網絡空間攻防數學建模分析與研究

王雪莉 陳剛 蔡均平

（國防科技大學信息通信學院 湖北省武漢市 430013）

隨著互聯網的飛速發展和信息技術的不斷創新，一個基于信息，包括互聯網和電磁領域的新型時空域——網絡空間悄然形成，成為世界主要國家謀求戰略優勢的重要支點，成為大國博弈的重要戰場。網絡空間攻防數學建模，是以網絡空間攻防對抗原則、攻防力量結構與布勢、攻防武器裝備效能為基礎，利用數學方法和計算機手段對網絡空間攻防行動的特征、效應進行抽象提取并建構數學模型的過程。其目的是為網絡空間作戰指揮員及其指揮機構進行攻防作戰仿真模擬、輔助決策和演習訓練提供基礎和依據。

1 研究網絡空間攻防數學建模的意義

網絡空間攻防數學建模研究對豐富和發展網絡空間攻防理論，提高網絡空間攻防能力具有重要意義。

1.1 建構連接網絡空間攻防理論與虛擬實踐的橋梁

利用數學建模對網絡空間攻防進行虛擬實踐，是建構連接網絡空間攻防理論與虛擬實踐的橋梁，使新的網絡空間攻防理論和武器裝備迅速形成戰斗力的中心環節。近年來創新出的一些網絡空間攻防理論和戰法之所以被束之高閣，研制和發展的網絡空間攻防武器裝備之所以不能很快形成作戰能力，很重要的原因是缺乏健全的理論向實踐轉換機制和科學的綜合論證手段。為此，應大力研究開發網絡空間攻防數學建模，大量采用虛擬現實技術，創造逼真的戰場環境，進行戰法論證、武器裝備性能試驗、人員和專業人員訓練等。

1.2 提高網絡空間攻防輔助決策與訓練質量

以數學建模和計算機為基礎的網絡空間攻防和訓練模擬以其在輔助決策、訓練演習和理論研究上特有的科學性，已成為信息時代提高網絡空間攻防效能必然途徑。利用網絡空間攻防數學模型和計算機手段，可在網絡空間攻防中根據敵我雙方網絡空間攻防能力，對網絡空間攻防的預期效能進行科學預測和評估，檢驗決策方案的科學性；可創造貼近實戰的訓練環境，使得各種不同類型的受訓人員在此環境中得到恰如其分的訓練，提高訓練質量。

1.3 提高網絡空間攻防能力與建設效益

在網絡空間攻防數學建模的研究中，可找出制約網絡空間攻防能力發揮的關鍵環節和因素，從而有針對性地彌補薄弱環節，提高和發揮強勢，進一步提高網絡空間攻防能力；可通過對網絡空間攻防力量結構與布勢的分析，為形成最佳網絡空間攻防效能的力量編組提供理論與實踐依據，進而優化網絡空間攻防的編制體制結構；可積極地改造和優化配置有利于網絡空間攻防能力發揮的環境，從而顯著提高網絡空間攻防建設效益。

2 網絡空間攻防數學建模的主要原則

網絡空間攻防數學建模是一項復雜的系統工程，在建模過程中將涉及到攻防武器裝備性能、數學方法、系統工程、可靠性工程等多學科門類，既有定量描述又有定性描述，既有單項指標描述又有綜合指標描述。為使網絡空間攻防數學模型建立在科學合理的基礎上，在網絡空間攻防數學建模時應遵循以下原則：

2.1 定量為主，定性為輔

定量為主，定性為輔，是指在網絡空間攻防建模過程中應把定量與定性相結合，以定量為主，定性為輔，使網絡空間攻防建模數學模型運算所得出的結論最大限度地趨近于真實值。

在建立簡化模型的過程中，將遇到一些諸如人員士氣、訓練水平、心理狀態、攻防環境變化等因素，對這些難以量化因素可以采用灰色關聯的方法得到如“1、2、3、4”的量值，然后再進行定量評估；對于諸如網絡偵察能力、攻擊能力、防御能力等指標因素，可以定量評估。因此，在網絡空間攻防建模過程中，定性的目的是為了量化，應本著網絡空間攻防數學模型的可用性和準確性，以定量為主，以定性為輔，得出科學的量化結果。

2.2 全面分析，綜合評估

全面分析、綜合評估，是指在網絡空間攻防建模過程中應對影響網絡攻防行動的因素和條件進行全面深入分析，突出網絡空間攻防行動的整體性，綜合評估網絡空間攻防行動的效能。

網絡空間攻防是若干因素的綜合效應，構成網絡空間攻防行動的因素很多，每一個因素只是網絡空間攻防行動的一個側面，只有對每一個方面的因素進行全面分析和綜合評估才能得出科學的結論。

2.3 突出重點，約束合理

突出重點、約束合理，是指在網絡空間攻防建模過程中要選取合理約束條件，突出重點問題分析。

網絡空間攻防數學建模所涉及的因素很多，比如：人員素質、訓練水平、自然環境、技術環境、攻擊能力、防護能力等，對于這些影響因素要注意抓住主要矛盾，分清主次。約束條件必須著眼于實際，從網絡空間攻防的內在因素出發，以內在約束為先，當外在因素與內在因素同時作用時，應重點考慮內在因素。

2.4 科學建模，靈活用法

科學建模、靈活用法，是指在網絡空間攻防數學建模之前，建立科學的簡化模型，并根據評估目標靈活選擇不同的評估方法。

建立簡化模型是網絡空間攻防數學建模的基礎和前提，簡化模型的合理建立有利于建模者理順思路，弄清其中的關鍵環節。模型建立之后，還要根據評估目標的不同，靈活選取不同的評估方法解決評估過程所遇問題。

3 網絡空間攻防數學建模要素分析

網絡攻防是在網絡空間進行的、以病毒破壞與反破壞、黑客攻擊與反攻擊為主的對抗活動。在對網絡空間攻防進行數學建模時，應認識其不同于情報領域、電子對抗領域的屬性。在情報領域和電子對抗領域中，主要基于單個武器裝備的性能指標建立數學模型，進行計算機模擬。在網絡空間攻防數學建模中，重點關注在網絡攻防進行到一定時刻后，系統內被病毒感染和被黑客破壞的機器的數量，而不考慮其它細節。

4 網絡空間攻防數學模型構建

下面主要以病毒武器模型為例，對網絡攻防過程進行構模描述。

4.1 不清除病毒模型

假設目標系統有N 臺無差別的計算機組成；

目標系統是封閉系統，病毒只會在內部傳播，不考慮傳入、傳出系統的情況，初始狀態即t=0 的時刻，系統中感染病毒V 的機器數為V0，V0≥1，染毒機器發出的消息一定帶毒，未染毒機器發出的消息一定不帶毒，未染毒機器收到消息收到不帶毒的機器一定不染毒，未染毒機器收到帶毒消息一定染毒。

在系統內傳遞的消息可以分成兩類：系統正常使用帶來的消息通信和由病毒主動發起的消息通信，對于前者，單位時間內每臺計算機向其他計算機發送消息數量服從參數MS的泊松分布，對于后者，單位時間內每臺計算機向其他計算機發送消息數量服從參數MV的泊松分布；所有消息發送的目標都是完全隨機的。

一臺計算機染毒后會始終保持這一狀態，暫不考慮清除病毒的情況。

令目標系統在t 時刻感染病毒V 的機器的數量為Xt，0≤t≤∞，Xt 是一個隨機過程，主要關注的是Xt 數學期望E（Xt）。

考察系統在t 時刻后的△t 時間段內的行為，新增染毒機器的數目可以分為兩部分，即由正常消息傳遞帶來的部分VS和由病毒發起的消息傳遞帶來的Vv。

對于VS，在△t 時間內，由于系統正常運作造成一臺染毒機器向其它MS·△t 臺機器發送帶毒消息，而這時系統中共有 臺染毒的機器，因此收到帶毒消息的機器數的數學期望是MSE(Xt)·△t，由于消息傳遞的隨機性，這些收到帶毒消息的機器中，原先未染毒機器數的數學期望是此也即發生病毒感染事件的機器數的數學期望，即：

對于VV，情況完全類似。可得：

所以，△t 時間內系統新增的染毒機器數的數學期望為：

令

，可得微分方程：

歸一化，得：

此即在t 時刻系統中染毒機器所當比例的數學期望。

事實上，也可以將Tα看作是病毒對系統感染達到一定程度所經歷的時間。由公式（6）式可知，在一定的病毒傳播率的條件下，系統感染達到一定比例的時間Tα隨系統規模N 的增大而增大，并且Tα與系統規模N 之間呈對數關系。

4.2 靜態掃毒模型

按照公式（6）式的結果，當時間t 無窮大時，系統被感染的比例將趨近于1，實際情況顯然不是這樣，原因是模型沒有考慮病毒被清除的情況。我們在公式（6）模型的基礎上，將模型的假設5 去除，同時加上以下的附加假設：

染毒機器通過清除病毒操作，可以重新變成未染毒機器；清除病毒后的機器對病毒無記憶力，即它有可能重新被感染上病毒；只有在病毒被發現后，才有能力清除這種病毒，病毒被發現當且僅當系統被感染的比例大于等于指定的α 值，0<α<1。

根據系統規模的大小，安排有多名管理員，他們定期對所管理的機器進行靜態掃毒操作。對未染毒機器掃毒對其狀態無影響，對染毒機器掃毒，如果病毒未發現（t

重新考察模型（6）中提出的隨機過程，Xt在t=t0 時刻之后的表現只與Xt0有關，因此，Xt是一個馬爾可夫過程。模型（11）定義的系統在染毒機器比例≤之前的表現是與模型（6）完全一致的，我們關注的是Tα時刻之后的系統的表現。

考察系統在t 時刻后的△t 時間段的行為，這里t≥Tα。這段時間內新感染病毒的機器數為數學期望為而這段時間管理員進行掃毒操作的機器數的數學期望為因而由染毒狀態變為未染毒狀態的機器數的數學期望為：

解之可得：

將其歸一化，結合模型（3.3.6），可得：

在本模型中，由于對抗病毒的唯一措施是靜態掃毒，造成清除病毒后的機器仍可以再次被傳染，因而實際上在進行著一場比賽，MS+MV反映了系統病毒的擴散能力，而DS則反映了系統中病毒被清除的能力，如果MS+MV=DS，一開始病毒傳染占了上風，系統感染比例持續上升，但是隨著系統被感染比例的增加，發現未感染機器的概率就小了，病毒的傳染速度放緩，同時靜態掃毒操作碰到染毒機器的概率越來越大，變得越來越有效，由于掃毒而從傳染狀態變為未感染狀態的機器增多，這樣逐漸趨向于一種動態的平衡，即系統染毒比例趨向于一個固定值如果MS+MV

4.3 動態防毒的模型

由模型（11）的結論，可以發現單純用靜態掃毒的方式對抗病毒，對傳統非網絡病毒而言，可能是有效的，對現在廣泛流行的網絡病毒卻是無效的，因此，必須提出第三種模型，即預防為主的模型。

在模型（6）的基礎上，去除第5條假設，同時加上以下附加假設：

每臺機器上安裝有動態反病毒軟件，我們將每種病毒分別稱為V1，V2，V3…Vn，定義反病毒軟件的病毒特征庫為集合當病毒則反病毒軟件有能力識別、清除病毒V，反之，則反病毒軟件不能識別，清除病毒V。

反病毒軟件可以升級，定義一次升級的更新病毒特征庫為集合Vup，如果有一個病毒，并且那么在反病毒軟件進行此次升級后。

只有在病毒被發現后，才有能制作包含這種病毒的更新病毒特征庫，病毒被發現且僅當系統被感染的比例大于等于指定的α 的值，0<α<1。

更新病毒特征庫的制作不需要時間，但是將更新病毒特征庫分發到每一臺機器需要時間，假設單位時間內能夠將更新病毒特征庫分發到M 臺計算機上去，并進行反病毒軟件的升級，定義升級速率

同模型（11）的分析類似，我們重新考察模型（6）中提出的隨機過程Xt，模型（18）定義的系統在染毒機器比例≤α 之前的表現是與模型1 定義的系統完全一致的，我們關注的是Tα時刻之后的系統的表現。

考察系統在t 時刻后的△t 時間段的行為，這里t≥Tα。令t 時刻系統中對病毒有免疫力（即升級過更新病毒特征庫者）的機器數為I(t)：

這段時間內新感染病毒的機器數的數學期望為：

5 網絡空間攻防數學模型的仿真實現

在以上網絡空間攻防數學模型的基礎上，針對不同的病毒特征及防殺病毒軟件，可模擬任一時刻計算機網絡中病毒感染及防治效果。其計算機實現的程序框圖如圖1所示。

6 結束語

網絡空間攻防數學建模研究，是網絡空間攻防理論由定性研究向定量研究的重要環節，是連接網絡空間攻防理論和虛擬實踐的橋梁，是網絡空間攻防計算機模擬仿真的基礎性工作。