yangleader的个人博客分享 http://blog.sciencenet.cn/u/yangleader 教授,博士生导师,北邮信息安全中心主任

博文

《安全通论》(6):攻防篇之“多人盲对抗”

已有 7161 次阅读 2016-2-4 14:37 |个人分类:爽玩人生|系统分类:论文交流

《安全通论》(6

------攻防篇之“多人盲对抗”

杨义先,钮心忻

北京邮电大学信息安全中心

   摘要:本文给出了常见于网络空间安全攻防战中,如下两种情形下,攻守双方极限能力的精确值:1)多位黑客攻击一位红客;2)一个黑客攻击多位红客。

(一)前言

“攻防”是安全的核心,而“攻防”的实质就是“对抗”。

为了全面深入地研究“对抗”,我们已经花费了四篇文章[2,3,4,5]来进行地毯式探索:

文献[2],统一研究了“盲对抗”,并给出了黑客(红客)攻击(防守)能力的精确极限。

文献[3][4][5],以国际著名的“石头剪刀布游戏”、国内家喻户晓的“猜正反面游戏”和“手心手背游戏”、酒桌上著名的“划拳”和“猜拳”为对象,研究了“非盲对抗”的五个有趣实例,给出了输赢极限和获胜技巧。

特别是文献[5],针对“非盲对抗”的很大一个子类(输赢规则线性可分的情况),给出了统一的解决方案。

但是,文献[2,3,4,5]都只限于“攻”与“守”单挑的情形,即,一个黑客攻击一个红客。虽然在一般系统中,黑客与红客几乎都是“一对一”的,但是,在网络空间安全对抗中,还会经常出现“群殴”事件,特别是多位黑客攻击一位红客;一个黑客攻击多位红客;黑客借助跳板来攻击红客;在有人协助时,黑客攻击红客等。而另一方面,在网络空间安全对抗中,几乎只涉及“盲对抗”,所以,下面我们就重点研究这类“盲群殴”。当然,本文的结果,绝不仅仅限于网络空间安全,仍然对各类安全都有效。

本文的攻防场景描述,主要是引入“上帝”的做法,与文献[2]相同,为了节省篇幅,此处不再重复。

(二)多位黑客攻击一位红客

为了直观计,我们先考虑2个黑客攻击一个红客的情形,然后,再做推广。

设黑客X1X2都想攻击红客Y,并且两个黑客互不认识,甚至可能不知道对方的存在,因此,作为随机变量,可以假设X1X2是相互独立的。

[2]类似,我们仍然假设:攻防各方采取“回合制”,并且,每个“回合”后,各方都对本次的攻防结果,给出一个“真心的盲自评”,由于这些自评结果是不告诉任何人的,所以,有理由假设“真心的盲自评”是真实可信的,没必要做假。

分别用随机变量X1X2代表第一个和第二个黑客,他们按如下方式对自己每个回合的战果,进行真心盲自评:

X1对本回合盲自评为成功,则X1=1X1对本回合盲自评为失败,则X1=0

X2对本回合盲自评为成功,则X2=1X2对本回合盲自评为失败,则X2=0

由于每个回合中,红客要同时对付两个黑客的攻击,所以,用2维随机变量Y=Y1Y2)代表红客,他按如下方式对自己每个回合的防御X1X2成果,进行真心盲自评:

本回合Y自评防御X1成功,自评防御X2也成功时,记为,Y1=1Y2=1

本回合Y自评防御X1成功,自评防御X2也失败时,记为,Y1=1Y2=0

本回合Y自评防御X1失败,自评防御X2也成功时,记为,Y1=0Y2=1

本回合Y自评防御X1失败,自评防御X2也失败时,记为,Y1=0Y2=0

让黑客们和红客不断地进行攻防对抗,并各自记下他们的盲自评结果。虽然他们的盲自评结果是保密的,没有任何人知道,但是,上帝知道这些结果,而且,根据“频率趋于概率”这个大数定律,上帝就可以计算出如下概率:

0<Pr(X1=1)=p<1 0<Pr(X1=0)=1-p<1

0<Pr(X2=1)=q<1 0<Pr(X2=0)=1-q<1

0<Pr(Y1=1,Y2=1)=a11<10<Pr(Y1=1, Y2=0)=a10<1

0<Pr(Y1=0,Y2=1)=a01<10<Pr(Y1=0, Y2=0)=a00<1

这里,a00+a01+a10+a11=1

上帝再造一个2维随机变量Z=(Z1Z2)=((1+X1+Y1)mod2, (1+X2+Y2)mod2)即,Z1=(1+X1+Y1)mod2Z2=(1+X2+Y2)mod2。并利用随机变量X1X2Z构造一个2-接入信道(X1,X2,p(z│x1,x2),Z),并称该信道为红客的防御信道F。(注:关于多接入信道的细节,请见文献[6]15.3节。)

好了,下面来考虑几个事件恒等式:

{某个回合红客防御成功}={红客防御X1成功}{红客防御X2成功}

{红客防御X1成功}={黑客X1自评本回合攻击成功,红客自评防御X1成功}{黑客X1自评本回合攻击失败,红客自评防御X1成功}={X1=1,Y1=1}{X1=0,Y1=1}= {X1=1,Z1=1}{X1=0,Z1=0}

同理,

{红客防御X2成功}={黑客X2自评本回合攻击成功,红客自评防御X2成功}{黑客X2自评本回合攻击失败,红客自评防御X2成功}={X2=1,Y2=1}{X2=0,Y2=1}= {X2=1,Z2=1}{X2=0,Z2=0}

所以,{某个回合红客防御成功}=[{X1=1,Z1=1}{X1=0,Z1=0}][{X2=1,Z2=1}{X2=0,Z2=0}] =[防御信道F的第一个子信道传信成功][防御信道F的第二个子信道传信成功]= {2输入信道F的传输信息成功}

于是,便有如下引理,

引理1如果红客在某个回合防御成功,那么,1比特信息就在2-输入信道F(防御信道)中,被成功传输。

反过来,如果“2-输入信道F的传输信息成功”,那么,“防御信道F的第一个子信道传输成功”同时“防御信道F的第二个子信道传输成功”,即,[{X1=1,Z1=1}{X1=0,Z1=0}][{X2=1,Z2=1}{X2=0,Z2=0}],这等价于[{X1=1,Y1=1}{X1=0,Y1=1}][{X2=1,Y2=1}{X2=0,Y2=1}]

{X1=1,Y1=1}{X1=0,Y1=1}意味着{黑客X1自评本回合攻击成功,红客自评防御X1成功}{黑客X1自评本回合攻击失败,红客自评防御X1成功},即,{红客防御X1成功}

同理,

{X2=1,Y2=1}{X2=0,Y2=1}意味着{黑客X2自评本回合攻击成功,红客自评防御X2成功}{黑客X2自评本回合攻击失败,红客自评防御X2成功},即,{红客防御X2成功}

所以,[{X1=1,Y1=1}{X1=0,Y1=1}][{X2=1,Y2=1}{X2=0,Y2=1}]就等同于{某个回合红客防御成功},从而,我们就得到了如下引理(它是引理1的逆)。

引理2:如果1比特信息在2-输入信道F(防御信道)中被成功传输,那么,红客就在该回合中防御成功。

结合引理1和引理2,我们就得到了如下定理:

定理1:设随机变量X1X2Z如上所述,防御信道F是如下2-接入信道(X1,X2,p(z│x1,x2),Z),那么,“红客在某回合中防御成功”就等价于“1比特信息在防御信道F中被成功传输”。

根据文献[6]的定理15.3.1及其逆定理,我们知道信道F的可达容量区域为满足下列条件的全体(R1R2)所组成集合的凸闭包,

0≤R1≤maxXI(X1;ZX2)

0≤R2≤maxXI(X2;ZX1)

0R1+R2maxXI(X1, X2;Z).

这里最大值是针对所有独立随机变量X1X2的概率分布而取的;I(A,B;C)表示互信息,而I(A;BC)表示条件互信息;Z=(Z1Z2)=((1+X1+Y1)mod2,(1+X2+Y2)mod2)

利用定理1,并将上述可达容量区域的结果翻译成攻防术语后,便得到:

定理2:两个黑客X1X2独立地攻击一个红客Y。如果,在n个攻防回合中,红客成功防御第一个黑客r1次,成功防御第二个黑客r2次,那么,一定有:

0≤r1≤n[maxXI(X1;ZX2)]

0≤r2≤n[maxXI(X2;ZX1)]

0r1+r2≤n[maxXI(X1, X2;Z)].

而且,上述的极限是可达的,即,红客一定有某种最有效的防御方法,使得在n次攻防回合中,红客成功防御第一个黑客r1次,成功防御第二个黑客r2次,的成功次数r1r2达到上限:r1=n[maxXI(X1;ZX2)],同时r2=n[maxXI(X2;ZX1)]以及r1+r2=n[maxXI(X1, X2;Z)]再换一个角度,还有:

如果红客要想成功防御第一个黑客r1次,成功防御第二个黑客r2次,那么,他至少得进行max{r1/[maxXI(X1;ZX2)]r2/[maxXI(X2;ZX1)][maxXI(X1,X2;Z)]}次防御。

下面来将定理2推广到任意m个黑客X1X2Xm,独立地攻击一个红客Y=(Y1Y2Ym)的情况。

仍然假设:攻防各方采取“回合制”,并且,每个“回合”后,各方都对本次的攻防结果,给出一个“真心的盲自评”,由于这些自评结果是不告诉任何人的,所以,有理由假设“真心的盲自评”是真实可信的,没必要做假。

对任意1im,黑客Xi按如下方式对自己每个回合的战果,进行真心盲自评:

黑客Xi对本回合盲自评为成功,则Xi=1;黑客Xi对本回合盲自评为失败,则Xi=0

每个回合中,红客按如下方式对自己防御黑客X1X2Xm的成果,进行真心盲自评:任取整数集合{1,2,…,m}的一个子集S,记ScS的补集,即,Sc={1,2,…,m}-S,再记X(S){XiiS}X(Sc){XiiSc},如果红客成功地防御了X(S)中的黑客,但却自评被X(Sc)中的黑客打败,那么,红客的盲自评估就为:{Yi=1iS}{Yi=0iSc}

上帝再造一个m维随机变量Z=(Z1Z2…Zm)=((1+X1+Y1)mod2, (1+X2+Y2)mod2,… , (1+Xm+Ym)mod2)即,Zi=(1+Xi+Yi)mod21im并利用随机变量X1X2XmZ构造一个m-接入信道,并称该信道为红客的防御信道G

仿照上面m=2的证明方法,利用文献[6]的定理15.3.6及其逆定理,我们知道信道G的可达容量区域为满足下列条件的所有码率向量所成集合的凸闭包,

R(S)≤I(X(S);ZX(Sc)),对{1,2,…,m}的所有子集S

这里R(S)定义为R(S)=i∈SRi=∑i∈S[ri/n],ri/n是第i个输入的码率。

仿照前面,将该可达容量区域的结果翻译成攻防术语后,便得到:

定理3m个黑客X1X2Xm独立地攻击一个红客Y。如果,在n个攻防回合中,红客成功防御第i个黑客ri次,1im,那么,一定有r(S)≤n[I(X(S);ZX(Sc))],对{1,2,…,m}的所有子集S。这里r(S)=i∈Sri。而且,该上限是可达的,即,

红客一定有某种最有效的防御方法,使得在n次攻防回合中,红客成功防御黑客集S的次数集合r(S),达到上限:r(S)=n[I(X(S);ZX(Sc))],对{1,2,…,m}的所有子集S。再换一个角度,还有:

如果红客要想实现成功防御黑客集S的次数集合为r(S),那么,他至少得进行max{r(S)/[I(X(S);ZX(Sc))]}次防御。

(三) 一位黑客攻击多位红客

为了增强安全性,红客在建设系统时,常常建设一个甚至多个(异构)备份系统,一旦系统本身被黑客攻破后,红客可以马上启用备份系统,从而保障业务的连续性。因此,在这种情况下,黑客若想真正取胜,他就必须同时攻破主系统和所有备份系统。这就是“一位黑客攻击多位红客”的实际背景,换句话说,只要有那怕一个备份未被黑客攻破,那么,就不能算黑客赢。当然,也许红客们并不知道是同一个黑客在攻击他们,至于红客们是否协同,都不影响下面的研究。

先考虑1个黑客攻击2个红客的情形,然后,再做推广。

设黑客X=(X1,X2)想同时攻击两个红客Y1Y2。由于这两个红客是两个互为备份系统的守卫者,因此,黑客必须同时把这两个红客打败,才能算真赢。

与上节类似,仍然假设:攻防各方采取“回合制”,并且,每个“回合”后,各方都对本次的攻防结果,给出一个“真心的盲自评”,由于这些自评结果是不告诉任何人的,所以,有理由假设“真心的盲自评”是真实可信的,没必要做假。

分别用随机变量Y1Y2代表第一个和第二个红客,他们按如下方式对自己每个回合的战果,进行真心盲自评:

红客Y1对本回合防御盲自评为成功,则Y1=1;红客Y1对本回合防御盲自评为失败,则Y1=0

红客Y2对本回合防御盲自评为成功,则Y2=1;红客Y2对本回合防御盲自评为失败,则Y2=0

由于每个回合中,黑客要同时攻击两个红客,所以,用2维随机变量X=X1X2)代表黑客,他按如下方式对自己每个回合攻击Y1Y2的成果,进行真心盲自评:

本回合X自评攻击Y1成功,自评攻击Y2成功时,记为,X1=1X2=1

本回合X自评攻击Y1成功,自评攻击Y2失败时,记为,X1=1X2=0

本回合X自评攻击Y1失败,自评攻击Y2成功时,记为,X1=0X2=1

本回合X自评攻击Y1失败,自评攻击Y2失败时,记为,X1=0X2=0

让黑客和红客们不断地进行攻防对抗,并各自记下他们的盲自评结果。虽然他们的盲自评结果是保密的,没有任何人知道,但是,上帝知道这些结果,而且,根据“频率趋于概率”这个大数定律,上帝就可以计算出如下概率:

0<Pr(Y1=1)=f<1 0<Pr(Y1=0)=1-f<1

0<Pr(Y2=1)=g<1 0<Pr(Y2=0)=1-g<1

0<Pr(X1=1,X2=1)=b11<10<Pr(X1=1, X2=0)=b10<1

0<Pr(X1=0,X2=1)=b01<10<Pr(X1=0, X2=0)=b00<1

这里,b00+b01+b10+b11=1

上帝再造两个随机变量Z1Z2这里Z1=(X1+Y1)mod2Z2=(X2+Y2)mod2。并利用随机变量X(输入)和Z1Z2(输出)构造一个2-输出广播信道p(z1,z2x),并称该信道为黑客的攻击信道G。(注:关于广播信道的细节,请见文献[6]15.6节。)

好了,下面来考虑几个事件恒等式:

{黑客X攻击成功}={黑客X攻击Y1成功}{黑客X攻击Y2成功}=[{黑客X自评攻击Y1成功,红客Y1自评防御失败}{黑客X自评攻击Y1失败,红客Y1自评防御失败}][{黑客X自评攻击Y2成功,红客Y2自评防御失败}{黑客X自评攻击Y2失败,红客Y2自评防御失败}]=[{X1=1,Y1=0}{X1=0, Y1=0}][{X2=1,Y2=0}{X2=0, Y2=0}]=[{X1=1,Z1=1}{X1=0, Z1=0}][{X2=1,Z2=0}{X2=0, Z2=0}]=[1比特信息被成功地从广播信道G的第1个分支传输到目的地][1比特信息被成功地从广播信道G的第2个分支传输到目的地]=[1比特信息在广播信道G中被成功传输]

以上推理过程,完全可以逆向进行,所以,我们有:

定理4:一个黑客X=(X1,X2)同时攻击两个红客Y1Y2,如果在某个回合中黑客攻击成功,那么,1比特信息就在上述2-输出广播信道(攻击信道)G中被成功传输,反之亦然。

下面再将定理4推广到1个黑客X=(X1,X2,…,Xm),同时攻击任意m个红客Y1Y2Ym的情况。由于这m个红客是互为备份系统的守卫者,因此,黑客必须同时把这m个红客打败,才能算真赢。

仍然假设:攻防各方采取“回合制”,并且,每个“回合”后,各方都对本次的攻防结果,给出一个“真心的盲自评”,由于这些自评结果是不告诉任何人的,所以,有理由假设“真心的盲自评”是真实可信的,没必要做假。

对任意1im,红客Yi按如下方式对自己每个回合的战果,进行真心盲自评:

红客Yi对本回合防御盲自评为成功,则Yi=1;红客Yi对本回合盲自评防御为失败,则Yi=0

每个回合中,黑客按如下方式对自己攻击红客Y1Y2Ym的成果,进行真心盲自评:任取整数集合{1,2,…,m}的一个子集S,记ScS的补集,即,Sc={1,2,…,m}-S,再记Y(S){YiiS}Y(Sc){YiiSc},如果黑客自评成功地攻击了Y(S)中的红客,但却自评被Y(Sc)中的红客成功防御,那么,黑客X的盲自评就为:{Xi=1iS}{Xi=0iSc}

上帝再造m个随机变量Zi,这里Zi= (Xi+Yi)mod21im。并利用随机变量X(输入)和Z1Z2Zm(输出)构造一个m-输出广播信道p(z1,z2,…,zmx),并称该信道为黑客的攻击信道H。(注:关于广播信道的细节,请见文献[6]15.6节。)

好了,下面来考虑几个事件恒等式:

{黑客X攻击成功}=1≤i≤m{黑客X攻击Yi成功}=1≤i≤m [{黑客X自评攻击Yi成功,红客Yi自评防御失败}{黑客X自评攻击Yi失败,红客Yi自评防御失败}]=1≤i≤m [{Xi=1,Yi=0}{Xi=0, Yi=0}]=1≤i≤m [{Xi=1,Zi=1}{Xi=0, Zi=0}]=1≤i≤m [1比特信息被成功地从广播信道G的第i个分支传输到目的地] =[1比特信息在m-广播信道G中被成功传输]

以上推理过程,完全可以逆向进行,所以,我们有:

定理5:一个黑客X=(X1,X2,…,Xm)同时攻击m个红客Y1Y2Ym,如果在某个回合中黑客攻击成功,那么,1比特信息就在上述m-输出广播信道(攻击信道)H中被成功传输,反之亦然。

根据上述定理4和定理5,一个黑客同时攻击多个红客的问题,就完全等价于广播信道的信息容量区域问题。可惜,到目前为止,广播信道的信息容量区域问题还未被解决。

(四) 结束语

在实际的网络空间安全对抗中,还有两种常见的攻击情况:1)黑客借助跳板来攻击红客;2)在有人协助(比如,在红方有一个内奸)时,黑客攻击红客等。可是,如何来研究这两种攻防极限呢?目前还没有答案。

另一方面,在多用户信息论中,也有两种常见的信道:1)中继信道(见文献[6]15.7节);2)边信息信道(见文献[6]15.8节)。

我严重怀疑“中继信道可用于研究黑客的跳板攻击”,同时,“边信息信道可用于研究有内奸攻击”,但是,很可惜,我始终没能找到突破口。欢迎有兴趣的读者来“接棒”。

特别说明1:这本该是一篇高影响因子的SCI论文,但是,如今国人已被SCI绑架了,所以,老夫想带头摆脱SCI的束搏,故将此文在这里发表。本文欢迎所有媒体转载。

特别说明2:本文是在2016年春节期间,给父亲守孝时完成的。以此怀念我那86岁,无疾而终的老父亲!此文也作为祭给父亲的“头七”礼物。

参考文献

[1]杨义先,钮心忻,安全通论(1)之“经络篇”,见杨义先的科学网实名博客(http://blog.sciencenet.cn/blog-453322-944217.html  

[2]杨义先,钮心忻,安全通论(2):攻防篇之“盲对抗”,见杨义先的科学网实名博客,(http://blog.sciencenet.cn/blog-453322-947304.html

[3]杨义先,钮心忻,安全通论(3):攻防篇之“非盲对抗”之“石头剪刀布游戏”,见杨义先的科学网实名博客,(http://blog.sciencenet.cn/blog-453322-948089.html

[4]杨义先,钮心忻,安全通论(4):攻防篇之“非盲对抗”之“童趣游戏”,见杨义先的科学网实名博客,(http://blog.sciencenet.cn/blog-453322-949155.html

[5]杨义先,钮心忻,安全通论(5):攻防篇之“非盲对抗”收官作及“劝酒令”,见杨义先的科学网实名博客,(http://blog.sciencenet.cn/blog-453322-950146.html

[6]Thomas M. Cover Joy A. Thomas著,信息论基础,机械工业出版社出版,200711月,北京。阮吉寿,张华译;沈世镒审校。




https://blog.sciencenet.cn/blog-453322-954445.html

上一篇:趣谈“网络空间安全一级学科”
下一篇:《安全通论》(7):黑客篇之“战术研究”
收藏 IP: 59.64.255.*| 热度|

3 武夷山 邓松柏 yangb919

该博文允许注册用户评论 请点击登录 评论 (3 个评论)

数据加载中...
扫一扫,分享此博文

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-12-22 19:01

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部