“安全通论”

安全通论---刷新您的安全观念杨义先，教授北京邮电大学信息安全中心yxyang@bupt.edu.cn1本讲座的目的•让各位专家同行检验《安全通论》的正确性，并对它进行广泛的批评和指正；•让尽可能多的人知道：网络空间安全一级学科也是有基础支撑理论的！•最希望能够，通过本次讲座，吸引尽可能多的学生和青年教师，进入《安全通论》研究领域，大家一起开创全新的理论体系。相信，这是一个尚未开发的金矿，一定有许多重要成果在等待大家！•本讲座分两大部分：宏观简介+细节讲解2为什么说是一个金矿•通信工程中“信息论”的类比；•计算机工程中“冯.诺依曼”理论的类比；•全球安全的长期积累，已经到了从量变到质变的关键时期了，全球安全界需要“安全通论”，而且，产生“安全通论”的时机也可能快成熟了，如果大家能够抓住这个大好时机，也许你就是下一个“仙农”或“冯.诺依曼”！•我会全心全意为大家服务，支持大家成功3《安全通论》宏观简介（1）•首先瞄准《安全通信》的四块重要基石–安全经络：什么是安全？–安全攻防：什么是攻防？–黑客：什么是黑客？–红客：什么是红客？•相关的初步结果，已经以九篇论文的形式，在科学网的博客上，以杨义先的实名发表。欢迎大家批评指正。《安全通论》宏观简介（2）：参考文献–安全通论（1）之“经络篇”，–安全通论（2）：攻防篇之“盲对抗”，–安全通论（3）：攻防篇之“非盲对抗”之“石头剪刀布游戏”，–安全通论（4）：攻防篇之“非盲对抗”之“童趣游戏”，–安全通论（5）：攻防篇之“非盲对抗”收官作及“劝酒令”，–安全通论（6）：攻防篇之“多人盲对抗”，–安全通论（7）：黑客篇之“战术研究”，–《安全通论》（8）：黑客篇之“战略研究”，–《安全通论》（9）：红客篇，见科学网实名博客，宏观简介《安全通论》之经络篇（1）•“安全”是很主观的概念，与“角度”密切相关•“安全”是一个与时间密切相关的概念•“安全”是一个与对象密切相关的概念•“不安全性”遵从热力学第二定律，即，有限系统的“不安全”概率将越来越大，而不会越来越小（除非有外力，比如，采取了相应的安全加固措施等）；或者说“安全”与“信息”一样都是负熵。中医核心理论：通则不痛，痛则不通•问：通什么？答：通经络！•问：人有病理经络，难道网络空间也有安全经络？答：是的，我们已经用数学方法严格证明了：所有有限系统，包括网络空间，都存在安全经络！而且，只要对经络末梢（元诱因）扎针灸，就可“包治百病”！有限系统的不安全经络图几点特别说明•此处虽然证明了有限系统的“安全经络图”是存在的，但是，并未给出如何针对具体的系统，来绘制其安全经络图，估计未来的学者们也不得不花费巨大的精力，针对具体系统来绘制具体的经络图。•绘制经络图绝非易事，想想看，为了绘制人体经络图，中医界的祖先们奋斗了数千年！因此，别指望在短期内就绘制出“网络空间安全经络图，虽然该图肯定存在。宏观简介《安全通论》之经络篇（2）•任何有限系统，都存在一套完整的“经络树”，使得系统的任何“病痛”，都可以按如下思路进行有效“医治”：首先梳理出“经络树”中“受感染”的带病“树枝”体系，然后，对该“树枝”末梢上的“带病树叶”（“穴位”或“元诱因”）进行“针灸”。医治好“病叶”后，与这些“病叶”相连的“树枝”就治好了；医治好所有“病枝”后，与这些“病枝”相连的“树干”就治好了；医治好所有“病干”后，整棵“经络树”就医治好了，从而，系统的“病痛”就治好了。宏观简介《安全通论》之攻防篇（1）•攻防分为两大类：盲攻防、非盲攻防。–所谓“盲攻防”，意指每次攻防后，双方都只知道自己的损益情况，而对另一方却一无所知；比如，大国博弈、网络攻防、实际战场、间谍战、泼妇互骂等都是“盲攻防”的例子。–所谓“非盲攻防”，意指每次攻防后，双方都知道本次攻防的结果，而且还一致认同这个结果；比如，石头剪刀布游戏、下棋、炒股等都是“非盲攻防”的例子。宏观简介《安全通论》之攻防篇（2）•盲攻防：攻防的可达理论极限！•若黑客想“真正成功”地把红客打败k次，那么，一定有某种技巧，使他能够在k/C次进攻中，以任意接近1的概率达到目的；如果黑客经过n次攻击，获得了S次“真正成功”，那么，一定有S≤nC。这里C是“攻击信道”的信道容量。•若红客想“真正成功”地把黑客挡住R次，那么，一定有某种技巧，使得他能够在R/C次防御中，以任意接近1的概率达到目的。反过来，如果红客经过N次防卫，获得了R次“真正成功”，那么，一定有R≤ND。这里D是“防御信道”的信道容量。•如果CD，那么黑客输；如果CD，那么红客输；如果C=D，那么，红黑实力相当（[2]）宏观简介《安全通论》之攻防篇（3）•非盲攻防–针对国际著名的“石头剪刀布游戏”[3]、国内家喻户晓的“猜正反面游戏”和“手心手背游戏”[4]和酒桌上著名的划拳和猜拳游戏（[5]）等，得到了相应的可达理论极限结果。并据此设计了一种有趣的“猜心术”游戏–特别是文献[5]，在“输赢规则线性可分情况”精确给出了对抗双方的理论极限能力值！详见如下：宏观简介《安全通论》之攻防篇（4）•线性非盲对抗极限定理–在“非盲对抗”中，设黑客X共有n种攻击法{x0,x1,…xn-1}={0,1,2,…,n-1}；设红客Y共有m种防御法{y0,y1,…ym-1}={0,1,2,…,m-1}，又设红黑双方约定的输赢规则是：“xi胜yj”当且仅当(i,j)∈H。这里H是矩形集合{（i,j）,0≤i≤n-1,0≤j≤m-1}的某个子集。宏观简介《安全通论》之攻防篇（5）•线性非盲对抗极限定理（续1）–如果H关于黑客X是线性的，即，H可以表示为H={(i,j):i=f(j),0≤i≤n-1,0≤j≤m-1}（即，H中第一个分量i是其第二个分量j的某种函数f(.)），那么，便可以构造一个信道（X；Z），其中Z=f(Y)，使得：若C是信道（X；Z）的信道容量，那么：•如果黑客想赢k次，那么，他一定有某种技巧（对应于仙农编码），使得他能够在k/C个回合中，以任意接近1的概率达到目的。•如果黑客在n个回合中，赢了S次，那么，一定有S≤nC。宏观简介《安全通论》之攻防篇（6）•线性非盲对抗极限定理（续2）–如果H关于红客Y是线性的，即，H可以表示为H={(i,j):j=g(i),0≤i≤n-1,0≤j≤m-1}（即，H中第二个分量j是其第一个分量i的某种函数g(.)），那么，便可以构造一个信道（Y；G），其中G=g(X)，使得：若D是信道（Y；G）的信道容量，那么有：•如果红客想赢k次，那么，他一定有某种技巧（对应于仙农编码），使得他能够在k/D个回合中，以任意接近1的概率达到目的。•如果红客在n个回合中，赢了S次，那么，一定有S≤nD。宏观简介《安全通论》之攻防篇（7）•两位黑客X1和X2独立地攻击一位红客Y。如果，在n个攻防回合中，红客成功防御第一个黑客r1次，成功防御第二个黑客r2次，那么，一定有：0≤r1≤n[maxXI(X1;Z│X2)]，0≤r2≤n[maxXI(X2;Z│X1)]，0≤r1+r2≤n[maxXI(X1,X2;Z)].宏观简介《安全通论》之攻防篇（8）–而且，上述的上限是可达的，即，红客一定有某种最有效的防御方法，使得在n次攻防回合中，红客成功防御第一个黑客r1次，成功防御第二个黑客r2次，的成功次数r1和r2达到上限：r1=n[maxXI(X1;Z│X2)]，同时r2=n[maxXI(X2;Z│X1)]以及r1+r2=n[maxXI(X1,X2;Z)]。再换一个角度，还有：–如果红客要想成功防御第一个黑客r1次，成功防御第二个黑客r2次，那么，他至少得进行max{r1/[maxXI(X1;Z│X2)]，r2/[maxXI(X2;Z│X1)]，[maxXI(X1,X2;Z)]}次防御。宏观简介《安全通论》之攻防篇（9）•m个黑客X1、X2、…、Xm独立攻击一个红客Y。–如果，在n个攻防回合中，红客成功防御第i个黑客ri次，1≤i≤m，那么，一定有r(S)≤n[I(X(S);Z│X(Sc))]，对{1,2,…,m}的所有子集S。这里r(S)=∑i∈Sri。而且，该上限是可达的，即，•红客一定有某种最有效的防御方法，使得在n次攻防回合中，红客成功防御黑客集S的次数集合r(S)，达到上限：r(S)=n[I(X(S);Z│X(Sc))]，对{1,2,…,m}的所有子集S。再换一个角度，还有：–如果红客要想实现成功防御黑客集S的次数集合为r(S)，那么，他至少得进行max{r(S)/[I(X(S);Z│X(Sc))]}次防御。宏观简介《安全通论》之攻防篇（10）•一个黑客攻击多个红客（比如，同时攻击主备份系统等）–一个黑客X=(X1,X2)同时攻击两个红客Y1和Y2，如果在某个回合中黑客攻击成功，那么，1比特信息就在上述2-输出广播信道（攻击信道）G中被成功传输，反之亦然–一个黑客X=(X1,X2,…,Xm)同时攻击m个红客Y1、Y2、…、Ym，如果在某个回合中黑客攻击成功，那么，1比特信息就在上述m-输出广播信道（攻击信道）H中被成功传输，反之亦然宏观简介《安全通论》之黑客篇（1）•经济黑客：只关注自己能否获利，并不在乎是否伤及对方。其目标是：以最小的开销来攻击系统，并获得最大的收益。只要准备就绪，经济黑客随时可发动进攻。•政治黑客：不计代价，一定要伤及对方要害，甚至有时还有更明确的攻击目标，不达目的不罢休。•时间黑客：希望在最短的时间内，攻破红客的防线，而且，使被攻击系统的恢复时间尽可能地长。宏观简介《安全通论》之黑客篇（2）•经济黑客的静态形象–其实是一个离散随机变量X来描述，这里X的可能取值为{1，2，…，n}，概率Pr(X=i)=pi，并且，p1+p2+…+pn=1。•经济黑客的最佳动态攻击战术–当黑客的资源投入比例为其静态概率分布值时，黑客的“黑产收入”达到最大值。特别是，在投入产出比均匀的前提下，黑客X的熵若减少1比特，那么，他的“黑产收入”就会翻一倍，换句话说，若黑客X的熵H(X)越小，那么，他就越厉害，他能够通过攻击行为获得的“黑产收入”就越高！（详见[7]）：宏观简介《安全通论》之黑客篇（3）•经济黑客的战略配置策略（1）–设黑客欲攻击的m个系统的收益列向量X=(X1,X2,…,Xm)t服从联合分布F(x)，即，X～F(x)。那么，该黑客的攻击组合b*是对数最优（即，使得增长率W(b,F)达到最大值的攻击组合）的充分必要条件是：当b*i0时，E[Xi/(b*tX)]=1；当b*i=0时，E[Xi/(b*tX)]≤1。宏观简介《安全通论》之黑客篇（4）•经济黑客的战略配置策略（2）–如果采用对数最优的攻击组合策略，那么，对于每个系统的攻击投入，所获得的收益比例的期望值，不会在此轮攻击结束后而变化，即，–设S*=b*tX是对应于对数最优攻击组合b*的黑客收益，令S=btX是对应于任意攻击组合b的随机收益，那么，对所有的S有E[log(S/S*)]≤0当且仅当对所有S有E(S/S*)≤1。