安全通論

----網絡安全生态學

楊義先，鈕心忻

北京郵電大學信息安全中心

摘要

一說起網絡空間安全治理，幾乎每個領導（特别是大領導）都會脫口開出“藥到病除”的祖傳秘方：抓生态嘛！但是，到底什麼才是網絡安全的生态？！可能從來就沒人認真思考過，頂多搞一些諸如“管理 技術 法規 教育 …”等定性的綜合配套措施而已，這些顯然隻是皮毛。本文首次定量地研究了，黑客、紅客和用戶同時并存的複雜網絡空間的生态學問題。重點包括：黑客與用戶形成的“獅子與牛羊”般的獵獵與被獵生态平衡問題；黑客與紅客形成的“牧民與獅子”般的競争性生态平衡問題；用戶與紅客形成的“牧民與牛羊”般的互惠互利生态平衡問題；黑客、紅客和用戶三方共同形成的“獅子、牧民和牛羊”般的捕獵、競争和互惠共存的複雜生态平衡問題。

（一）前言

從安全角度來看，在網絡空間中主要生活着三種生物：黑客、紅客和網絡普通用戶（簡稱“用戶”）。他們彼此相互作用：或互為競争（黑客與紅客）；或為捕獵與被獵（黑客與用戶），或互惠互利（紅客與用戶）。而網絡安全生态學就是要仿照古老的生物生态學，用數學模型，從數量上來描述黑客、紅客和用戶的生存與環境關系，并以此解釋一些宏觀現象，為确保網絡空間安全提供戰略借鑒。

為什麼能夠把黑客、紅客和用戶當作生物來看待呢？

因為，一方面，他們的功能與角色完全取決于所使用的工具（包括硬件和軟件）。比如，依靠黑客工具行事的人，當然就是黑客了；沒有工具的黑客，也就不再是黑客了。

另一方面，他們都擁有共同的預裝（或預配）基礎設施（包括基礎軟件和核心硬件等，比如，操作系統和CPU等），而其主要區别隻體現在更上層的自選應用工具方面。

第三方面，幾乎每一種自選應用工具的擴散，都具有口口相傳的特性，即，當某人擁有并使用了某應用工具後，如果滿意，他會向其朋友推薦；而其朋友中，又有一些人會跟進（擁有并使用該工具，相當于“兒子代工具用戶”），甚至再向其朋友推薦；這些朋友中，也許再有一些人跟進（産生了“孫子代工具用戶”）；如此反複推進，最終，該工具使用者數量的增加模式就完全等同于生物的繁殖模式了。由于這些工具使用者的代際很密集，數量也很大，所以，可以用連續函數來表示任何時刻用戶的密度（或數量）。

如果我們把擁有并使用N個工具的活人隐去，而隻把他等同于這N個工具的集合的話，由于這些（非基礎設施的）應用工具都是像生物一樣繁殖的，那麼，由黑客、紅客和用戶組成的活人網絡世界，也就等同于一個軟、硬件工具世界，而每一種工具就等同于一種生物。當某工具正被使用時，那就相當于該生物個體是活的；當該工具被主人卸載、放棄或被毀壞（比如，被黑客攻破等）後，就相當于該生物個體死亡了；當該工具雖未被放棄但也暫未被使用時，就相當于該生物個體遷出了；當該工具重新又被使用後，就相當于該生物個體遷入了；當該工具被淘汰後，就相當于該物種滅絕了等。

從安全功能角度看，所有這些生物都可以分為三大類：從事破壞活動的黑客類工具、從事與黑客對抗的紅客類工具、從事建設事業的用戶類工具。為習慣計，我們仍然用黑客、紅客和用戶來表示這些工具。更形象地說，在網絡空間這個大草原上，生存着食肉類的黑客（并不再細分獅子、狼或豹）、食草類的用戶（并不再細分牛、羊或大象等）和牧民紅客（并不再細分其膚色、信仰或民族。注意，這裡說的是“牧民”而非“獵人”，因為，獵人與獅子的關系不是紅客與黑客之間的競争關系，而是捕獵與被獵的關系，這就與黑客和用戶之間的關系重複了）。本文試圖利用生态數學來演繹網絡草原上，黑客、紅客和用戶的恩怨情仇、此消彼長的生死故事。

文獻[16]曾專注于黑客生态學，為避免不必要的混亂，那時始終假定“隻有一種黑客工具”。但是，相關的思路和結果其實對“多種黑客工具”仍然有效，因為，雖然每一種黑客工具形成了一個生物群體，但由多個黑客工具形成的多個生物群的大目标基本上是一緻的，即，躲過紅客，侵略用戶。所以，站在食草動物的角度，就沒必要區分黑客到底是獅子還是花豹了。

文獻[16]建立的黑客生态學，其實不僅僅限于黑客，它既是“紅客生态學”，也是“用戶生态學”，反正，它可以是任何一群大目标基本一緻的“單種群動物”的生态學。但是，當黑客和用戶被放在一起時，就相當于将獅子和牛羊放一起了，這時無論如何也不應該再将它們視作同一個種群了，所以，文獻[16]就失效了，就必須再次借鑒古老的生物生态學，來為它們建立“多種群生态學”。

由于黑客、紅客和用戶的生存狀态相差很大，所以，本文分别根據“黑客 用戶”、“黑客 紅客”、“紅客 用戶”、“黑客 紅客 用戶”等情況，來考慮兩種群和三種群的安全生态學。

再次強調，本文研究的是工具，而不是活人，所以，當某個活人同時擁有和使用多個黑客工具、紅客工具和用戶工具時，我們便将此人割裂成多個虛拟人的集合體，讓虛拟人各自扮演黑客、紅客和用戶的角色。

（二）“黑客 用戶”生态學

在黑客、紅客和用戶三者間的所有可能兩種群（“黑客 用戶”、“黑客 紅客”、“紅客 用戶”）生态學中，“黑客 用戶”的生态學最為重要，因為，黑客的真正第一攻擊目标是用戶，用戶的敵人是黑客。所以，我們首先來認真研究“黑客 用戶”生态學；而在随後幾節中，對其它幾個兩種群生态學，隻做簡要介紹。

從生物類比來看，黑客與用戶的關系恰如捕獵與被獵：當某黑客成功攻破某用戶的系統後，就相當于該用戶被獵，我們也說該用戶個體死了。作為食肉動物的黑客，在用戶這個食草動物面前，當然有絕對優勢。在缺乏紅客的場合下，用戶隻能依靠自身防禦和運氣，努力逃脫黑客的追殺，而不能回擊（否則就是紅客了）。

設x(t)和y(t)分别是t時刻用戶和黑客的密度（或個數），由于它們都具有生物繁殖特性，即，當它們單獨生存時，用戶的密度x(t)滿足動力學方程(1/x)dx/dt=r1-f1(x)，而黑客的密度y(t)也滿足(1/y)dy/dt=r2-g2(y)（見文獻[16]）。但是，當用戶和黑客混居時，它們密度的變化不但要遵守自己的規律，而且，還要受另一方的影響。若設相應的影響函數分别為g1(y)和f2(x)，那麼，用戶與黑客相互作用的動力學模型，就可表示為如下的微分方程組：

(1/x)dx/dt=r1-f1(x)-g1(y)和 (1/y)dy/dt=r2-g2(y) f2(x)

這裡和今後，為簡捷計，在不引起混淆的情況下，都用x代表x(t)，用y代表y(t)；而且，各fi(x)和gi(y)（i=1,2）都假定是非負值函數。其中，第一個方程裡的“-g1(y)”是因為黑客攻擊造成用戶減損而緻；第二個方程裡的“ f2(x)”是因為用戶死亡為黑客提供了生存機會（食物）的原因。

2.1 黑客與用戶相互線性影響時的生态平衡性

在最簡單的情況下，可假定影響函數fi(x)和gi(y)都為線性函數，于是，“黑客 用戶”的生态方程為如下Lotka-Volterra模型：

dx/dt=x(a10-b11x-b12y)和 dy/dt=y(a20 b21x-b22y)

這裡的各個系數bij(i=1,2)均為非負。當b11>0時，稱用戶為密度制約的；當b11=0時，稱用戶為非密度制約的。同理，當b22>0時，稱黑客是密度制約的；當b22=0時，稱黑客為非密度制約的。a10和a20分别表示用戶和黑客的生長率（出生率減死亡率）。若記k=b21/b12，那麼，上述生态方程可重寫為：

dx/dt=x(a10-b11x)-b12xy和 dy/dt=y(a20 kb12x-b22y)

由此可見，第一個公式中的b12xy表示的含義是：單位時間内用戶被黑客攻破的數目，形象地說，在單位時間内用戶被黑客吃掉的數目；而黑客的當前數目為y，所以，b12x表示每個黑客在單位時間内攻破用戶的數目，或形象地稱為黑客的捕食率（這裡當然暗含捕食率為正），它表示黑客攻擊用戶的能力。

令上述生态方程的右邊等于0，于是，得到兩條直線：

L1：a10-b11x-b12y=0和L2：a20 b21x-b22y=0

如果這兩條直線在第一象限内有一個交點(x’,y’)（即，該交點的坐标滿足x’>0，y’>0），那麼，根據Routh-Hurwits穩定性條件（見文獻[18]），有：

漸近穩定性引理：若b11b22 b21b12>0并且b11x’ b22y’>0，那麼，平衡點（x’,y’）是漸近穩定的，即，無論因何原因，如果用戶和黑客的數量偶然落進了（x’,y’）點附近，那麼，用戶和黑客的數量将最終趨于x’和y’。

那麼，什麼情況下，這種偶然會變成必然呢？答案之一就是如下，

雙密度制約的生态平衡定理（見文獻[18]的定理3.1）：如果b11>0和b22>0同時成立（即，用戶和黑客都是密度制約的），那麼，無論最初有多少個用戶和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡。

另一個更強的答案（見文獻[18]的定理3.2）是，

黑客密度制約的生态平衡定理：即使對用戶沒有密度制約（這對弱者是公平的），即，b11=0和b22>0（此時b21b12>0天然成立），那麼，無論最初有多少個用戶和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡。此時，在黑客隻攻擊本群用戶的假定下（即，黑客不遷出），則用戶和黑客的生态模型變成如下:

dx/dt=x(b-b12y) 和dy/dt=y(-d Eb12x-b22y)

其中各參數均為正常數，b是用戶的出生率，d是黑客的死亡率，E是因為用戶被攻破而給黑客做的貢獻率。此時，唯一的正平衡點（x’,y’）是

x’=(bb22 db12)/[E(b12)2]和y’=b/b12

并且它還是全局穩定的，即，無論最初有多少個用戶和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡，這便是黑客無遷出時的生态平衡定理。

如果考慮黑客的遷出行為（比如，或者暫不攻擊，或者轉向攻擊本群之外的其它用戶），那麼，用戶和黑客的生态方程變成：

dx/dt=x(b-b12y) 和dy/dt=y(f Eb12x-b22y)

這裡各參數也為正常數，方程的非平凡平衡點(x’,y’)

x’=(bb22-fb12)/[E(b12)2]和y’=b/b12

f>(bb22)/b12時，x’<0，在這種情況下，第一象限中的所有解都趨于(0,f/b22)，從而導緻用戶被全部攻破，即，用戶滅絕；如果f<(bb22)/b12，則非平凡平衡位置為正，此時，這個正平衡點是全局穩定的，即，無論最初有多少個用戶和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡。這便是有黑客遷出時的用戶滅絕與生态平衡定理。

前面的幾個結論都基于合理的假定：強者（黑客）受密度制約，而弱者（用戶）則不受密度制約。為了理論的完整性，如果我們非要做相反的假定，即，弱者（用戶）受密度制約，而強者（黑客）反而不受密度制約，那麼，此時“用戶 黑客”的生态方程變成：

dx/dt=x(b-b11x-b12y) 和 dy/dt=y(-d Eb12x)

這裡各參數也為正常數，它們的非平凡平衡位置(x’,y’)為X’=d/(Eb12)和y’=(bEb12-db11)/[E(b12)2]。如果，bEb12>db11，即，平衡點為正，那麼，此時，該正平衡點是全局穩定的，即，無論最初有多少個用戶和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡。這便是用戶密度制約生态平衡定理。

另外，無論是用戶還是黑客，都會遇到一些意外情況造成其個體數量的減少，比如，設備的常規升級換代，會造成當前正常用戶的減少；公安機關對黑客的專項打擊活動，會造成黑客的意外減少等。如果在上述的生态方程中，考慮到這種減員因素（假定被減少的是常數），那麼，相應的“用戶 黑客”生态方程就可變為：

dx/dt=x(b-b11x-b12y)-F和 dy/dt=y(-d Eb12x)-G

此時，便有如下，

有意外減損時的生态平衡定理（見文獻[18]的定理3.32）：如果該方程組存在正平衡點（x’,y’），并且F≥0，G≥0，那麼，（x’,y’）是全局穩定的，即，無論最初有多少個用戶和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡。

下面在特殊情況G=0，F>0下，對該定理給出較形象的解釋。此時，平衡點(x’,y’)為x’=d/(Eb12)和y’=[1-b11d/(Eb12)-EFb12/d]/b12，因而，隻有當F<F’時，才有y’>0，這裡F’=d[b-b11d/(Eb12)]/(Eb12)，從而(x’,y’)是全局穩定的。當F>F’時，将導緻用戶滅絕，故稱F’臨界減損率。

2.2用戶和黑客的一般生态平衡性

上一小節的所有結果，都有一個假設前提，即，用戶與黑客數量相互之間的影響是線性的。該線性假定的優點是簡捷、深入，并且在許多情況下，它确實能夠較好地逼近真實結果；而且，根據工程經驗，人們能夠從實際案例中獲得的許多數據也隻能是各種比率等，這就暗含了線性假設。

當然，線性假設的局限也是顯然的，所以，本小節試圖考慮更一般的情況。

用戶和黑客相互影響的最一般模型是如下的Kolmogorov模型：

dx/dt=xF1(x,y) 和 dy/dt=yF2(x,y)

假如曲線F1(x,y)=0和F2(x,y)=0隻有一個正交點（x’,y’），即，x’>0和y’>0，它又稱為正平衡點。由Taylor定理，便可将上述一般模型分解為：

dx/dt=x[(x-x’)ðF1/ðx (y-y’)ðF1/ðy] 和 dy/dt=y[(x-x’)ðF2/ðx (y-y’)ðF2/ðy]

這裡分别記偏微分值F11=ðF1/ðx 、F12=ðF1/ðy 、F21=ðF2/ðx 和F22=ðF2/ðy。

設用戶和黑客形成的生态環境，滿足如下條件：

A1：F12<0（用戶受到黑客的抑制）；

A2：F21>0（黑客得到用戶的給養，即，黑客靠攻擊用戶獲利而生存）；

A3：當y=0時，F11<0（若無黑客，用戶是密度制約的）；

A4：F22<0（黑客增長是密度制約的）；

A5：存在常數A>0，使得F1(0,A)=0(A為用戶不存在時，黑客的臨界密度)；

A6：存在常數B>0，使得F1(B,0)=0（B為無黑客時，用戶的負載容量）；

A7：存在常數Ｃ>0，使得F2(C,0)=0（C為無黑客時，用戶的下臨界密度）；

A8：yF2≤α[xF1(x,0)-xF1(x,y)]-μy（即，黑客的增長隻依靠它攻破用戶的供給，其中，方括号[]内表示單位時間内，黑客攻破用戶的數量；α和μ是正常數，并且α表示黑客的最快攻擊系數，μ表示最小死亡率）。

定義集合Q={x≥0,y≥0}是全部第一象限，Q0={x>0,y>0}。設F1和F2在Q内是連續函數，而在Q0是一階可導函數，并且它們滿足如下兩組條件：

條件P1(a) 存在一個x’>0，使得(x-x’)F1(x,0)<0，對所有x≥0且x≠x’；

條件P1(b) 存在一個y’>0，使得(y-y’)F1(0,y)<0，對所有y≥0且y≠y’；

條件P1(c) 偏微分滿足ðF1/ðy<0在集合Q0内；

條件P1(d) 對每一點(x,y)∈Q0，有xðF1/ðx yðF1/ðy<0。

條件P2(a) 存在一個x’’>0，使得(x-x’’)F2(x,0)>0，對所有x≥0且x≠x’’；

條件P2(b) 偏微分滿足ðF2/ðy≤0在集合Q0内；

條件P2(c) 對每一點(x,y)∈Q0，有xðF2/ðx yðF2/ðy>0。

根據已知的數學生态學結果（見文獻[18]第3.3節定理3.26），可得

黑客滅絕定理：如果在Kolmogorov模型中，函數F1和F2同時滿足條件P1和P2，并且設x’’≥x’，那麼，對所有起始點在Q0内的軌道，當t→∞時，趨于點(x’,0)。形象地說，在此種情況下，隻要初始時至少有一個用戶（當然暗含為正），那麼，經過足夠長時間之後，黑客将最終滅亡，并且還幸存着x’個用戶。

在Kolmogorov模型中還有如下一般性的生态平衡結果（見文獻[18]第3.3節定理3.27）：

用戶與黑客生态平衡定理：如果在Kolmogorov模型中，函數F1和F2同時滿足條件P1和P2，并且還有x’’<x’，則在Q0内存在唯一奇點（a,b）。如果(a,b)是不穩定的，則在Q0内至少存在一個周期軌道；若不存在周期軌道，則(a,b)是全局吸引的。形象地說，此種情況下，隻要初始時至少有一個用戶和黑客（當然暗含為正），那麼，經過足夠長時間之後，用戶數将趨于a，而黑客數将趨于b。

（三）“黑客 紅客”生态學

黑客與紅客的關系，當然是你死我活的競争關系，就像獅子與牧民（注意：不是獵人）的關系：獅子以獵取食草動物（用戶）為生，牧民則要保護用戶；一般情況下，牧民不會主動去傷害獅子，除非特殊的圍獵季節。

設x(t)和y(t)分别是t時刻紅客和黑客的密度（或個數），由于它們都具有生物繁殖特性，即，當它們單獨生存時，紅客和黑客的密度x(t)和y(t)分别滿足logistic動力學方程(1/x)dx/dt=r1(K1-x)/K1和(1/y)dy/dt=r2(K2-y)/K2（見文獻[16]），這裡K1和K2分别為紅客種群和黑客種群（x和y）的最小生存容量（即，低于該容量時，相應的紅客或黑客種群将會自行滅絕，見文獻[16]）。

但是，當紅客和黑客混居時，它們密度的變化不但要遵守自己的規律，而且，還要受另一方的影響。若設相應的影響函數都是線性的，分别為αy和βx，那麼，紅客與黑客相互作用的動力學模型就可表示為如下的微分方程組，Gause-Witt模型：

(1/x)dx/dt=r1(K1-x-αy)/K1和 (1/y)dy/dt=r2(K2-y-βx)/K2

其中，α和β稱為紅客和黑客的競争系數，即，它們分别給對方造成的殺傷力為“-αy/K1”和“-βx/K2”，這裡的負号“-”就體現了殺傷性，如果把該負号換為正号，那麼相應的關系就由“競争”變為了“互惠”（這就是下一節将要讨論的紅客與用戶之間的關系）。令微分方程組的右邊為0，可得兩條直線：L1（K1-x-αy=0）和L2（K2-y-βx=0），根據這兩條直線在第一象限中的位置特性，已經證明（見文獻[18]的1.2節或文獻[19]的3.1節）：

紅客與黑客的競争定理：由Gause-Witt模型描述的紅客和黑客，彼此厮殺的結果是：1）如果K1/K2>α和β>K2/K1，那麼，黑客将被淘汰；2）如果α>K1/K2和K2/K1>β，那麼，紅客将被淘汰；3）如果α>K1/K2和β>K2/K1，那麼，紅客或黑客中的某一方将被淘汰，即，不是你死，就是我活；4）如果K1/K2>α和K2/K1>β，那麼，紅客和黑客将共存，誰也不能淘汰誰，即，它們勢均力敵。

從這個定理中可以解讀出一些有趣的現象：α是黑客給紅客造成的傷害；β是紅客給黑客造成的傷害；紅客和黑客在競争中，是否被對方滅絕，不但取決于自己的殺傷力，還取決于兩條生死線：它們最小生存容量的比值K1/K2和K2/K1。即，如果各方給對方的殺傷力都在生死線内，那麼，即使競争很慘烈，大家也都會共存；如果各方給對方的傷害都在生死線外，那麼，隻能活一方，到底誰死就得看運氣了；如果一方給另一方的傷害在生死線之内，但是另一方的反擊卻在生死線外，那麼，反擊者獲勝并滅掉對方。換句話說，紅客若想淘汰黑客，那麼，它有兩種策略：增大其對黑客的殺傷力β，或者降低自己的最小生存容量K1（即，提高自己的生存力）。黑客若想在競争中獲勝，策略也一樣。

現在來考慮紅客和黑客混居時的一般生态平衡情況。為簡化足标，我們将上面的Gause-Witt模型重新寫為常用的Lotka-Volterra模型生态方程：

dx/dt=x(a10-b11x-b12y)和 dy/dt=y(a20-b21x-b22y)

這裡的各個系數bij(i=1,2)均為非負。當b11>0時，稱紅客為密度制約的；當b11=0時，稱紅客為非密度制約的。同理，當b22>0時，稱黑客是密度制約的；當b22=0時，稱黑客為非密度制約的。a10和a20分别表示紅客和黑客的生長率（出生率減死亡率）。

令上述生态方程的右邊等于0，于是，得到兩條直線：

L1：a10-b11x-b12y=0和L2：a20-b21x-b22y=0

如果這兩條直線在第一象限内有一個交點(x’,y’)（即，該交點的坐标滿足x’>0，y’>0），那麼，根據Routh-Hurwits穩定性條件（見文獻[18]的3.1節），有：若b11b22-b21b12>0并且b11x’ b22y’>0，那麼，平衡點（x’,y’）是漸近穩定的，即，無論因何原因，如果紅客和黑客的數量偶然落進了（x’,y’）點附近，那麼，紅客和黑客的數量将最終趨于x’和y’。由于此時不等式b11b22-b21b12>0的必要條件是：b11>0和b22>0，所以紅客和黑客都必須是密度制約的。

由此，根據文獻[18]的定理3.1，我們有：

紅客黑客競争的生态平衡定理：在上面Lotka-Volterra模型表示的紅客和黑客競争生态方程中，如果紅客和黑客都是密度制約的，那麼，它們的正平衡點(x’,y’)是全局穩定的。即，無論最初有多少個紅客和黑客（當然暗含為正），它們最終的數量都會趨于x’和y’，從而達到生态平衡。

（四）“用戶 紅客”生态學

紅客與用戶的關系，就是生物中的互惠互利關系，就像牧民保護牛羊那樣，紅客要保護用戶免遭黑客的攻擊。

設x(t)和y(t)分别是t時刻紅客和用戶的密度（或個數），由于它們都具有生物繁殖特性，即，當它們單獨生存時，紅客和用戶的密度x(t)和y(t)分别滿足logistic動力學方程(1/x)dx/dt=r1(K1-x)/K1和(1/y)dy/dt=r2(K2-y)/K2（見文獻[16]），這裡K1和K2分别為紅客種群和黑客種群（x和y）的最小生存容量（即，低于該容量時，相應的紅客或用戶種群将會自行滅絕）。

但是，當紅客和用戶混居時，它們密度的變化不但要遵守自己的規律，而且，還要受另一方的影響。若設相應的影響函數都是線性的，分别為b12y和b21x，那麼，紅客與用戶相互作用的動力學模型就可表示為如下的微分方程組：

(1/x)dx/dt=r1(K1-x)/K1 b12y和 (1/y)dy/dt=r2(K2-y)/K2 b21x

其中b21x和b12y就分别是用戶（紅客）給予紅客（用戶）的互惠。根據文獻[19]的3.3節，我們有如下生态定理，

紅客與用戶互惠的生态平衡定理：記δ=1-b12b21，a=b12K2/K1和b=b21K1/K2。如果δ>0，那麼，無論最初的紅客和用戶個數是多少（當然假定為正數），最終，紅客的數量将趨于(1 a)/δ，而用戶的數量将趨于(1 d)/δ。

雖然從安全角度看，紅客與用戶基本上是一家人，它們彼此影響的生态問題其實并不重要，但是，為了學術的完整性，我們還是在此節做簡要概述。

下面該來考慮用戶、紅客和黑客三者大團圓時的生态學問題了。

（五）“黑客 用戶 紅客”生态學

綜合來考慮黑客、紅客和用戶在一起的生态環境時，情況就更複雜了：黑客的本意是要從用戶處獲利，但是，如果紅客要擋它财路的話，黑客也會攻擊紅客；紅客并不想主動攻擊黑客，但是，如果用戶受到傷害，紅客就有義務提供保護；用戶在黑客面前幾乎無論為力，就像牛羊在獅子面前一樣，隻能靠運氣（未被黑客盯上）和紅客的保護。

下面來看這三方，如何聯袂演唱一出生态學大戲。

設x1(t)、x2(t)、x3(t)分别為t時刻用戶、紅客和黑客的密度（或數量）。當它們獨自相處，沒有其它兩方存在時，它們各自都要滿足自己的動力學模型，比如，dxi/dt=rixi[1-xi/Ki]，i=1,2,3（見文獻[16]），這裡K1、K2和K3分别為用戶種群、紅客種群和黑客種群的最小生存容量（即，低于該容量時，相應的用戶、紅客或黑客種群将會自行滅絕）。

但是，當用戶、紅客和黑客三者混居時，它們的密度的變化不但要遵守自己的規律，而且，還要受另兩方的影響。設相應的影響函數都是線性的，為了使足标更整齊，我們逐一來考慮各自的密度變化方程，

首先，對用戶來說，當它獨居時，滿足dx1/dt=r1x1[1-b11x1]，但是，混居後，紅客要給它提供互惠（ b12x2），黑客卻要對它減滅（-b13x3），所以，用戶最終的密度變化動力學方程為：dx1/dt=r1x1[1-b11x1 b12x2-b13x3]；

其次，對紅客來說，當它獨居時，滿足dx2/dt=r2x2[1-b22x2]，但是，混居後，用戶要給它提供互惠（ b21x1），黑客卻要與它競争造成減損（-b23x3），所以，紅客最終的密度變化動力學方程為：dx2/dt=r2x2[1 b21x1-b22x2-b23x3]；

最後，對黑客來說，當它獨居時，滿足dx3/dt=r3x3[1-b33x3]，但是，混居後，用戶要給它提供犧牲（ b31x1），紅客卻要與它競争造成減損（-b32x2），所以，黑客最終的密度變化動力學方程為：dx3/dt=r3x3[1 b31x1-b32x2-b33x3]。

綜合而言，“用戶 紅客 黑客”的生态學微分三方程組為：

dx1/dt=r1x1[1-b11x1 b12x2-b13x3]

dx2/dt=r2x2[1 b21x1-b22x2-b23x3]

dx3/dt=r3x3[1 b31x1-b32x2-b33x3]

為考慮該生态系統的穩定性，令上面三式的右邊為0，得到線性方程組：

1-b11x1 b12x2-b13x3=0，1 b21x1-b22x2-b23x3=0，1 b31x1-b32x2-b33x3=0

記矩陣A=[aij],i,j=1,2,3為該聯立方程的行列式矩陣，即，a11=-b11, a12=b12,a13=-b13; a21=b21, a22=-b22,a23=-b23, a31=b31, a32=-b32,a33=-b33。若a=(a1,a2,a3)是該方程組的正解，即，ai>0，i=1,2,3，也稱a=(a1,a2,a3)為該生态方程的正平衡位置。于是，上面的三個生态微分方程可重新寫為

dx1/dt=r1x1[1-b11(x1-a1) b12(x2–a2)-b13(x3–a3)]

dx2/dt=r2x2[1 b21(x1-a1)-b22(x2–a2)-b23(x3–a3)]

dx3/dt=r3x3[1 b31(x1-a1)-b32(x2–a2)-b33(x3–a3)]

于是，平衡位置(a1,a2,a3)是局部穩定的充分條件為：矩陣[aiaij]的所有特征根的實部為負。

下面進一步來考慮全局穩定性問題。

“用戶 紅客 黑客”三合一生态平衡定理1（見文獻[18]定理4.7）：上述正平衡位置(a1,a2,a3)對“用戶 紅客 黑客”的生态方程是全局穩定的充分條件是：如果存在一個正的對角線矩陣C，使得CA ATC是負定的，并且函數W(X)=[(X-a)T(CA ATC)(X-a)]/2不沿上述三微分方程組的一根軌線恒為0（X=a外）。此處X表示(x1,x2,x3)，a表示(a1,a2,a3)，AT表示矩陣A的轉置矩陣。形象地說，如果以上條件滿足的話，那麼，無論最初用戶、紅客和黑客的個數是多少（當然假定為正），那麼，最終用戶的個數會趨于a1，紅客的個數會趨于a2，黑客的個數會趨于a3。

為介紹另一個生态平衡定理，我們先引入如下定義：

一個矩陣C=[Cij]稱為是一個M矩陣，如果當i≠j時，Cij≤0，而且下列五個條件中任何一個成立（其實，對于具有非正的非對角線元素的矩陣，這五個條件是彼此等價的）：

條件1，矩陣C的所有特征值有正實部；

條件2，C的順序主子式為正，即，每個順序子矩陣的行列式值是正的；

條件3，C是非奇異的，而且C-1≥0；

條件4，存在一個向量x>0，使Cx>0；

條件5，存在一個向量y>0，使CTy>0。

“用戶 紅客 黑客”三合一生态平衡定理2（見文獻[18]定理4.8）：上述正平衡位置(a1,a2,a3)對“用戶 紅客 黑客”的生态方程是全局穩定的充分條件是：1）存在一個矩陣G，使得對所有i,j=1,2,3都有aii≤Gii和│aij│≤Gij對i≠j；2）矩陣[-G]的所有順序主子式為正。形象地說，如果以上條件滿足的話，那麼，無論最初用戶、紅客和黑客的個數是多少（當然假定為正），那麼，最終用戶的個數會趨于a1，紅客的個數會趨于a2，黑客的個數會趨于a3。

（六）結束語

到目前為止，包括本文在内，經過17篇系列論文的探索，《安全通論》的輪廓已經很清晰了，從而“網絡空間安全”一級學科的統一基礎理論就不再是天方夜譚了。至于如何廣泛使用《安全通論》去促進網絡空間安全的教育、科研、産品研發、安全防護、攻防改進等，那就隻能靠安全界的各位同仁了。可喜的是，在教育方面，好幾年高校已經将《安全通論》當作其研究生教材了，希望它早日成為國内外更多高校信息安全專業的本科生和研究生基礎教材；而且業界許多人的安全觀念也因《安全通論》而得以刷新，希望它能夠為國内外網絡安全保障體系的建設和維護做重要貢獻。

雖然還有許多工作要做，但是，有必要在此做一個簡要歸納，以便《安全通論》能促進網絡空間安全一級學科的健康成長和迅速發展。到目前為止，《安全通論》在回答如下四大支柱性核心問題方面均有進展：

問題1）什麼是安全，什麼是攻防，什麼是黑客，什麼是紅客？

問題2）無論是否失去理智，黑客和紅客攻防對抗雙方的極限在哪裡？

問題3）如果黑客和紅客攻防雙方是理智的，那麼最佳攻防策略是什麼？

問題4）網絡空間安全的生态情況是什麼，如何治理？

關于問題1的部分答案，包含在文獻[1,2,9]中，主要結果可概括為：1）從安全角度來看，任何有限系統都可以分解成一個邏輯經絡樹；隻要能夠保證該經絡樹中的某些末端點（元誘因）不出問題，那麼，整個系統就不會有安全問題。2）安全也是一種負熵（與信息是負熵類似）。而且，任何有限系統，若無外界的影響，那麼，它的“不安全性”總會越來越大，就像熵始終向增大方向發展一樣。3）攻防可以分為兩大類：盲攻防和非盲攻防。網絡空間中，黑客與紅客的攻防基本上都是盲攻防，但是，沙盤演練有助于我們用非盲數據來研究盲狀态。3）黑客的數學本質，其實就是一個離散随機變量X；而且，黑客的攻擊能力可用X的熵來度量，即，當這個熵越小時，黑客越厲害；具體地說，X的熵每少一個比特，該黑客在最佳攻擊策略的指導下，他的黑産收入能夠增加一倍。4）紅客的唯一目的是控制系統的不安全熵，使該熵不斷減少（最理想情況），不再增大（次理想情況），或不要過快增大（保底情況）。因此，判斷紅客的某行為是否正确的唯一依據，就是該行動最終會導緻系統的不安全熵的變化趨勢。熵向減少方向發展，就說明紅客正确，否則就是幫倒忙。問題1的深入研究，還需要借助可靠性理論、容錯理論和系統論等知識。

關于問題2的部分答案，包含在文獻[2,3,4,5,6,7,8,10,11]中，主要結果包括：無論彼此對抗的是兩人還是多人，無論對抗者是有理智還是因鬥争太殘酷已經失去了理智，盲對抗都是存在理論極限的，即，攻防各方都不可能突破這些極限。這其實又從另一個角度規勸對抗各方理智行事，即，以争取自身利益最大化為目标，損人不利己的事情别做，因為，失去理智并不能幫助提升你的攻防能力。雖然在不同情況下，相應的理論極限值互不相同（細節在此略去），但是，這些極限基本上都是基于《信息論》中的仙農信道容量定理而得出的，極限值都等于某些特定信道的信道容量。問題2的深入研究，還需要繼續借助《信息論》和維納的《賽博學》（即過去常說的維納《控制論》）；同時，反過來，由于通信和對抗在“信道”意義上其實是等價的（即，通信是收發雙方的某種對抗，對抗也是攻防各方以輸和赢為“比特”的某種通信），因此《信息論》和《安全通論》的許多成果能夠彼此借鑒和促進。

關于問題3的部分答案，包含在文獻[11,12,13]中，主要結果包括：如果對抗各方都理智行事，即，始終以預定的自身利益最大化為目标，那麼，紅客與黑客之間其實就是在進行多赢博弈。這時，攻防各方的最佳策略就應該是追求（或将對方逼進）納什均衡狀态。在現實的網絡對抗中，無論各方的預定（經濟）利益是什麼，都一定存在納什均衡狀态。更出人意料的是，我們發現：當達到納什均衡狀态時，其相關攻防也到達了某種特殊信道的信道容量。這就意味着：《信息論》的核心和《博弈論》的核心是強相關的，因此，《信息論》、《博弈論》和《安全通論》原來是可以三論融合的。通信是某種協作式對話，但是，諸如法庭辯論等卻是非協作式對話，也是對抗中的一個特例，它們也可納入基于安全通論的博弈部分，這其實是将信息論擴展到“負信息”領域了。問題3的深入研究，還需要繼續借助《博弈論》、《策略論》和《運籌學》等理論。可惜目前在國内外的安全界同時精通《博弈論》和《信息論》的人太少，所以，這座金礦還大有潛力可挖。

關于問題4的部分答案，包含在本文和文獻[14,15,16]中，主要結果包括：網絡空間安全的各涉事方的動力學行為分析，單方或多方相互作用時的生态環境特征等。比如，病毒式惡意代碼是如何在網絡中傳染和為害的、謠言治理的效果如何表現出來、黑客（紅客或用戶）的生态特性、黑客和紅客（黑客和用戶、紅客和用戶）相互作用時的生态特性、黑客紅客和用戶三者相互作用時的生态特性等。問題4的深入研究，還需要充分借鑒《複雜系統理論》、《系統論》等知識，尤其需要數學生态學家的支援，因為，畢竟在國内外安全界誰也不曾想到生物數學能幫上大忙，而且，生物數學對傳統的安全專家來說确實太遙遠了，不能僅僅依靠安全專家自己的補課。

總之，為龐大的網絡空間安全一級學科建立統一的基礎理論，絕不是一件容易的事情。到目前為止，我們隻是在各個方面，盡量地抛磚，但願能夠引來衆多的玉。目前，我們“暫不生産礦泉水，隻做大自然的搬運工”，所以，我們現在盡量借用已有的理論成果，盡量不去陷入繁雜的數學推導，盡量用最簡捷的語言來把複雜的事情說清楚。

再一次邀請國内外各方面專家，與我們一起共同努力，早日完成《安全通論》！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!