安全通论第6章红客与黑客的多方对抗极限课件.pptx

1、l在上一章中，为了简捷计算，我们做了两个假定：1）红客与黑客是1对1的单挑；2）红客是红客，黑客是黑客，彼此界线十分明确。l但是，在网络空间安全对抗的实际场景中，上述假定都有待突破。比如，多攻1的情形：几乎任何一个重要的网络系统，随时都在遭受众多黑客的攻击，而且，这些黑客彼此之间可能根本就不认识，甚至不知道相互的存在。1攻多的情形：每一个重要的信息系统，它一定有多个备份；假若黑客只是将该系统和其部分备份攻破了，但没能全部攻破所有备份，那么，就不能算黑客赢。l在网络空间安全的实战中，其实攻与防是一体的，既没有纯粹的黑客，同时也没有纯粹的红客。1.多攻一可达极限 2.一攻多可达极限3.攻防一体星状

2、网的可达极限 4.攻防一体榕树网的可达极限 5.攻防一体麻将网的可达极限6.小结与答疑先考虑2个黑客攻击1红客的情形：设黑客X1和X2都想攻击红客Y，并且两个黑客互不认识，甚至可能不知道对方的存在，因此，作为随机变量，可以假设X1和X2是相互独立的。假设：攻防各方采取“回合制”，并且，每个“回合”后，各方都对本次的攻防结果，给出“真心的盲自评”，由于这些自评结果不告诉任何人，所以，有理由假设“真心的盲自评”是真实可信的，没必要做假。黑客的真心盲自评（随机变量黑客的真心盲自评（随机变量X X1 1和和X X2 2代表第一个和第二个代表第一个和第二个黑客）：黑客）：X1盲自评为成功，则X1=1；盲

3、自评失败，则X1=0X2盲自评为成功，则X2=1；盲自评失败，则X2=0红客红客Y=Y=（Y Y1 1，Y Y2 2）的真心盲自评：）的真心盲自评：本回合Y自评防御X1成功，自评防御X2也成功时，记为，Y1=1，Y2=1；本回合Y自评防御X1成功，自评防御X2失败时，记为，Y1=1，Y2=0；本回合Y自评防御X1失败，自评防御X2成功时，记为，Y1=0，Y2=1；本回合Y自评防御X1失败，自评防御X2也失败时，记为，Y1=0，Y2=0；根据根据“频率趋于概率频率趋于概率”这个大数定律这个大数定律0Pr(X1=1)=p1；0Pr(X1=0)=1-p1；0Pr(X2=1)=q1；0Pr(X2=0)

4、=1-q1；0Pr(Y1=1,Y2=1)=a111；0Pr(Y1=1,Y2=0)=a101；0Pr(Y1=0,Y2=1)=a011；0Pr(Y1=0,Y2=0)=a001；这里，a00+a01+a10+a11=1造一个2维随机变量Z=(Z1，Z2)=(1+X1+Y1)mod2,(1+X2+Y2)mod2)，即，Z1=(1+X1+Y1)mod2，Z2=(1+X2+Y2)mod2。并利用随机变量X1、X2和Z构造一个2-接入信道（X1,X2,p(zx1,x2),Z），并称该信道为红客的防御信道F。下面来考虑几个事件恒等式：某个回合红客防御成功=红客防御X1成功红客防御X2成功，然而，红客防御X1成

5、功=黑客X1自评本回合攻击成功，红客自评防御X1成功黑客X1自评本回合攻击失败，红客自评防御X1成功=X1=1,Y1=1X1=0,Y1=1=X1=1,Z1=1X1=0,Z1=0 同理，红客防御X2成功=黑客X2自评本回合攻击成功，红客自评防御X2成功黑客X2自评本回合攻击失败，红客自评防御X2成功=X2=1,Y2=1X2=0,Y2=1=X2=1,Z2=1X2=0,Z2=0所以，某个回合红客防御成功=X1=1,Z1=1X1=0,Z1=0X2=1,Z2=1X2=0,Z2=0=防御信道F的第一个子信道传信成功防御信道F的第二个子信道传信成功=2输入信道F的传输信息成功引理引理6.16.1：如果红客在

6、某个回合防御成功，那么，：如果红客在某个回合防御成功，那么，1 1比特信息就比特信息就在在2-2-输入信道输入信道F F（防御信道）中，被成功传输。（防御信道）中，被成功传输。反过来，如果“2-输入信道F的传输信息成功”，那么，“防御信道F的第一个子信道传输成功”同时“防御信道F的第二个子信道传输成功”，即，X1=1,Z1=1X1=0,Z1=0X2=1,Z2=1X2=0,Z2=0，等价于X1=1,Y1=1X1=0,Y1=1X2=1,Y2=1X2=0,Y2=1而X1=1,Y1=1X1=0,Y1=1意味着黑客X1自评本回合攻击成功，红客自评防御X1成功黑客X1自评本回合攻击失败，红客自评防御X1成

7、功，即，红客防御X1成功，同理，X2=1,Y2=1X2=0,Y2=1意味着黑客X2自评本回合攻击成功，红客自评防御X2成功黑客X2自评本回合攻击失败，红客自评防御X2成功，即，红客防御X2成功，所以，X1=1,Y1=1X1=0,Y1=1X2=1,Y2=1X2=0,Y2=1就等同于某个回合红客防御成功引理引理6.26.2：如果如果1 1比特信息在比特信息在2-2-输入信道输入信道F F（防御信道）中被成（防御信道）中被成功传输，那么，红客就在该回合中防御成功。功传输，那么，红客就在该回合中防御成功。定理定理6.16.1：设随机变量X1、X2和Z如上所述，防御信道F是如下2-接入信道（X1,X2,

8、p(zx1,x2),Z），那么，“红客在某回合中防御成功”就等价于“1比特信息在防御信道F中被成功传输”。根据文献5的定理15.3.1及其逆定理，我们知道信道F的可达容量区域为满足下列条件的全体(R1，R2)所组成集合的凸闭包，0R1maxXI(X1;ZX2)，0R2maxXI(X2;ZX1)，0R1+R2maxXI(X1,X2;Z).这里最大值是针对所有独立随机变量X1和X2的概率分布而取的；I(A,B;C)表示互信息，而I(A;BC)表示条件互信息；Z=(Z1，Z2)=(1+X1+Y1)mod2,(1+X2+Y2)mod2)。定理定理6.26.2：两个黑客X1和X2独立地攻击一个红客Y。如

9、果，在n个攻防回合中，红客成功防御第一个黑客r1次，成功防御第二个黑客r2次，那么，一定有：0r1nmaxXI(X1;ZX2)，0r2nmaxXI(X2;ZX1)，0r1+r2nmaxXI(X1,X2;Z).而且上述的上限是可达的，即，红客一定有某种最有效的防御方法，使得在n次攻防回合中，红客成功防御第一个黑客r1次，成功防御第二个黑客r2次，的成功次数r1和r2达到上限：r1=nmaxXI(X1;ZX2)，r2=nmaxXI(X2;ZX1)r1+r2=nmaxXI(X1,X2;Z)。再换一个角度，还有：如果红客要想成功防御第一个黑客r1次，成功防御第二个黑客r2次，那么，他至少得进行maxr

10、1/maxXI(X1;ZX2)，r2/maxXI(X2;ZX1)，maxXI(X1,X2;Z)次防御。将定理6.2推广到任意m个黑客X1、X2、Xm，独立地攻击一个红客Y=(Y1，Y2，Ym)的情况。仍然假设：攻防各方采取“回合制”，并且，每个“回合”后，各方都对本次的攻防结果，给出一个“真心的盲自评”，由于这些自评结果是不告诉任何人的，所以，有理由假设“真心的盲自评”是真实可信的，没必要做假。对任意1im，黑客Xi按如下方式对自己每个回合的战果，进行真心盲自评：黑客Xi对本回合盲自评为成功，则Xi=1；黑客Xi对本回合盲自评为失败，则Xi=0；每个回合中，红客按如下方式对自己防御黑客X1、X

11、2、Xm的成果，进行真心盲自评：任取整数集合1,2,m的一个子集S，记Sc为S的补集，即，Sc=1,2,m-S，再记X(S)为Xi：iS，X(Sc)为Xi：iSc，如果红客成功地防御了X(S)中的黑客，但却自评被X(Sc)中的黑客打败，那么，红客的盲自评估就为：Yi=1：iS，Yi=0：iSc。再造一个m维随机变量Z=(Z1，Z2，Zm)=(1+X1+Y1)mod2,(1+X2+Y2)mod2,(1+Xm+Ym)mod2)，即，Zi=(1+Xi+Yi)mod2，1im。并利用随机变量X1、X2、Xm和Z构造一个m-接入信道，并称该信道为红客的防御信道G。由于信道G的可达容量区域为满足下列条件的

12、所有码率向量所成集合的凸闭包R(S)I(X(S);ZX(Sc)对1,2,m的所有子集S。这里R(S)定义为R(S)=iSRi=iSri/n，ri/n是第i个输入的码率。定理定理6.36.3：m个黑客X1、X2、Xm独立地攻击一个红客Y。如果，在n个攻防回合中，红客成功防御第i个黑客ri次，1im，那么，一定有r(S)nI(X(S);ZX(Sc)，对1,2,m的所有子集S。这里r(S)=iSri。而且，该上限是可达的，即，红客一定有某种最有效的防御方法，使得在n次攻防回合中，红客成功防御黑客集S的次数集合r(S)，达到上限：r(S)=nI(X(S);ZX(Sc)，对1,2,m的所有子集S。再换一

13、个角度，还有：如果红客要想成功防御黑客集S的次数集合为r(S)，那么，他至少得进行maxr(S)/I(X(S);ZX(Sc)次防御。设黑客X=(X1,X2)同时攻击两个红客Y1和Y2。由于这两个红客是两个互为备份系统的守卫者，因此，黑客必须同时把这两个红客打败才能算真赢。仍然假设：攻防各方采取“回合制”，并且，每个“回合”后，各方都对本次的攻防结果，给出一个“真心的盲自评”，由于这些自评结果是不告诉任何人的，所以，有理由假设“真心的盲自评”是真实可信的，没必要做假。分别用随机变量Y1和Y2代表第一个和第二个红客，他们按如下方式对进行真心盲自评：红客Y1对本回合防御盲自评为成功，则Y1=1；红客

14、Y1对本回合防御盲自评为失败，则Y1=0；红客Y2对本回合防御盲自评为成功，则Y2=1；红客Y2对本回合防御盲自评为失败，则Y2=0；由于每个回合中，黑客要同时攻击两个红客，所以，用2维随机变量X=（X1，X2）代表黑客，他按如下方式对自己每个回合攻击Y1和Y2的成果，进行如下真心盲自评：本回合X自评攻击Y1成功，自评攻击Y2成功时，记为，X1=1，X2=1；本回合X自评攻击Y1成功，自评攻击Y2失败时，记为，X1=1，X2=0；本回合X自评攻击Y1失败，自评攻击Y2成功时，记为，X1=0，X2=1；本回合X自评攻击Y1失败，自评攻击Y2失败时，记为，X1=0，X2=0；根据“频率趋于概率”这

15、个大数定律，就可以计算出如下概率：0Pr(Y1=1)=f1；0Pr(Y1=0)=1-f1；0Pr(Y2=1)=g1；0Pr(Y2=0)=1-g1；0Pr(X1=1,X2=1)=b111；0Pr(X1=1,X2=0)=b101；0Pr(X1=0,X2=1)=b011；0Pr(X1=0,X2=0)=b001；这里，b00+b01+b10+b11=1再造两个随机变量Z1和Z2，这里Z1=(X1+Y1)mod2，Z2=(X2+Y2)mod2。并利用随机变量X（输入）和Z1、Z2（输出）构造一个2-输出广播信道p(z1,z2x)，并称该信道为黑客的攻击信道G。好了，下面来考虑几个事件恒等式：黑客X攻击成

16、功=黑客X攻击Y1成功黑客X攻击Y2成功=黑客X自评攻击Y1成功，红客Y1自评防御失败黑客X自评攻击Y1失败，红客Y1自评防御失败黑客X自评攻击Y2成功，红客Y2自评防御失败黑客X自评攻击Y2失败，红客Y2自评防御失败=X1=1,Y1=0X1=0,Y1=0X2=1,Y2=0X2=0,Y2=0=X1=1,Z1=1X1=0,Z1=0X2=1,Z2=0X2=0,Z2=0=1比特信息被成功从广播信道G的第1个分支传输到目的地1比特信息被成功地从广播信道G的第2个分支传输到目的地=1比特信息在广播信道G中被成功传输。以上推理过程，完全可以逆向进行，所以，我们有下定理定理6.46.4：一个黑客X=(X1,

17、X2)同时攻击两个红客Y1和Y2，如果在某个回合中黑客攻击成功，那么，1比特信息就在上述2-输出广播信道（攻击信道）G中被成功传输，反之亦然。此定理，可以推广到“1攻多”的情况：1个黑客X=(X1,X2,Xm)，同时攻击任意m个红客Y1、Y2、Ym的情况。由于这m个红客是互为备份系统的守卫者，因此，黑客必须同时把这m个红客打败，才能算真赢。对任意1im，红客Yi按如下方式对自己每个回合的战果，进行真心盲自评：红客Yi对本回合防御盲自评为成功，则Yi=1；红客Yi对本回合盲自评防御为失败，则Yi=0；每个回合中，黑客按如下方式对自己攻击红客Y1、Y2、Ym的成果，进行真心盲自评：任取整数集合1,

18、2,m的一个子集S，记Sc为S的补集，即，Sc=1,2,m-S，再记Y(S)为Yi：iS，Y(Sc)为Yi：iSc，如果黑客自评成功地攻击了Y(S)中的红客，但却自评被Y(Sc)中的红客成功防御，那么，黑客X的盲自评就为：Xi=1：iS，Xi=0：iSc再造m个随机变量Zi，这里Zi=(Xi+Yi)mod2，1im。并利用随机变量X（输入）和Z1、Z2、Zm（输出）构造一个m-输出广播信道p(z1,z2,zmx)并称该信道为黑客的攻击信道H。好了，下面来考虑几个事件恒等式：黑客X攻击成功=1im黑客X攻击Yi成功=1im 黑客X自评攻击Yi成功，红客Yi自评防御失败黑客X自评攻击Yi失败，红客

19、Yi自评防御失败=1im Xi=1,Yi=0Xi=0,Yi=0=1im Xi=1,Zi=1Xi=0,Zi=0=1im 1比特信息被成功地从广播信道G的第i个分支传输到目的地=1比特信息在m-广播信道G中被成功传输。以上推理过程，完全可以逆向进行，所以，我们有如下定理：定理定理6.56.5：一个黑客X=(X1,X2,Xm)同时攻击m个红客Y1、Y2、Ym，如果在某个回合中黑客攻击成功，那么，1比特信息就在上述m-输出广播信道（攻击信道）H中被成功传输，反之亦然。根据上述定理6.4和定理6.5，一个黑客同时攻击多个红客的问题，就完全等价于广播信道的信息容量区域问题。可惜，到目前为止，广播信道的信息

20、容量区域问题还未被解决。两个猜测：两个猜测：猜测1，中继信道可用于研究黑客的跳板攻击；猜测2，边信息信道可用于研究有内奸攻击。对盲对抗的自评估输赢进行分类：对盲对抗的自评估输赢进行分类：在每个回合后，各方对自己本轮攻防的“业绩”进行“保密的自评估”（即，该评估结果不告诉任何人，因此，其客观公正性就有保障，因为，可以假定每个人不会“自己骗自己”）：比如，一方（X）若认为本回合的攻防对抗中自己得胜，就自评估为X=1；若认为本回合自己失败，就自评估为X=0。同理，在每个回合后，另一方（Y）对自己的“业绩”也进行“保密的自评估”：若认为本回合自己得胜，就自评估为Y=1；若认为本回合自己失败，就自评估为

21、Y=0。当然，每次对抗的胜负，决不是由攻方或守方单方面说了算，但是，基于攻守双方的客观自评估结果，从旁观者角度来看，我们可以公正地确定如下一些输赢规则。“对手服输的赢”（在上一章叫真正赢），此时双方的自评估结果集是X=1,Y=0X=0,Y=0，即，此时对手服输了（Y=0），那怕自己都误以为未赢（X=0）。“对手的阿Q式赢”，此时双方的自评估结果集是X=0,Y=1X=1,Y=1，即，此时对手永远认为他赢了（Y=1），那怕另一方并不认输（X=1）。“自己心服口服的输”（在上一章叫真正输）：此时双方的自评估结果集是X=0,Y=1X=0,Y=0，即，此时自己服输了（X=0），那怕对手以为未赢（Y=0）

22、。“自己的阿Q式赢”，此时双方的自评估结果集是X=1,Y=0X=1,Y=1，即，此时永远都认为自己赢了（X=1），那怕另一方并不认输（Y=1）。“对手服输的无异议赢”：此时双方的自评估结果集是X=1,Y=0，即，攻方自评为“成功”，守方也自评为“失败”。（从守方角度看，这等价于“无异议地守方认输”）“对手不服的赢”：此时双方的自评估结果集是X=1,Y=1，即，攻守双方都咬定自己“成功”。“意外之赢”：此时双方的自评估结果集是X=0,Y=0，即，攻守双方承认自己“失败”。“无异议地自己认输”：此时双方的自评估结果集是X=0,Y=1，即，攻方承认自己“失败”，守方自评为“成功”。（从守方的角度看，

23、这等价于“对手无异议的守方赢”）。上面的8种自评估输赢情况，其实可以分为两大类：其一，叫“独裁评估”，即，损益情况完全由自己说了算（即，前面的四种情况，根本不考虑另一方的评估结果）；其二，叫“合成评估”，即，损益情况由攻守双方的盲自评估合成（后面的四种情况）。由于“合成评估”将攻守双方都锁定了，所以，其变数不大，完全可以根据攻防的自评估历史记录，客观地计算出来，而且，其概率极限范围也很平凡（介于0与1之间，而且还是遍历的），因此，只考虑“独裁评估”的极限问题。“星状网络对抗星状网络对抗”：对抗的一方只有一个人，比如，星状图的中心点（X）；对抗的另一方有许多人，比如，星状图的非中心点（Y1,Y2

24、,Yn）。更形象地说，此时，一群人要围攻一位武林高手，当然，该武林高手也要回击那一群人。为研究方便，假设这一群人彼此之间是相互独立的，他们只与武林高手过招，互相之间不攻击。先考虑1个高手对抗2个战士的情形设高手X=(X1,X2)想同时对抗两个战士Y1和Y2。由于这两个战士是互为备份系统的守卫者，因此，高手必须同时把这两个战士打败，才能算真赢（提醒：与上章不同的是，此处每个人既是攻方也是守方，他们都是攻防一体的哟）。仍然假设：攻防各方采取“回合制”，并且，每个“回合”后，各方都对本次的攻防结果，给出一个“真心的盲自评”，由于这些自评结果是不告诉任何人的，所以，有理由假设“真心的盲自评”是真实可信

25、的，没必要做假。分别用随机变量Y1和Y2代表第一个和第二个战士，他们按如下方式对自己每个回合的战果，进行真心盲自评：战士Y1对本回合防御盲自评为成功，则Y1=1；战士Y1对本回合防御盲自评为失败，则Y1=0；战士Y2对本回合防御盲自评为成功，则Y2=1；战士Y2对本回合防御盲自评为失败，则Y2=0；由于每个回合中，高手要同时攻击两个战士，所以，用2维随机变量X=（X1，X2）代表高手。为形象计，假定高手有两只手X1和X2，分别用来对付那两个战士。他按如下方式对自己每个回合攻击Y1和Y2的成果，进行真心盲自评：本回合X自评攻击Y1成功，自评攻击Y2成功时，记为，X1=1，X2=1；本回合X自评攻

26、击Y1成功，自评攻击Y2失败时，记为，X1=1，X2=0；本回合X自评攻击Y1失败，自评攻击Y2成功时，记为，X1=0，X2=1；本回合X自评攻击Y1失败，自评攻击Y2失败时，记为，X1=0，X2=0。每次对抗的胜负，决不是由某个单方面说了算，但是，上述客观自评估结果，从旁观者角度来看，我们可以公正地确定输赢规则。由于这时从任何一个战士（Y1或Y2）的角度来看，他面临的情况与“1对1的情况”完全相同只从高手X的角度来对“独裁评估”输赢次数的极限问题。首先看高手“真正赢”的情况，即，高手X同时使战士Y1和Y2服输，即，Y1=0,Y2=0。由于Y1和Y2相互独立，所以，P(Y1=0,Y2=0)=P

27、(Y1=0)P(Y2=0)=P(X1=1,Y1=0)+P(X1=0,Y1=0)P(X2=1,Y2=0)+P(X2=0,Y2=0)=P(X1=Z1)P(X2=Z2)，其中，随机变量Z1=(X1+Y1)mod2,Z2=(X2+Y2)mod2。由于如下两个信道：1）以X1为输入，Z1为输出，其信道容量记为C1；2）以X2为输入，Z2为输出，其信道容量记为C2。根据香农编码极限定理（见文献5或本书第7.3节），知道：P(X1=Z1)C1和P(X2=Z2)C2，而且，这两个不等式还是可以达到的，于是，P(Y1=0,Y2=0)C1C2。定理定理6.66.6（1 1攻攻2 2的攻击能力极限定理）：的攻击能力

28、极限定理）：在N个攻防回合中，一个高手最多能够同时把两个战士打败NC1C2次，而且，一定有某种技巧，可以使高手达到该极限。在1对2情况下，所有可能的“独裁评估”有：X1=a、X2=b、(X1，X2)=(a,b)、Y1=a、Y2=b、(Y1，Y2)=(a,b)、(X1，Y2)=(a,b)、(X2，Y1)=(a,b)，这里a和b取值为0或1。由于X1与X2相互独立，由于Y1与Y2相互独立，由于X1与Y2相互独立，由于Y1与X2相互独立，所以，仿照定理6.6的证明过程，可以得到：定理定理6.76.7（独裁评估的极限）（独裁评估的极限）：在一个高手X=(X1,X2)同时攻击两个战士Y1和Y2的情况下，

29、在N个攻防回合中，有如下极限，而且它们都是可以达到的极限：1）X1=a最多出现NC1次，其中，C1是以Y1为输入，以(X1+Y1+a)mod2为输出的信道容量；2）X2=b最多出现NC2次，其中，C2是以Y2为输入，以(X2+Y2+b)mod2为输出的信道容量；3）(X1，X2)=(a,b)最多出现NC1C2次，其中C1和C2如1）和2）所述（此时，若a=b=1，则意味着“X既未被Y1打败，也未被Y2打败”或者说“X成功地挡住了Y1和Y2的攻击”。由于，P(X1=0X2=0)=1-P(X1=1,X2=1)1-C1C2，所以，在N回合的对抗中，X被打败至少N(1-C1C2)次。这也是本章第1小节

30、研究过的多攻1的特例）；4）Y1=a最多出现ND1次，其中，D1是以X1为输入，以(X1+Y1+a)mod2为输出的信道容量；5）Y2=b最多出现ND2次，其中，D2是以X2为输入，以(X2+Y2+b)mod2为输出的信道容量；6）(Y1，Y2)=(a,b)最多出现ND1D2次，其中D1和D2如4）和5）所述（此时，若a=b=0的特殊情况，就是定理6.6中的情况）；7）(X1，Y2)=(a,b)最多出现NC1D2次，其中C1和D2如1）和5）所述；8）(X2，Y1)=(a,b)最多出现NE1E2次。其中，E1是以Y2为输入，以(X2+Y2+a)mod2为输出的信道容量；E2是以X1为输入，以(

31、X1+Y1+b)mod2为输出的信道容量。现在将1对2的情况推广到1对多的星状网络攻防情况。星状网络的中心点是高手X=(X1,X2,Xm)，他要同时对抗m个战士Y1,Y2,Ym（他们对应于星状网的非中心点）。每个回合后，战士们对自己在本轮攻防中的表现，给出如下保密的不告知任何人的盲自评估：战士Yi若自评估自己打败了高手，则记Yi=1；否则，记Yi=0这里1im。每个回合后，高手X=(X1,X2,Xm)对自己在本轮攻防中的表现，给出如下保密的不告知任何人的盲自评估：若他在对抗Yi时得分为ai(这里ai=0时，表示自认为输给了Yi；否则，ai=1，即，表示自己战胜了Yi)，那么，就记Xi=ai，1

32、im。这时，也可以形象地将高手看成“长了m只手：X1、X2、Xm”的大侠。定理定理6.86.8（星状网络对抗的独裁极限）（星状网络对抗的独裁极限）：在一个高手X=(X1,X2,Xm)同时对抗m个战士Y1,Y2,Ym的星状网络环境中，所有的独裁评估都可以表示为事件：iSXi=aijRYj=bj，其中S和R是数集1,2,m中的两个不相交子集，即，SR=，ai、bj取值为0或1(1i,jm)。而且，独裁评估的概率为：P(iSXi=aijRYj=bj)=iSP(Xi=ai)jRP(Yj=bj)iS,jRCiDj，这里，Ci是以Yi为输入，以(Xi+Yi+ai)mod2为输出的信道的信道容量；Dj是以X

33、j为输入，以(Xj+Yj+bj)mod2为输出的信道的信道容量。而且，该极限是可达的。换句话说，在星状网络的N次攻防对抗中，每个独裁事件iSXi=aijRYj=bj最多只出现NiS,jRCiDj次，而且，这个极限还是可达的。该定理的证明过程与定理6.6类似，只是注意到如下事实：从随机变量角度来看，当ij时，Xi与Yj相互独立；各Xi之间相互独立；各Yj之间也相互独立。定理6.8其实也包含了本章第1小节和第2小节考虑的“1攻多”和“多攻1”的情况。在真实的网络对抗中，还常常会出现集团之间的对抗情况，即，由一群人（比如，北约集团X1,X1,Xn）去对抗另一群人（比如，华约集团Y1,Y2,Ym）。这

34、里，北约集团的成员（X1,X1,Xn）之间不会相互攻击；同样，华约集团的成员（Y1,Y2,Ym）之间也不会相互攻击；北约（华约）的每一个成员，都有可能会攻击华约（北约）的每一个成员。因此，对抗的两个阵营，其实就形成了一个榕树网络（Banyan）。为研究简便，假定同一集团成员之间都是独立行事（即，各Xi之间相互独立；各Yi之间也相互独立），因为，如果某两个集团成员之间是协同工作的，那么，就可以将它们视为同一个（融合）成员。假定在每个回合后，各成员都对自己在本轮对抗中的表现，给出一个真心的盲评价。具体地说：每个北约成员Xi(1in)都长了m只手，即，Xi=(Xi1,Xi2,Xim)，当他自认为在本

35、轮对抗中打败了华约成员Yj(1jm)时，就记Xij=1；否则，当他自认为在本轮对抗中输给了华约成员Yj(1jm)时，就记Xij=0。同样，每个华约成员Yj(1jm)也都长了n只手，即，Yj=(Yj1,Yj2,Yjn)，当他自认为在本轮对抗中打败了北约成员Xi(1in)时，就记Yji=1；否则，当他自认为在本轮对抗中输给了北约成员Xi(1in)时，就记Yji=0。定理定理6.96.9（榕树网络对抗的独裁（榕树网络对抗的独裁极限极限）：在该榕树网络攻防环境中，所有的独裁评估事件都可表示为：(i,j)SXij=aij(j,i)RYji=bji。这里S和R是集合(i,j):1in,1jm中的这样两个子

36、集：当(i,j)S时，一定有“(j,i)不属于R；同时，当(i,j)R时，一定有“(j,i)不属于S。而且，独裁评估的概率为P(i,j)SXij=aij(j,i)RYji=bji)=(i,j)SPXij=aij.(j,i)RPYji=bji (i,j)S,(p,q)RCijDpq，这里，Cij（(i,j)S）是以Yji为输入，以(Xij+Yji+aij)mod2为输出的信道的信道容量；Dpq（(p,q)R）是以Xqp为输入，以(Xpq+Ypq+bpq)mod2为输出的信道的信道容量。而且，该极限是可达的。换句话说，在榕树网络的N次攻防对抗中，每个独裁事件(i,j)SXij=aij(j,i)RY

37、ji=bji最多只出现：N(i,j)S,(p,q)RCijDpq次，而且，这个极限还是可达到的。一个有n个用户的网络中，如果所有这些用户之间都相互攻击，就像打麻将时每个人都“盯上家，卡对家，打下家”一样，那么，这样的攻防场景就称之为麻将网络攻防，或者，更学术一些，叫做“全连通网络攻防”。在麻将网络中的n个战士，用X1,X2,Xn来表示。每个战士Xi(1in)都有n只手Xi=(Xi1,Xi2,Xin)，其中，他的第j(1jn)只手(Xij)是用来对付第j个战士Xj的，而Xii这只手是用来保护自己的。假设他们在每个回合后，都对本轮攻防的效果进行一次只有自己知道的评估，即：如果战士Xi自认为在本回合

38、中打败了战士Xj(1ijn)，那么，他就记Xij=1；否则，如果他认为输给了战士Xj，那么，他就记Xij=0定理定理6.106.10（麻将网络对抗的独裁极限）（麻将网络对抗的独裁极限）：在麻将网络攻防环境中，所有的独裁评估事件都可表示为：(i,j)SXij=aij，这里，S是集合(i,j):1ijn中的一个特殊子集，它满足条件：如果(i,j)S，那么，一定有“(j,i)不属于S”。而且，独裁评估事件的概率为：P(i,j)SXij=aij)=(i,j)SPXij=aij (i,j)SCij，这里，Cij（(i,j)S）是以Xji为输入，以(Xij+Xji+aij)mod2为输出的信道的信道容量。

39、而且，该极限是可达的。换句话说，在麻将网络的N次攻防对抗中，每个独裁事件(i,j)SXij=aij最多出现N(i,j)SCij次，而且，这个极限还是可达的。在现实对抗中，会经常出现“群殴”事件，特别是多位黑客攻击一位红客；一个黑客攻击多位红客；黑客借助跳板来攻击红客；在有人协助时，黑客攻击红客等，于是，便引出了本章的主题：多人对抗。当然，由于在网络空间安全对抗中，几乎只涉及“盲对抗”，所以，下面我们也就只研究了“盲群殴”。此处的结果，绝不仅仅限于网络空间安全，仍然对各类对抗性的安全都有效。1问：网络空间的安全通论会存在吗？答：安全的核心是对抗，它也是一种特殊的博弈。既然前人已经能够把广泛的博弈

40、，用很紧凑的博弈论给统一起来，那么，从理论上说，安全通论的“上界”是存在的，甚至它就是博弈论的某种精练。当然，这种精练绝非易事！另一方面，根据前面几章的内容，我们至少可以说，安全通论的“下界”也是存在的。因此，只要能把“上界”不断压小，把“下界”不断增大，那么，紧凑的安全通论就一定能够建成。2问：上章和本章讨论对抗时，都假定了“回合制”；但是实际的网络攻防不是回合制呀？答：表面上，现实世界的网络攻防确实不是回合制！但是，设想一下，如果把时间进行必要的局部拉伸和压缩（这样做，对攻防各方来说，并无实质性的改变），那么，所有攻防也都可转化成回合制了。况且，既然博弈论都是采用的回合制，那么，作为一种特

41、殊的博弈，为什么安全对抗就不能是回合制呢？理论研究一定要建立相应的模型，一定要抛弃一些不必要的差异和非核心细节，否则，就只能做“能工巧匠”了。采用什么制，并不重要。重要的是，是否能够把所有安全分支给紧凑地统一起来。3问：为什么你只考虑了对抗的输赢次数？答：必须承认，对抗中的“输赢次数”只包含了部分输赢信息（比如，一次大赢可能胜过多次小输），但是，在没有能力揭示更多输赢信息的情况下，能“向前迈一步”总好过无所作为。做科研，特别是创立一门新学科，只能步步逼近，不可能一步登天。4问：假如安全通论完成后，对网络空间安全到底有什么具体的指导价值？答：关键看今后安全通论完成后，到底是什么样子。也许它会是安全界的“信息论”，也许一钱不值。但是，如果是后者，就说明网络空间安全根本就是“一堆扶不上墙的烂泥”，我们不相信会出现这种情况。当然，你若问今后到底如何用安全通论去指导安全的各个细枝末叶，那么，我们可以告诉你：香农也不知道如何用信息论去指导电视机的生产。