安全通論

楊義先　鈕心忻

編者按：網絡空間安全作為一項新的全球治理議程，已經成為世界關注的焦點、各國政府的戰略目標之一，但人們對網絡空間安全的研究，還缺乏全面系統的理論指導，針對該問題，我刊特轉載自《科學網》一篇由北京郵電大學楊義先、鈕心忻教授編寫的《安全通論——攻防篇之“盲對抗”》（原文網址：http：//blog.sciencenet.cn/blog-453322-947304.html）。在該文章中，給出了黑客攻擊能力和紅客防御能力的可達理論極限，并巧妙地構造了一個隨機變量Z =（X+Y ）mod2，將一次真正成功的攻防問題，等價地轉換成了攻擊信道（X ；Z ），同時恰到好處地應用了看似并不相關的仙農編碼定理。

摘要：精確地給出了黑客攻擊能力和紅客防御能力的可達理論極限。對黑客來說，如果他想真正成功地把紅客打敗k次，一定有某種技巧，使他能夠在k /C次進攻中，以任意接近1的概率達到目的；如果黑客經過n次攻擊，獲得了S次真正成功，那么一定有S ≤nC。對紅客來說，如果他想真正成功地把黑客擋住R次，一定有某種技巧，使得他能夠在R /C次防御中，以任意接近1的概率達到目的；如果紅客經過n次防衛，獲得了R次真正成功，一定有R ≤ND。這里C和D分別是攻擊信道和防御信道的信道容量。如果C D，則紅客輸；如果C =D，則紅黑實力相當。

關鍵詞：黑客；紅客；進攻；防御；信道

Abstract：In this paper， the limit theory of hacker attack ability and honker defense ability is given. If a hacker wants to beat a honker K times， there must be some skills， so that he can achieve the purpose with probability arbitrarily close to 1 in the k /C times offensive. If a hacker achieves S successes after n attacks， there must be S ≤nC. If a honker wants to defend against a hacker R times， there must be some skills， so he can achieve the purpose with probability arbitrarily close to 1 in the k /C times defensive； If a honker achieve n times real success after n times defensive， there must be R ≤ND. C and D respectively represent the channel capacity of offensive channel and defensive channel. If C D， then the honker loses. If C =D， they have considerable strength.

Key words：hacker； honker； offensive； defensive； channel

1 盲對抗場境

攻防是安全的核心，特別是在有紅黑雙方對抗的場景下（比如，戰場、公安、網絡安全等），攻防幾乎就等于安全。所以，在安全通論的建立過程中，我們將花費更多的篇幅來研究攻防問題。但是，長期以來，人們并未對攻防場景進行過清晰的整理，再加上攻防一詞經常被濫用，從而導致攻防幾乎成了一個只能意會不能言傳的名詞，當然就更無法對攻防進行系統的理論研究了。

因此，為了開始我們的研究，必須首先理清攻防場景。更準確地說，下面我們只考慮無裁判的攻防，因為像日常看到的諸如拳擊比賽等有裁判攻防的體育項目，并不是真正的攻防。在攻防系統中，只有攻方和守方這兩個直接利益相關方（雖然有時涉及的人員會超過兩個），但絕沒有利益無關的第三方。所以，對攻防結果來說，吹哨的裁判員其實是干擾，是噪音，而且還是主觀的噪音，因此必須要去除。

無裁判攻防又可以進一步分為兩大類：盲攻防、非盲攻防。所謂盲攻防，指每次攻防后，雙方都只知道自己的損益情況，而對另一方卻一無所知，比如，大國博弈、網絡攻防、實際戰場、間諜戰、潑婦互罵等都是盲攻防的例子；非盲攻防，指每次攻防后，雙方都知道本次攻防的結果，而且還一致認同這個結果，比如，石頭剪刀布游戲、下棋、炒股等都是非盲攻防的例子。一般來說，盲對抗更血腥和殘酷，而非盲對抗的娛樂味更濃。在文章中，我們只考慮盲攻防[1]。

為了更形象地說明，下面我們仍然借用拳擊的術語來介紹盲攻防系統。當然，這時裁判已經被趕走，代替裁判的是無所不知的上帝。

攻方（黑客）是個神仙拳擊手，永遠不知累，他可用隨機變量X來表示。黑客每次出擊后，都會對自己的本次出擊給出一個真心盲評價（比如，自認為本次出擊成功或失敗，當自認為本次出擊成功時，記為X=1；當自認為出擊失敗時，記為X=0），但是，他絕不將這個真心盲評價系統告訴任何人。此處，之所以假定攻方（黑客）的盲自評要對外保密，是因為我們可以因此認定他的盲自評是真心的，不會也沒有必要弄虛作假。

守方（紅客）也是個神仙拳擊手，他也永遠不知累，可用隨機變量Y來表示。紅客每次守衛后，也都會對自己的這次守衛給出一個真心盲評價（比如，自認為本次守衛是成功或失敗，當自認為守衛成功時，記為Y=1；當自認為守衛失敗時，記為Y=0）。這個評價也仍然絕不告訴任何人。同樣，之所以要假定紅客的盲自評要對外保密，是因為我們可以因此認定他的自評是真心的，不會也沒有必要弄虛作假。

裁判員雖然被趕走了，但是我們卻把上帝請來了。不過，上帝只是遠遠地呆在凌霄寶殿看熱鬧，他知道攻守雙方心里的真實想法，因此也知道雙方對每次攻防的真心盲自評，于是他可將攻守雙方過去N次對抗的盲自評結果記錄下來：（X，Y）=（X1，Y1）、（X2，Y2）、…、（XN，YN）。

足夠長的時間之后，上帝看夠了，便叫停攻守雙方。讓他們分別對擂臺進行有利于自己的秘密調整，當然某方（或雙方）也可以放棄本次調整的機會，如果他（他們）認為當前擂臺對自己更有利的話。這里，所謂的秘密調整，指雙方都不知道對方做了些什么調整。比如，針對網絡空間安全對抗，也許紅客安裝了一個防火墻，也許黑客植入了一種新的惡意代碼等；針對陣地戰的情況，也許攻方調來了一去增援部隊，也許守方又埋了一批地雷等。

總之，攻守雙方調整完成后，雙方又在新的擂臺上，再開始下一輪的對抗。

不過，我們不研究攻守雙方的下一輪對抗，只考慮當前輪，即由上面的X、Y、（X，Y）等隨機變量所組成的系統。

至此，盲攻防場景的精確描述就完成了?？梢?，網絡戰、間諜戰、潑婦互罵等對抗性很慘烈的攻防，都是典型的盲對抗。

2 黑客攻擊能力極限

根據第1節中的隨機變量X和Y，上帝再新造一個隨機變量Z=（X+Y）mod2。由于任何兩個隨機變量都可以組成一個通信信道，所以我們把X作為輸入，Z作為輸出，上帝便可構造出一個通信信道F，我們稱之為攻擊信道。

另一方面，如果有1 bit信息被成功地從發端（X）傳到了收端（Z），那么要么是“X=0，Z=0”，要么是“X=1，Z=1”。由于Y=（X+Z）mod2，所以由“X=0，Z=0”推知“X=0，Y=0”；由“X=1，Z=1”推知“X=1，Y=0”。而“X=0，Y=0”意味著攻防本次盲自評為失敗∩守方本次盲自評為失敗；“X=1，Y=0”意味著攻方本次盲自評為成功∩守方本次盲自評為失?。痪C合起來就意味著攻方獲得某次攻擊的真正成功。

簡而言之，我們可以知道：如果黑客的某次攻擊真正成功，那么攻擊信道F就成功地傳輸1 bit到收端；如果有1 bit被成功地從攻擊信道F的發端，傳送到了收端，那么黑客X就獲得了一次真正成功攻擊。

引理1：黑客獲得一次真正成功的攻擊，其實就對等于攻擊信道F成功地傳輸了1 bit。

根據仙農信息論的著名《信道編碼定理》[2]：如果信道F的容量為C，那么對于任意傳輸率k/n≤C，都可以在譯碼錯誤概率任意小的情況下，通過某個n bit長的碼字，成功地把k bit傳輸到收信端；如果信道F能夠用n長碼字，把S bit無誤差地傳輸到收端，那么，一定有S≤nC。

定理1（黑客攻擊能力極限定理）：設由隨機變量（X；Z）組成的攻擊信道F的信道容量為C。那么：如果黑客想真正成功地把紅客打敗k次，一定有某種技巧（對應于仙農編碼），使得他能夠在k/C次攻擊中，以任意接近1的概率達到目的；如果黑客經過n次攻擊，獲得了S次真正成功的攻擊，一定有S≤nC。

由定理1可知：只要求出攻擊信道F的信道容量C，那么黑客的攻擊能力極限就確定了。

下面我們需要計算出F的信道容量C。

利用此I（Y， Z）可知：以Y為輸入，Z為輸出的防御信道G的信道容量D就等于Max[I（Y， Z）]（這里最大值是針對Y為所有可能的二元離散隨機變量來計算的）或者更簡單地說，容量D等于Max0

4 攻守雙方的實力比較

由于信道容量是在傳信率k/n保持不變的情況下，系統所能夠傳輸的最大信息比特數，而每成功傳輸1 bit，就相當于攻方的一次攻擊真正成功（或守方的一次防守真正成功），所以從宏觀的角度來看，我們可以推導出定理3。

定理3（攻守實力定理）：設C和D分別表示攻擊信道F和防御信道G的信道容量，如果CD，那么整體上紅客處于弱勢；如果C=D，那么紅黑雙方實力相當。

我們需要注意到：攻擊信道的容量C，其實是q的函數，所以可以記之為C（q）；同理，防御信道的容量D是p的函數，可以記之為D（p）。由此，在盲對抗中，紅黑雙方可以通過對自己預期的調整，即改變相應的概率分q和p，從而改變C（q）和D（p）的大小，并最終提升自己在盲對抗中的勝算情況。換句話說，我們證明了一個早已熟知的社會事實，即定理4。

定理4（知足常樂定理）：在盲對抗中，黑客（或紅客）有兩種思路來提高自己的業績，或稱為“幸福指數”。增強自身的相對打擊（或抵抗）力，即增加b和d（或c和a）；降低自己的貪欲，即增加p（或q）。但是，需要注意你可能無法改變外界，即調整b和d（或c和a），但卻可以改變自身，即調整p（或q）。由此可見：知足常樂是盲對抗中的一個真理。

5 結束語

我們的訣竅有兩點：巧妙地構造了一個隨機變量Z=（X+Y）mod2，并將一次真正成功的攻防問題，等價地轉換成了攻擊信道（X；Z）（或者防守信道（Y；Z））的1 bit成功傳輸問題；恰到好處地應用了看似風馬牛不相關的仙農編碼定理。以上兩點，任缺一項，就不會找到讓“黑客悟空”永遠也跳不出去的“如來手掌”。

參考文獻

[1] THOMAS M C， THOMAS J A.信息論基礎[M]. 阮吉壽， 張華， 譯. 北京：機械工業出版社出版， 2007

[2] SHU L， DANIEL J C. 差錯控制編碼[M]. 晏堅， 何元智， 潘亞漢， 等譯. 北京：機械工業出版社出版， 2007