涌现视角下的网络空间安全挑战(11)

3.4.1 分析和控制涌现现象

目前对网络空间安全涌现现象进行分析和控制的主流研究可大致分为3类：1)利用STAMP(STPA)进行系统化建模和分析；2)基于仿真模拟实验平台开展工作，所用平台主要以多agent系统(multi-agent system, MAS)为主；3)主要包括面向涌现的威胁分析、保护架构、防御措施等.

1) 基于STAMP(STPA)的研究

作为一种基于系统理论的系统设计工具，STAMP事故分析模型(systems-theoretic accident model and processes)和以它为基础的STPA过程分析方法(systems-theoretic process analysis)最初用于解决工程安全问题[9]，其中的安全(safety)主要指工程安全、人身安全、国家安全等.随着工控系统的逐渐信息化以及智能家居、无人驾驶、智慧城市等典型物联网系统的发展与流行，safety与security的联系日趋紧密，二者之间不再像过去那样泾渭分明——safety会影响到security，比如节点劫持攻击；security也会影响到safety，比如车联网的安全会影响乘车人的人身安全.由于STAMP(STPA)在“设计安全的系统”方面的杰出表现，越来越多的研究者致力于把它引入网络空间安全领域.

作为STAMP(STPA)的开创者和设计者，Leveson等人[38]也意识到了这一研究方向的重要性.文献[38]提出了STPA-sec，它是STPA在网络空间安全(security)领域的扩展和应用，它能够识别并且强制执行那些针对不安全控制措施的约束，从而防止系统在面对外界干扰时受到攻击.作为STPA的后继者和衍生物，STPA-sec的指导思想是：既然系统的设计者无法控制攻击者的行为，不如将关注重心转移到控制漏洞的产生，将所有安全问题的发生视为“控制的不足”，它旨在为系统的设计者和分析者提供一个更加系统化的视角，指导安全策略的设计.

STPA-sec还催生了很多新的分析工具，这些工具中的很大一部分是它的衍生物.文献[13]认为以前的STPA和STPA-sec都只关注损失，没有关注隐私，因此，针对隐私领域特有的问题(比如开环控制)，它对STPA-sec进行了2方面的拓展：重新定义损失和获取隐私控制结构，并实现了STPA-Priv.考虑到已有的方案大多将safety和security问题分开处理而忽视了二者的联系，文献[39]提出了STPA-SafeSec，将safety和security整合到一个框架里进行研究和分析.STPA-SafeSec可以分析出由safety约束和security约束之间的依赖和交互所造成的问题与漏洞.文献[12]使用STPA对无人驾驶汽车进行安全性分析，它能够在设计初期就发现涉及多个层面的问题，从而防止安全隐患的产生.这些工作为如何在网络空间安全领域应用STAMP(STPA)提供了一定的参考.

有些工具不是由STAMP(STPA)衍生的，但多少也受到了其设计思想的影响.针对信息物理系统(CPS)的特有安全问题，文献[40]设计并实现了复杂系统分析工具STRIDE，它可用于2方面分析：1)单个系统组件可能涌现出什么类型的安全威胁；2)单个系统组件的一个漏洞如何使得整个系统的安全状态遭受威胁.着眼于与文献[39]类似的问题，文献[41]提出了一种可以深度结合safety和security分析的技术模型SAFE，它可以清晰地记录系统的假设并且提高复杂软件驱动系统分析的可追踪性.文献[42]使用复杂系统安全性分析工具CAST[111]对遭受震网病毒攻击的核能源基础设施进行了安全威胁分析.实验结果表明，CAST能够在系统设计阶段识别出针对特定CPS的安全威胁，从而可以向CPS设计人员提供可用于提升CPS安全性的实用建议.

2) 基于仿真模拟实验平台的研究

作为研究涌现现象的重要工具，多agent系统(MAS)在诸多领域得到了广泛应用，也引起了网络空间安全领域的关注.

值得注意的是，很多时候研究者们会将传染病模型和多agent系统一同使用以对计算机病毒的传播动力学进行研究.一方面，使用传染病模型进行建模；另一方面，使用多agent系统进行仿真模拟，从而检验模型的适用性，同时观察系统会在仿真过程中涌现出什么样的性质.文献[69]提出一个事件驱动模拟器来模拟现实的恶意软件传播环境.文献[112]提出一种描述蓝牙网络蠕虫病毒传播动力学的细粒度分析模型，并使用仿真模拟的手段来对该模型进行分析评测，结果发现该模型能够以很高的准确率预测出蓝牙网络蠕虫的传播动力学.文献[34]通过仿真模拟实验的手段得出了一些量化的数据支持：可以造成传染病模型式传播的恶意软件所需要的移动设备数量和其他相关条件.

基于多agent系统的仿真模拟实验也在防御DDoS攻击、模拟攻防博弈等领域得到了应用.文献[113]做了一次重要尝试，将一个原用于对关键基础设施系统部件失效进行建模分析的多agent系统用于网络空间安全仿真模拟.文献[114]设计了一个基于agent的社会-技术系统模型，它是一种对节点之间的相互依赖所造成的影响进行分析和评估的方法，使复杂系统的分析者能够看到各个agent之间的交互以及依赖关系，从而可以对未来可能会发生的系统行为做出一定的预测.非常有趣的是，文献[115]提出了一个用于模拟“捉迷藏”游戏的多agent仿真模拟平台Medusa.其研究者认为网络空间安全攻防博弈就是一个典型的“捉迷藏”游戏，可以基于该平台从“捉迷藏”的角度观察和研究多agent网络空间场景中的个体行为和系统涌现行为.针对DDoS的典型涌现属性，文献[27]建立了基于agent的DDoS协同防御仿真框架，并以DDoS协同防御涌现行为为目标，采用基于agent的方法建立DDoS协同防御体系模型.也就是说，利用防御系统的涌现行为达到防御DDoS的目标.

文章来源：《系统科学学报》 网址: http://www.xtkxxb.cn/qikandaodu/2021/0730/597.html