涌现视角下的网络空间安全挑战(5)

2.1 攻 击

涌现式攻击意味着攻击能力是一种涌现效应.也就是说，一个攻击系统的组件不具有这种攻击能力，但是当多个组件“协作”起来构成整体攻击系统时，该系统就会产生出一种“不同寻常”、“意想不到”的攻击能力，其典型代表是DDoS攻击的破坏能力[66-68]和病毒(恶意软件)[34-35,69-72]的感染传播能力.

如果将发动DDoS的网络视为一个系统，那么网络中的单个设备就是构成系统的组件.在这样的系统中，单个设备所能产生的流量是极为有限的，甚至是微不足道的；可以造成大规模网络瘫痪的DDoS攻击能力是由大量设备的复杂通信和交互而产生的整体效应，即涌现效应(见图2所示).事实上，即使我们对每个组件的所有软硬件都进行透彻的分析，也很难由此预料到攻击效果.尤其是随着通过社交网络等新型网络进行控制和通信的DDoS变种相继出现，实时处理和提前防御此类攻击变得更难以进行.

Fig. 2 Emergent DDoS attacking capabilities图2 涌现式DDoS攻击能力

与DDoS的攻击能力相似的是，病毒(恶意软件)的感染传播能力也是一种典型的涌现现象.在这种场景下，组件是单个具有网络通信能力的设备(网络节点)，而系统则是这些节点通过互联所构成的复杂网络.层出不穷的大规模病毒攻击事件告诉我们，由于互联网高度互联的特性，计算机病毒的传播速率远比我们想象得更快，影响范围也远比我们想象得广；而且，另一方面，这种特性也使得群体免疫这种常在公共卫生领域中被提及的概念很少出现在计算机病毒领域[1].另外，除了互联网之外，目前已有的研究表明，P2P(peer to peer)网络、移动电话网络等其他网络中的恶意软件也表现出类似的涌现性质[69,72-73].

作为复杂系统的典型代表，包括以上网络在内的复杂网络具有多种典型的非线性性质，因此，计算机病毒在网络上的传播动力学是难以用传统的线性模型来描述的.在实际场景中，这种涌现式感染传播能力给安全人员带来了极大的挑战：一方面，由于群体免疫的缺乏，很难通过在小部分节点上部署防御措施来达到控制病毒传播的目的；另一方面，与生物学或者医学中的“病毒”不同，大多数类型的计算机病毒在传播过程中无需节点之间实际“接触”，传播极为迅速，留给我们的反应时间十分短暂，甚至可以说没有.

从以上关于DDoS攻击和病毒传播的例子中我们可以看到，由于其天然的大规模、难检测、难控制和难防御的特性，涌现式攻击的确是目前网络空间安全领域亟待解决的难题.

2.2 漏 洞

当我们谈及攻击时，一般指的是来自系统外部的恶意行为(这里我们不考虑可能由内部节点发动的内部攻击(insider attack)).但攻击的得逞一定有2方面的原因：1)攻击者的能力；2)被攻击系统的漏洞.如果系统本身没有漏洞，那么攻击也就无从谈起.而很多时候，我们害怕的不是漏洞，而是“意料之外”的漏洞，因为这常常意味着我们没有有效的应对措施.不幸的是，涌现式漏洞就属于这类漏洞中既难以预测又难以应对的.下面通过互联网、跟踪网络和口令系统中的3个例子来阐释涌现式漏洞给安全人员带来的严峻考验.

Fig. 3 Power-law distribution图3 幂律分布

在20世纪90年代互联网刚刚兴起之时，就已经有大量的数学和物理学家[45,49-50,74]对互联网的复杂网络特性进行了研究.根据他们的研究成果，最适合用来对互联网进行建模的模型远非被广为接受的随机模型.事实上，互联网不是“随机”形成的，也不是“公平”的，它体现出典型的无标度(scale-free)特性，这对安全的影响非常显著.无标度其实可以等同于幂律分布(power-law distribution)，如图3所示.在无标度网络中，节点的度分布是非常不均匀的,只有极少数的hub节点拥有很高的度，绝大多数的点只有很小的度，而且新加入的节点也会以极大的概率优先连接到这些hub节点上.在某种意义上，占据网络节点数量极小一部分的hub节点却主导了整个网络的运行[75-76].这也就意味着，如果攻击者想要攻击整个网络，他不需要花费很大的代价，只需要集中力量攻击其中一小部分节点就可以.事实上，大量研究[45,49]的确表明，复杂网络对节点的随机失效(failure)具有显著的健壮性，但在面对有目的性的攻击(attack)时，却比我们预想的更加脆弱.在这一场景下，如果将设备节点看作组件，将互联网看作系统，那么由节点之间的通信与交互产生的涌现效应既可以出现在hub节点，也可以出现在包含hub节点的无标度网络结构，还可以出现在应对攻击的脆弱性中.

文章来源：《系统科学学报》 网址: http://www.xtkxxb.cn/qikandaodu/2021/0730/597.html