的生态环境,满足如下条件:A1:F120(黑客得
15、到用户的给养,即黑客靠攻击用户获利而生存);A3:当y=0时,F110(若无黑客,用户是密度制约的);A4:F220,使F1(0,A)=0(A为用户不存在时黑客的临界密度);A6:存在常数B0,使F1(B,0)=0(为无黑客时,用户的负载容量);A7:存在常数C0,使F2(C,0)=0(C为无黑客时,用户的下临界密度);A8:yF2xF1(x,0)-xF1(x,y)-y(即,黑客的增长只依靠它攻破用户的供给,其中,方括号内表示单位时间内,黑客攻破用户的数量;和是正常数,并且表示黑客的最快攻击系数,表示最小死亡率)。定义:集合Q=x0,y0是全部第一象限,Q0=x0,y0。设F1和F2在Q内是连
16、续函数,而在Q0是一阶可导函数,并且它们满足如下两组条件:条件P1(a)存在一个x0,使得(x-x)F1(x,0)0,使得(y-y)F1(0,y)0,对所有y0且yy;条件P1(c)偏微分满足F1/y0在集合Q0内;条件P1(d)对每一点(x,y)Q0,有xF1/x+yF1/y0,使得(x-x)F2(x,0)0,对所有x0且xx;条件P2(b)偏微分满足F2/y0在集合Q0内;条件P2(c)对每一点(x,y)Q0,有xF2/x+yF2/y0。黑客灭绝定理:如果在Kolmogorov模型中,函数F1和F2同时满足条件P1和P2,并且设xx,那么,对所有起始点在Q0内的轨道,当t时,趋于点(x,0
17、)。形象地说,在此种情况下,只要初始时至少有一个用户,那么,经过足够长时间之后,黑客将最终灭亡,并且还幸存着x个用户。用户与黑客生态平衡定理:如果在Kolmogorov模型中,函数F1和F2同时满足条件P1和P2,并且还有x和K2/K1,那么,黑客将被淘汰;2)如果K1/K2和K2/K1,那么,红客将被淘汰;3)如果K1/K2和K2/K1,那么,红客或黑客中的 某一方将被淘汰,即,不是你死,就是我活;4)如果K1/K2和K2/K1,那么,红客和黑客将共存,谁也不能淘汰谁,即,它们势均力敌。(1/x)dx/dt=r1(K1-x-y)/K1 (1/y)dy/dt=r2(K2-y-x)/K2K1=1
18、.2,=1,r1=1.2,K2=0.6,=0.8,r2=0.6K1/K2和K2/K1黑客被淘汰(1/x)dx/dt=r1(K1-x-y)/K1 (1/y)dy/dt=r2(K2-y-x)/K2K1=1.2,=1,r1=1.2,K2=2,=1,r2=0.6 K1/K2和K2/K1 红客被淘汰(1/x)dx/dt=r1(K1-x-y)/K1 (1/y)dy/dt=r2(K2-y-x)/K2K1=1.2,=1,r1=1.2,K2=2,=2,r2=0.6 K1/K2和K2/K1不是你死,就是我活(1/x)dx/dt=r1(K1-x-y)/K1 (1/y)dy/dt=r2(K2-y-x)/K2K1=1.
19、2,=1,r1=1.2,K2=0.6,=0.2,r2=0.6K1/K2和K2/K1 势均力敌从这个定理中可以解读出一些有趣的现象:是黑客给红客造成的伤害;是红客给黑客造成的伤害;红客和黑客在竞争中,是否被对方灭绝,不但取决于自己的杀伤力,还取决于两条生死线:它们最小生存容量的比值K1/K2和K2/K1。即,如果各方给对方的杀伤力都在生死线内,那么,即使竞争很惨烈,大家也都会共存;如果各方给对方的伤害都在生死线外,那么,只能活一方;如果一方给另一方的伤害在生死线之内,但是另一方的反击却在生死线外,那么,反击者获胜并灭掉对方。换句话说,红客若想淘汰黑客,那么,它有两种策略:增大其对黑客的杀伤力,或
20、者降低自己的最小生存容量K1(即,提高自己的生存力)。黑客若想在竞争中获胜,策略也一样。红客和黑客混居时的一般生态平衡情况:为简化足标,我们将上面的Gause-Witt模型重新写为常用的Lotka-Volterra模型生态方程:dx/dt=x(a10-b11x-b12y)dy/dt=y(a20-b21x-b22y)系数bij(i=1,2)均为非负。当b110时,称红客为密度制约的;当b11=0时,称红客为非密度制约的。同理,当b220时,称黑客是密度制约的;当b22=0时,称黑客为非密度制约的。a10和a20分别表示红客和黑客的生长率(出生率减死亡率)。令上述生态方程的右边等于0,于是,得到两
21、条直线:L1:a10-b11x-b12y=0 L2:a20-b21x-b22y=0如果这两条直线有一个交点(x,y)(即满足x0,y0),那么,根据Routh-Hurwits稳定性条件有:若b11b22-b21b120并且b11x+b22y0,那么,平衡点(x,y)是渐近稳定的,即,红客和黑客的数量将最终趋于x和y。由于此时不等式b11b22-b21b120的必要条件是:b110和b220,所以红客和黑客都必须是密度制约的。红客黑客竞争的生态平衡定理:在上面Lotka-Volterra模型表示的红客和黑客竞争生态方程中,如果红客和黑客都是密度制约的,那么,它们的正平衡点(x,y)是全局稳定的。
22、即,无论最初有多少个红客和黑客(当然暗含为正),它们最终的数量都会趋于x和y,从而达到生态平衡。上图.初值x0=0.4;0.6;下图.初值x1=0.7;0.3;a0=0.6,0.6;b=0.6,0.4;0.9,0.1;pp296红客与用户的关系:生物中的互惠互利关系,就像牧民保护牛羊那样,红客要保护用户免遭黑客的攻击。红客和用户单独生存时:设x(t)和y(t)分别是t时刻红客和用户的密度(或个数),由于它们都具有生物繁殖特性,即,当它们单独生存时,红客和用户的密度x(t)和y(t)分别满足logistic动力学方程(1/x)dx/dt=r1(K1-x)/K1(1/y)dy/dt=r2(K2-y
23、)/K2K1和K2分别为红客种群和黑客种群(x和y)的最小生存容量(低于该容量时,相应的红客或用户种群将会自行灭绝)。红客和用户混居时:它们密度的变化不但要遵守自己的规律,而且,还要受另一方的影响。若设相应的影响函数都是线性的,分别为b12y和b21x,那么,红客与用户相互作用的动力学模型就可表示为如下的微分方程组:(1/x)dx/dt=r1(K1-x)/K1+b12y (1/y)dy/dt=r2(K2-y)/K2+b21x 其中b21x和b12y分别是用户(红客)给予红客(用户)的互惠。红客与用户互惠的生态平衡定理:记=1-b12b21,a=b12K2/K1和b=b21K1/K2。如果0,那
24、么,无论最初的红客和用户个数是多少(假定为正数),最终,红客的数量将趋于(1+a)/,而用户的数量将趋于(1+d)/。注意:从安全角度看,红客与用户基本上是一家人,它们彼此影响的生态问题其实并不重要,但是,为了学术的完整性,我们还是在此小节做了简要概述。初值x0=1;1 r=1,1;K=1,1;b=0,0.6;1,0;pp298三者关系:黑客的本意是要从用户处获利,但是,如果红客要阻挡,黑客也会攻击红客;红客并不想主动攻击黑客,但是,如果用户受到伤害,红客就有义务提供保护;用户在黑客面前几乎无能为力,就像牛羊在狮子面前一样,只能靠运气(未被黑客盯上)和红客的保护。各自单独相处时:设x1(t)、
25、x2(t)、x3(t)分别为t时刻用户、红客和黑客的密度(或数量)。当它们独自相处,没有其它两方存在时,它们各自都要满足自己的动力学模型,比如:dxi/dt=rixi1-xi/Ki,i=1,2,3,这里K1、K2和K3分别为用户种群、红客种群和黑客种群的最小生存容量。上图.初值=4;6;8;下图.初值=5;8;6;r=1,1,1;K=4,5,4;pp299用户、红客和黑客三者混居:它们的密度的变化不但要遵守自己的规律,而且,还要受另两方的影响。设相应的影响函数都是线性的。(1)对用户来说,当它独居时,满足dx1/dt=r1x11-b11x1,但是,混居后,红客要给它提供互惠(+b12x2),黑
26、客却要对它减灭(-b13x3),所以,用户最终的密度变化动力学方程为:dx1/dt=r1x11-b11x1+b12x2-b13x3;(2)对红客来说,当它独居时,满足dx2/dt=r2x21-b22x2,但是,混居后,用户要给它提供互惠(+b21x1),黑客却要与它竞争造成减损(-b23x3),所以,红客最终的密度变化动力学方程为:dx2/dt=r2x21+b21x1-b22x2-b23x3;(3)对黑客来说,当它独居时,满足dx3/dt=r3x31-b33x3,但是,混居后,用户要给它提供牺牲(+b31x1),红客却要与它竞争造成减损(-b32x2),所以,黑客最终的密度变化动力学方程为:d
27、x3/dt=r3x31+b31x1-b32x2-b33x3。综上,“用户+红客+黑客”的生态学微分三方程组为:dx1/dt=r1x11-b11x1+b12x2-b13x3dx2/dt=r2x21+b21x1-b22x2-b23x3dx3/dt=r3x31+b31x1-b32x2-b33x3 为考虑该生态系统的稳定性,令上面三式的右边为0,得到线性方程组:1-b11x1+b12x2-b13x3=01+b21x1-b22x2-b23x3=01+b31x1-b32x2-b33x3=0记矩阵A=aij,i,j=1,2,3为该联立方程的系数矩阵,即,a11=-b11,a12=b12,a13=-b13;a
28、21=b21,a22=-b22,a23=-b23,a31=b31,a32=-b32,a33=-b33。若a=(a1,a2,a3)是该方程组的正解,即,ai0,i=1,2,3,也称a=(a1,a2,a3)为该生态方程的正平衡位置。于是,上面的三个生态微分方程可重新写为dx1/dt=r1x11-b11(x1-a1)+b12(x2a2)-b13(x3a3)dx2/dt=r2x21+b21(x1-a1)-b22(x2a2)-b23(x3a3)dx3/dt=r3x31+b31(x1-a1)-b32(x2a2)-b33(x3a3)于是,平衡位置(a1,a2,a3)是局部稳定的充分条件为:矩阵aiaij的所
29、有特征根的实部为负。“用户+红客+黑客”三合一生态平衡定理之1:上述正平衡位置(a1,a2,a3)对“用户+红客+黑客”的生态方程是全局稳定的充分条件是:如果存在一个正的对角线矩阵C,使得CA+ATC是负定的,并且函数W(X)=(X-a)T(CA+ATC)(X-a)/2不沿上述三微分方程组的一根轨线恒为0(X=a外)。此处X表示(x1,x2,x3),a表示(a1,a2,a3),AT表示矩阵A的转置矩阵。形象地说,如果以上条件满足的话,那么,无论最初用户、红客和黑客的个数是多少(当然假定为正),那么,最终用户的个数会趋于a1,红客的个数会趋于a2,黑客的个数会趋于a3。“用户+红客+黑客”三合一
30、生态平衡定理之2:上述正平衡位置(a1,a2,a3)对“用户+红客+黑客”的生态方程是全局稳定的充分条件是:1)存在一个矩阵G,使得对所有i,j=1,2,3都有aiiGii和aijGij 对ij;2)矩阵-G的所有顺序主子式为正。形象地说,如果以上条件满足的话,那么,无论最初用户、红客和黑客的个数是多少(当然假定为正),那么,最终用户的个数会趋于a1,红客的个数会趋于a2,黑客的个数会趋于a3。上图.初值=0.6;0.6;0.6;下图.初值=0.4;0.8;0.6;r=0.4,0.4,0.5;b=0.96,0.07,0.5;0.36,0.97,0.6;0.5,0.6,0.96;pp300 安全
31、通论的核心是“攻防”,所以从第5章开始,花费了整整9章的篇幅,从1对1攻防、1对多攻防、多对多攻防、直接对抗、间接对抗等角度,就攻防的演化规律、对抗与通信的关系、对抗与对话的关系、最佳攻防策略、安全对抗的中观画像、安全对抗的宏观画像、安全生态学、攻防的可达极限等方面,进行了深入的探讨。到目前为止,我们对所研究的攻防,几乎没有任何具体的技术性限制(比如,无论攻防各方发动的是何种攻防或使用的是何种攻防工具等,我们的结果都是有效的),因此,它们较好地体现了安全通论的“通”。到目前为止,安全通论在回答如下四大支柱性核心问题方面均有进展:问题1)什么是安全,什么是攻防,什么是黑客,什么是红客?问题2)无
32、论是否失去理智,黑客和红客攻防对抗双方的极限在哪里?问题3)如果黑客和红客攻防双方是理智的,那么最佳攻防策略是什么?问题4)网络空间安全的生态情况是什么,如何治理?关于问题1的部分答案,包含在第2-5章中,概括为:1)从安全角度来看,任何有限系统都可以分解成一个逻辑经络树;只要能够保证该经络树中的某些末端点(元诱因)不出问题,那么,整个系统就不会有安全问题。2)安全是一种负熵(与信息是负熵类似)。而且,任何有限系统,若无外界影响,那么,它的“不安全性”总会越来越大,就像熵始终向增大方向发展一样。3)攻防可以分为两大类:盲攻防和非盲攻防。网络空间中,黑客与红客的攻防基本上都是盲攻防,但是,沙盘演
33、练有助于我们用非盲数据来研究盲状态。4)黑客的数学本质,其实就是一个离散随机变量X;而且,黑客的攻击能力可用X的熵来度量,即,当这个熵越小时,黑客越厉害;具体地说,X的熵每少一个比特,该黑客在最佳攻击策略的指导下,他的黑产收入能够增加一倍。5)红客的唯一目的是控制系统的不安全熵,使该熵不断减少(最理想情况),不再增大(次理想情况),或不要过快增大(保底情况)。因此,判断红客的某行为是否正确的唯一依据,就是该行动最终会导致系统的不安全熵的变化趋势。不安全熵向减少方向发展,就说明红客正确,否则就是帮倒忙。问题2的部分答案,包含在第5章至第9章中,主要结果:无论彼此对抗的是两人还是多人,无论对抗者是
34、有理智还是因斗争太残酷已经失去了理智,盲对抗都是存在理论极限的,即,攻防各方都不可能突破这些极限。这其实又从另一个角度规劝对抗各方理智行事,即,以争取自身利益最大化为目标,损人不利己的事情别做,因为,失去理智并不能帮助提升你的攻防能力。虽然在不同情况下,相应的理论极限值互不相同(细节在此略去),但是,这些极限基本上都是基于信息论中的香农信道容量定理或博弈论中的纳什均衡定理而得出的,极限值都等于某些特定信道的信道容量或达到纳什均衡时的收益函数。问题2的深入研究,还需要继续借助信息论和维纳的赛博学(即过去常说的维纳控制论);同时,反过来,由于通信和对抗在“信道”意义上其实是等价的(即,通信是收发双
35、方的某种对抗,对抗也是攻防各方以输和赢为“比特”的某种通信),因此信息论和安全通论的许多成果能够彼此借鉴和促进。关于问题3的部分答案,包含在本书第7章至第9章中,主要结果包括:如果对抗各方都理智行事,即,始终以预定的自身利益最大化为目标,那么,红客与黑客之间其实就是在进行多赢博弈。这时,攻防各方的最佳策略就应该是追求(或将对方逼进)纳什均衡状态。在现实的网络对抗中,无论各方的预定(经济)利益是什么,都一定存在纳什均衡状态。更出人意料的是,我们发现:当达到纳什均衡状态时,其相关攻防也到达了某种特殊信道的信道容量。这就意味着:信息论的核心和博弈论的核心是强相关的,因此,信息论、博弈论和安全通论原来
36、是可以三论融合的。通信是某种协作式对话,但是,诸如法庭辩论等却是非协作式对话,也是对抗中的一个特例,它们也可纳入基于安全通论的博弈部分,这其实是将信息论扩展到“负信息”领域了。问题3的深入研究,还需要继续借助博弈论、策略论和运筹学等理论。可惜目前在国内外的安全界同时精通博弈论和信息论的人太少,所以,这座金矿还大有潜力可挖。关于问题4的部分答案,包含在本书第10章至第13章中,主要结果包括:网络空间安全的各涉事方的动力学行为分析,单方或多方相互作用时的生态环境特征等。比如,安全对抗的宏观和中观描述、攻防对抗的演化规律、黑客(红客或用户)的生态特性、黑客和红客(黑客和用户、红客和用户)相互作用时的
37、生态特性、黑客红客和用户三者相互作用时的生态特性等。问题4的深入研究,还需要充分借鉴复杂系统理论、系统论等知识,尤其需要数学生态学家的支援,因为,毕竟在国内外安全界谁也不曾想到生物数学能帮上大忙,而且,生物数学对传统的安全专家来说确实太遥远了,不能仅仅依靠安全专家自己的补课。总之,为庞大的网络空间安全一级学科建立统一的基础理论,绝不是一件容易的事情。到目前为止,我们只是在各个方面,尽量地抛砖,但愿能够引来众多的玉。目前,我们“暂不生产矿泉水,只做大自然的搬运工”,所以,我们现在尽量借用已有的理论成果,尽量不去陷入繁杂的数学推导,尽量用最简捷的语言来把复杂的事情说清楚。本书到此,本来就该结束了的,因为,我们目前能够想到的“通用”安全理论基本上就这些了。但是,在接下来的第14、15和16章中,还有三个比较好的结果,我们舍不得放弃。主要原因有两个:(1)它们所涉及的问题,在网络空间安全中都非常重要,而且会越来越重要。实际上,它们分别回答了病毒式恶意代码是如何在网络中传染和为害的,谣言治理的效果是如何表现出来的,以及网络手段是如何影响投票选举等重大事项结果的等。(2)后面三章的结果,虽谈不上“通用”但是其“半通用”性还是非常好的,而且,很可能这些思路和方法今后能够推广到“通用。