安全通论第3章黑客生态的演变规律课件.pptx

1、黑客的任务就是攻击网络，以获取自身利益最大化，那么，为了增加自身的整体实力，黑客就必须努力改善其生态环境，那么，他的生态环境又是什么呢？下面将一一回答这些问题。严谨地说，本小节只研究被普通黑客经常使用的黑客工具。这是因为：一方面，它们才是破坏力量的主体，虽然其媒体出镜率并不高；另一方面，这类黑客工具的传播具有明显的生物特性，从而，可以借用现成的生物动力学成果。在现实中，一个黑客所拥有并随时使用的，肯定不止一种黑客工具，但是为了研究方便，本小节假定：所有黑客都只用同一种黑客工具或一类工具。首先来研究单工具黑客动力学：当某种黑客工具，即，一种软件，被开发出来并被放在网上后，还不能算作黑客就诞生了，

2、因为，没人用的软件等于不存在。只有当某人，下载并使用该软件去攻击别人时，才说一个黑客诞生了。这个黑客也许又会将该款软件推荐给他的一批朋友，这批朋友中的某些人又去下载该软件并攻击别人，那么，又诞生了若干新一代。这些新黑客又再向他们的朋友推荐，如此循环往复，于是，更新一代的黑客就源源不断地诞生了。而且，最终的黑客总数会非常庞大，黑客代际之间的重叠会非常严重，以至于 t 时刻的黑客数目或密度N(t)可以用 t 的连续函数来近似。Malthus模型是生物动力学中常见且非常有用的模型，它对我们研究单工具黑客也非常关键，所以，现在结合黑客情况，介绍如下：记N(t)表示t时刻的黑客数目或密度，即，正在用该工

3、具攻击别人的黑客数量或密度。如果黑客的增长率是常数，或单位时间内黑客增长量与当时的黑客数量成正比，那么，就可用b和d分别表示黑客的出生率和死亡率，于是，在任意小的时间区间t内，N(t)的变化量满足等式：N(t+t)-N(t)=bN(t)t-dN(t)t对该公式两边同除t并令t0取极限，得到了著名的Malthus微分方程dN(t)/dt=rN(t)，其中r=b-d称为内禀增长率。该微分方程的解析解为N(t)=N(0)ert，于是根据b和d的大小，在Malthus模型下，黑客的最终数量将为 limtN(t)=0，当r0（即，出生率大于死亡率）。p65由此可见，无论r多么小，只要r0（即，出生率大于

4、死亡率），那么，活跃黑客的最终数量将为无穷大，但是，实际情况显然不是这样的，因为，当黑客数量或密度大到某个程度后，合法用户的安全防护措施一定会加强，从而，使得该黑客工具失灵，导致黑客们不得不放弃该工具（转而寻求其它攻击手段），这相当于该黑客死亡，于是，死亡率会迅速超过出生率，黑客总数又会大减。更准确地说，Malthus模型仅仅适用于黑客工具刚刚出现的早期阶段，那时，黑客数量相对较少（或密度相对较小），红客的防护措施还比较薄弱，黑客攻击的成功率和利润都较高，从而，又会刺激更多的黑客诞生或迁入。但是，随着黑客数量和密度的增大，觉醒并采取防卫措施的合法用户会增多，黑客的可攻击对象会减少，黑客彼此之间

5、的竞争会加剧，总之，死亡率增加，出生率减少，即，内禀增长率减少，由此可见，不能永远假设r为常数。还需要引入另一个重要参数，称为黑客的最小生存数量（或密度），记为K0，它意指，如果黑客数N(t)永远小于K0时，那么，黑客数将逐步减少，并最终灭亡，即，趋于0。参数K0的存在性可以这样来推理：由于黑客软件是（经朋友介绍后）自愿获取的，如果利用此工具去发动攻击会得不偿失，那么，他就会放弃该工具（即，死掉一个黑客）并且不再向其朋友推荐；当越来越多的黑客死亡时，该种黑客工具便被淘汰了。相反，如果事实证明，该工具有利可图，那么，黑客就会继续拥有并使用该工具，并有可能向其朋友推荐，从而，黑客数将超过K0。在“

6、不亏本”的前提下，人类本来就有相互合作的天性，特别是当N(t)较小时，因为有利可图，更会互相帮助，最终便导致提升黑客数量的增长率，甚至达到标准Malthus模型的指数增长速度。当然，当N(t)较大时，情况就相反了，便会互相竞争，最终结果便是抑制黑客数量的增长率，这便是下面logistic模型将要考虑的问题。设A为黑客数的最大平均改变率，当N(t)较小且N(t)K0，生物学的经验已经告诉我们：黑客的内禀增长率r可以直观地替代为r=A1-K0/N(t)，于是，标准Malthus模型就变形为如下微分方程：dN(t)/dt=AN(t)1-K0/N(t)=A(N(T)-K0)该微分方程存在正平衡态K0，

7、当A为正时，正平衡态K0却是不稳定的.而且，当N(t)K0时，黑客数呈增加态势。上述分析对安全防护的红客们，有如下启发：1）消灭黑客要宜早不宜迟，即，在黑客数还没有达到最小生存量K0时就动手，效果最好；2）如果成本较大，那么，不必对黑客斩尽杀绝，只需要将其数目控制在K0之内，黑客便会自动灭亡；3）如果错过了最佳时机（即，黑客数已经超过K0），那么，黑客数将在随后的短时间内，呈现指数级的爆炸性增长，此时，不必与黑客硬拼，而应该充分运用黑客之间的竞争机制，让他们互相制约（见下面的logistic模型）；4）控制黑客的关键是控制内禀增长率r，这又有两种思路：其一是减少出生率b；其二是增加死亡率d。如

8、果能够使r0，那么，红客的这第一道防线就崩溃了，只能转战由logistic模型构建的下一道防线。好了，现在就来研究Logistic增长模型及变形：每个网络能够承受的活跃黑客数都是有限的，该数称为环境容纳量，记为K（正数），即，当N(t)=K时，黑客数将出现零增长（当然，不难看出，一定有K00时，当t，黑客数N(t)将最终趋于容纳量K；而且，当初值N(0)满足0N(0)K/2时，黑客数量的曲线N(t)将呈现S型；并且在K/2点处，出现唯一的拐点：当N(t)很小时，黑客数将成指数增长模式；然后，抑制开始发挥作用，并在容纳量K处，最终达到饱和。五个阶段：1）开始期，也称为潜伏期，黑客数量很少，数量和

9、密度的增长缓慢；2）加速期，随着黑客数的增加，密度也迅速增加；3）转折期，当黑客数达到饱和密度的一半（K/2）时，密度增长最快；4）减速期，当黑客数超过K/2以后，密度增长逐渐变慢；5）饱和期，黑客数量达到K值而饱和，这意味着K是稳定的。上述标准的logistic模型更适合于黑客数量和密度N(t)较大时的情况，它已经考虑到了黑客彼此之间的竞争，以及由此导致的对内禀增长率的抑制情况。而当N(t)较小时，黑客之间又是相互帮助的，并将导致内禀增长率变大，所以，若同时考虑“人少时的合作”和“人多时的竞争”，那么，标准logistic模型便可改进为如下“具有Allee效应的logistic模型”：dN(

10、t)/dt=rN(t)N(t)/K0-11-N(t)/K此时，便存在着三个非负平衡态：0、K0和K。具体地说：当0N(t)K0时，dN(t)/dt0，即，黑客数量不断减少；当K0N(t)0，即，黑客数量不断增加；当N(t)K时，dN(t)/dtK0时，黑客数量将最终趋于K；而当N(0)0，即黑客越多，黑客增长越快，那么觉悟用户也会更快地增长。由于在饱和状态时，同时成立dN(t)/dt=0、N(t)=K和F(t)=S，所以，在公式F(t)=c1N(t)+c2dN(t)/dt中，让时间趋于无穷大后，便有S=c1K。于是，上面的“用户合作时的logistic模型”便可以更具体地表述为：dN(t)/d

11、t=rN(t)K-N(t)/K+rcN(t)，这里c=c2/c1该微分方程的解析解为N(t)=AertK-N(t)1+rc，其中A是由初始条件确定的常数。注意到当时间趋于无穷时，N(t)趋于K。该微分方程还可看出：当黑客数N(t)较小时，黑客数的增加，反而会使得黑客的增长率dN(t)/dt减少；当黑客较大时，黑客数的增加才会同时促进黑客增长率也增加。这再一次印证了：消灭黑客宜早不宜迟。接下来，考虑一种非自治单工具模型：标准Logistic模型的一个重要假设就是：内禀增长率r和容纳量K均为常数。这种假设的优点是：直观简洁且逼近实际。当然，r和K不会永远都是常数，也会变化，比如，当黑客的期望值变大

12、时，更多的黑客将因无利可图而放弃攻击（当然也就放弃工具了），那么，容纳量将变小；当合法用户变得更麻木时，黑客能够获得的利润将更多，从而，将有能力滋养更多的黑客，即，容纳量就会增大。若将r和K分别用分段连续的时间函数r(t)和K(t)来替代，那么，标准logistic模型就变成了如下非自治的logistic模型：dN(t)/dt=r(t)N(t)1-N(t)/K(t)该微分方程的解析解为：N(t)=N(0)exp0tr(s)ds/1+N(0)0texp(0sr(f)df)r(s)/K(s)ds如果 00r(t)r(t)supt0r(t)并且 00K(t)K(t)supt0K(t)，那么，非自治的

13、logistic模型就有一个全局稳定的解：N*(t)=0exp-0sr(t-f)dfr(t-s)/K(t-s)ds-1并且，当r(t)和K(t)是周期函数时，N*(t)也是周期的。下面再进一步地，分成一些特殊情况，来讨论非自治logistic模型：情况1：环境退化所谓环境退化，就是指黑客的生存条件越来越差，即，黑客的容纳量K(t)虽非负，但随着时间的推进K(t)越来越小，甚至limtK(t)=0。此时生物数学中已经证明：如果内禀增长率满足 0r(s)ds=，则 limtN(t)=0。该结果的直观解释便是：即使内禀增长率较大，在退化环境下，随着时间推移，该黑客工具将最终被淘汰，黑客被消灭。如果内

14、禀增长率满足 0r(s)ds，则 limtN(t)=N是一个正常数。一个有趣结果：即使内禀增长率较小，黑客数也会长期维持在正常数N附近，它与初始值无关。情况2：周期性的考虑黑客世界中也有一些有趣的周期现象，比如，在无外界干扰时，从宏观上看，当内禀增长率r(t)越来越大时，黑客的数量会增多，因此，每个黑客的利润会越来越少，这就会反过来促进越来越多的黑客放弃攻击，从而使r(t)开始变小；换句话说，r(t)会不断地周期性振荡。同样，容纳量K(t)也具有这种周期特性。我们干脆假设r(t)和K(t)就是周期为T的连续函数，并且，还做出如下三个合理的假设：假设1，黑客数越来越多时，他们会彼此竞争，从而会越

15、来越严重地抑制黑客数量的增长；假设2，当黑客数超过一定的值后，平均到每个黑客的利润会越来越低，因此，黑客数目将不会再增加；假设3，在一个周期里，内禀增长率是受控的，即，00Tr(t)dt。于是，此时非自治的logistic模型微分方程dN(t)/dt=r(t)N(t)1-N(t)/K(t)存在着周期解析解：N(t+T)=N(t)，N(0)=N(T)为黑客的初始值，并且当0t0时，零平衡态是不稳定的。此外，它还有一个正平衡态N=K，其稳定性为：当0r，/2时，平衡态N=K不稳定，此时，黑客N(t)存在一个周期解，即，黑客数的变化呈周期性起伏。上述分析，可以给安全防护的红客以如下启发：1）如果能够

16、控制黑客的生存环境，那么，增长态势越猛的黑客工具可能越短命；而增长缓慢的黑客工具可能会更命长，不过，如果他们的危害不高于治理成本的话，那么，就可以不理他们；2）黑客的增长率、网络对黑客数量的容量值、黑客数等都可能呈现出周期起伏的现象，因此，如果红客要想稳准狠地消灭黑客的话，最好在这些周期的低潮时下手！首先，我们结合黑客情况，来重新论述生物数学中所谓的“纯生过程”：这里的所谓“纯生”，就是假定没有死亡（含迁出，下同），即，黑客只增不减。记t时刻黑客数为N(t)，并假定：1）每个黑客的诞生（含迁入，下同）是互相独立的；2）在任意小的时间段t内，每个黑客诞生一个新黑客的概率为t+o(t)，没有新黑客

17、诞生的概率为1-t+o(t)，多于一个新黑客诞生的概率为o(t)。如果已知N(t)=n，那么，在区间(t,t+t内诞生的新黑客个数，服从参数n和t的二项分布的随机变量。当t非常小时，可以忽略o(t)的影响。于是，当k=0,1,n时，有Pk个新黑客在区间(t,t+t诞生N(t)=n=C(n,k)(t)k(1-t)n-k记该概率为P(k)，这里和今后C(n,k)都表示组合数公式，即，C(n,k)=n!/(k!(n-k)!)。于是，P(0)=(1-t)n=1-nt+o(t)；P(1)=nt(1-t)n-1=nt+o(t)；并且，当k2时，P(k)=o(t)。换句话说，这意味着随机过程N=N(t),t

18、0是一个连续时间Markov过程。记N(0)=a0，现在考虑黑客数的转移概率 pn(t)=P(N(t)=nN(0)=a)，a0,t0，它显然只依赖于时间差，从而是一个平稳随机过程。现在考虑pn(t)和pn(t+t)的关系。如果N(t+t)=na且当t0时，忽略多于一个新黑客诞生的可能性，那么，在t时刻，N(t)就满足：N(t)=n，若在(t,t+t时间段内没有新黑客诞生；N(t)=n-1，若在(t,t+t时间段内有一个新黑客诞生。应用全概率公式，便有：pn(t+t)=(1-nt)pn(t)+(n-1)tpn-1(t)+o(t),na将该公式等价地变形为pn(t+t)-pn(t)/t=(n-1)

19、pn-1(t)-npn(t)+o(t)/t在该式中，令t0取极限，便有dpn(t)/dt=(n-1)pn-1(t)-npn(t),n=a+1,a+2,当n=a时，由于此前黑客数为a-1的概率为0（因为纯生），所以，由全概率公式就有PN(t+t)=a=PN(t+t)=aN(t)=aPN(t)=a，所以dpa(t)/dt=-apa(t)求解此微分方程后，就有pa(t)=e-at，据此和前面已有的公式dpn(t)/dt=(n-1)pn-1(t)-npn(t)，我们可以得到，在t时刻，有k个新黑客诞生的概率为pa+k(t)=C(a+k-1,a-1)e-at(1-e-t)k，这里k=0,1,2,并且C(

20、m,n)为组合数公式。提醒：这个公式实际上就给出了在“0时刻黑客数为a”的条件下，t时刻的黑客数达到a+k的概率pa+k(t)；因此，在该时刻黑客数的均值(t)就为(t)=E(N(t)N(0)=a)=n=anpn(t)=aet此处前两个等式来源于均值的定义和pa+k(t)的表达式。这个公式告诉我们一个有趣的结果：在纯生过程中，t时刻黑客的平均个数为aet，它与出生率为b=的Malthus模型的解析式完全一样！因为，Malthus模型更适用于黑客数（密度）较小的初期，这当然可以看作一个纯生过程了。接下来看看与纯生过程完全相反的纯灭过程：此时只有死亡。假定某黑客在t时刻还存活，但在时间段(t,t+

21、t内死亡的概率为t+o(t)，现在考虑条件转移概率pn(t)=P(N(t)=nN(0)=a)，n=a,a-1,2,1,0先看一个特殊情况a=1，那么，p1(t)就是单个黑客在t时刻仍然存活的概率，并且有p1(t+t)=p1(t)(1-t)+o(t)其中1-t是单个黑客在时间段(t,t+t内没有死亡的概率。令t0取极限，便有如下微分方程dp1(t)/dt=-p1(t),t0，它对初值p1(0)=1的解为p1(t)=e-t。如果在初始时刻的黑客数a1，则在t时刻仍然存活的黑客数是一个服从参数a和p1(t)的二项分布的随机变量，所以有pn(t)=C(a,n)e-nt(1-e-t)a-n,n=a,a-

22、1,2,1,0其相应的数学期望值和方差分别是EN(t)=ae-t和 VarN(t)=ae-t1-e-t此时黑客数量的变化规律与Malthus增长模型中d=,b=0（有死无生）的情形相似。在纯灭过程中，黑客数要么保持常数，要么递减，最终有可能变为0（灭绝）。精确地说，这种黑客工具灭绝的概率为p0(t)=P(N(t)=0N(0)=a)=(1-e-t)a1，t换句话说，此时黑客灭绝的概率为1，一定灭亡。接下来，考虑线性出生和死亡的生灭过程：设初始黑客数为a且在时刻t时，黑客个数为N(t)，在时间区间(t,t+t内有一个新黑客诞生的概率为t+o(t)，有一个黑客死亡的概率为t+o(t)。于是，在“N(

23、t)=n”的条件下，在区间(t,t+t内出生一个黑客的概率为nt+o(t)；死亡一个黑客的概率为nt+o(t)；黑客数不变的概率为1-(+)nt+o(t)。所以，仿前面，记pn(t)=P(N(t)=nN(0)=a)，那么，利用全概率公式，便有 pn(t+t)=pn-1(t)(n-1)t+pn(t)1-(+)nt+pn+1(t)(n+1)t+o(t)该式两边同除t，并令t0，于是，在n1时便得微分方程dpn(t)/dt=(n-1)pn-1(t)-(+)npn(t)+(n+1)pn+1(t)若n=0，则有dp0(t)/dt=p1(t)，相应的初始条件为若n=a，则pn(0)=1；若na，则pn(0

24、)=0。由于求解此方程很复杂，我们只给出最终结果如下：(s,t)=n=0pn(t)sn，于是pn(t)就是函数(s,t)关于参量s的多项式展开式中sn的系数。当时，(s,t)=-(s)e-(-)t/-(s)e-(-)ta，其中(s)=(s-)/(s-1)；当=时，(s,t)=1-(t-1)(s-1)/1-t(s-1)a。现在来分析黑客被灭绝的概率，即，p0(t)=P(N(t)=0N(0)=a)，它其实就是(0,t)，所以，当时，p0(t)=(0,t)=(1-e-(-)t)/-e-(-)ta。当时，在此式中令t，那么就有p0(t)(/)a，即，该种黑客数量将最终稳定在(/)a。当=时，p0(t)

25、=(0,t)=t/(t+1)a，而且，当t时，也有p0(t)1，即，该种黑客以概率1被灭绝。再接下来，考虑非自治线性生灭过程：在刚才研究中，在考虑出生概率和死亡概率时，我们故意忽略了时间和黑客数，其实黑客数越多时，其出生和死亡的概率也就越大，因此，更精细地假设：在t时刻，当黑客数为n时，相应的出生概率为n=(t)n和死亡概率为n=(t)n，于是，类似地可知条件概率pn(t)=P(N(t)=nN(0)=a)满足如下微分方程：dpn(t)/dt=-n(t)+(t)pn(t)+(n-1)(t)pn-1(t)+(t)(n+1)pn+1(t),n=1,2,和dp0(t)/dt=(t)p1(t)，pa(0

26、)=1，且当na时有pn(0)=0。并最终求出在初始黑客数为a的条件下，t时刻黑客数N(t)的数学期望值为：EN(t)N(0)=a=aexp0t(s)-(s)ds。最后，考虑增长率只与黑客有关的情况：假如黑客的出生率和死亡率都只与黑客个数有关，而与时间无关，不妨记：当有n个黑客时，出生率和死亡率分别为n和n；N(t)0,1,2,K为t时刻的黑客个数，那么，与前面类似，在t时刻，N(t)满足如下Markov方案 PN(t+t)=n+1N(t)=n=nt+o(t)，PN(t+t)=n-1N(t)=n=nt+o(t)，PN(t+t)=nN(t)=n=1-(n+n)t+o(t)，令t0，取极限便得到黑

27、客数的条件转移概率所满足的如下两个微分方程：dp0(t)/dt=1p1(t)dpn(t)/dt=n-1pn-1(t)-(n+n)pn(t)+n+1pn+1(t)这个微分方程很难。有关黑客何时会灭绝的结果如下：所谓灭绝时间，就是指当黑客数首次为0的时间。若记Tn为初始黑客数为n的情况下，黑客被灭绝的时间，它显然是一个随机变量，不过，该随机变量的均值为：ETn=i=1nj=iK(1/j)h=ij-1(h/h)形象地说，对ETn越小的黑客工具，其寿命就越短。在网络空间中，没有黑客就没有安全问题，也就更不需要安全通论。可惜，黑客不但有，而且还越来越多，而且他们的外在表现形式还越来越千奇百怪，因此，有必要专门对黑客进行系统深入的研究。反过来，若想建立统一的信息安全基础理论，如果没有研究黑客，那也是不可思议的。因此，本章花费了较大篇幅，对黑客进行了多方位的研究。