涌現視角下的網絡空間安全挑戰

屈蕾蕾 肖若瑾 石文昌 梁 彬 秦 波

(中國人民大學信息學院 北京 100872)

涌現性(emergence)是網絡空間安全所具有的天然屬性[1-3]，換言之，網絡空間的安全性是一種涌現屬性.不正確認識和充分了解涌現屬性就不可能妥善解決網絡空間的安全問題[4-5].

涌現現象在自然界和現實社會中隨處可見.涌現性的通俗解釋是整體大于部分之和.涌現屬性的概念在生物學、物理學、經濟學和社會學等領域都得到很好的應用.涌現現象在網絡空間中也客觀存在，隨著物聯網(Internet of things, IoT)等的發展，涌現現象的出現更加頻繁和明顯，使人們在網絡空間中面臨的挑戰(包括安全挑戰)變得更加嚴峻[6-7].

若想獲得對網絡空間安全涌現性的認知，就需要嘗試從涌現的角度考察網絡空間安全問題.目前，對于復雜系統的涌現性，盡管仍然沒有“完美”的解決方案[1]，但是研究人員已經提出了不少可以在一定程度上分析、控制乃至利用涌現性的理論和工具，比如用于復雜網絡中病毒傳播建模的傳染病模型[8]和基于系統理論的系統設計與分析模型[9]等.這些模型和工具在分析和控制涌現現象方面有著很好的表現，在多個科學領域都得到了廣泛的應用[9-13].

認識網絡空間安全的涌現性不僅有助于解決某些具體的安全問題，還有助于建立網絡空間安全科學的理論基礎.長久以來，由于網絡空間甚至計算機系統的復雜性，人們很難做到對系統的威脅與漏洞有足夠充分的了解.因此導致在攻防博弈中，防御者總是處于“建立系統→被攻破→打補丁→再次被攻破”的循環中(即所謂的cyber cycle)，始終處于被動地位[14].如何才能化被動為主動、從設計之初就建立“安全的”系統呢？不少研究者[14-21]達成了一個基本共識，即建立網絡空間安全科學(science of cybersecurity).他們認為，應當在科學方法的指導下開展網絡空間安全研究，獲取具有普適性的結論與思想，而不能總像從前那樣“頭痛醫頭，腳痛醫腳”(即“ad hoc”辦法)[16-21].如果網絡空間安全能夠遵循科學的發展道路，那就有希望科學地分析和預測網絡空間的行為，從而從根源上防止漏洞的產生和抵御攻擊事件的破壞[22].

那么，如何才能建立網絡空間安全科學呢？引入和借鑒其他成熟的科學領域的理論和研究成果是一個很好的思路，得到了很多研究者[1,14,17-23]的認可.備受關注的思想和方法有形式化方法[17,20]、系統科學方法[1,18,23]和實驗科學方法[17,19-20]等.其中，蘊含在系統科學之中的復雜性理論表現得尤為突出.因為，借鑒復雜性理論在分析和解決系統復雜性問題方面的大量研究與成果，也許有助于在分析和解決網絡空間安全的復雜性、設計“安全”的系統、打破cyber cycle等方面有所突破，從而為網絡空間安全科學的建立奠定良好的基礎[14,23-24].

近些年來，網絡空間安全領域已有不少研究人員[1,18,22-30]意識到了復雜性理論特別是涌現理論對于網絡空間安全研究的重要性，試圖將一些復雜性科學領域已有的研究模型和工具引入安全領域.例如，將傳染病模型應用于對惡意軟件傳播機制的研究[31-37]、擴展工程安全(safety)模型以用于解決網絡空間安全(security)的問題[38-42]，取得了一定的成效.這些工作揭示了開展網絡空間安全涌現性相關研究的重要意義和良好前景.

然而，與復雜的網絡空間和嚴峻的涌現式安全挑戰相比，人們對網絡空間安全涌現現象的認識仍然處于初級階段，還需要更多的新思想、新理論去解決更多更復雜的網絡空間安全涌現性問題.而且，已有的工作也大多局限于解決特定的涌現問題，未能就網絡空間安全的涌現性及其相關問題研究給出系統化、體系化的詮釋，尚缺乏復雜系統研究所需擁有的“全局觀”.針對這種局面，本文從涌現現象的視角對網絡空間安全挑戰以及已有的應對方法進行系統化的研究和梳理，分析存在的不足，并提出未來的研究方向.

1 網絡空間安全的涌現性

為研究網絡空間的涌現式安全問題，必須了解涌現式安全性的基本思想，這個任務的完成應該從涌現性的本意及其發展狀況入手.

1.1 網絡空間安全涌現性研究

如果網絡空間安全問題有規律可循，那么應對起來一定會更加得心應手.提及一般規律，自然會想起系統科學，因為，系統科學對自然界和現實社會中的一般現象以及事物發展的一般性規律進行研究，尋找最具普適性的規律.系統科學研究與很多其他科學領域的研究密切相關，例如，醫學中的群體免疫[43]、生物學中的種群進化[44]、物理學中的統計力學[45]等.這些方面的研究既是系統科學理論的源泉也得益于系統科學理論的發展，尤其是其中的復雜性理論.相比之下，系統科學理論的作用在網絡空間安全領域還沒有得到充分發揮[1].但另一方面，網絡空間是復雜的，具有復雜系統的很多特性，涌現性就是其中之一，復雜系統理論理應在網絡空間中發揮更多的積極作用，特別是在應對棘手的安全問題方面.

網絡空間是一個遍及全球的大型復雜系統，其中的安全涌現現象隨處可見：從惡意軟件傳播到DDoS(distributed denial of service)攻擊[46-47]，從跟蹤網絡的隱私獲取能力到口令重用所帶來的巨大危害.不難看出，涌現性這一特性給網絡空間安全研究帶來了巨大的影響和挑戰.物聯網、云計算、普適計算的發展給網絡空間增添了大量的新型設備和新型交互方式，使得網絡空間的復雜程度進一步提升.同時，大數據和人工智能技術的發展賦予了很多設備更強的學習和交互能力，使得設備的行為變得更加難以預料.以智能家居場景為例，在該場景中，用戶家中裝有大量可以獲取隱私信息的物聯網設備，盡管我們也許可以確保每個設備只獲得它應當獲得的信息(當然，這已很難做到)，但是我們很難確保多個設備不會“串通”起來通過它們已有的信息分析出它們本不該獲得的隱私信息.這樣的行為就屬于典型的涌現行為，在實際攻擊發生之前，我們很難對其做出預測并提前部署防御措施，自然就更別提解決了.

現有的網絡空間安全技術手段和解決方法大多集中關注單個節點的安全分析與防護，很少關注“交互”所帶來的安全問題，就更別說系統化地研究安全問題了.當然，必須承認，這些方法的確很出色地解決了某些安全問題，比如說檢測軟件漏洞和防止病毒入侵，但是一旦遇到稍大規模的系統，這些方法就力不從心.進一步而言，面對當前日益嚴峻的網絡空間安全態勢，考慮到網絡空間安全天然的復雜性，現有的安全解決方案在處理大規模系統安全問題和遏制漏洞利用及網絡攻擊事件方面顯得十分乏力[23].

針對傳統手段的不足，目前在網絡空間安全領域已有一些研究者[1,18,25-30,48]提出可以借鑒和引入以涌現為代表的復雜性科學研究思想，幫助解決傳統安全方法無法解決的系統安全問題.早在20世紀90年代就有研究者[49-50]意識到復雜網絡的固有屬性(小世界、無標度等)可能會對安全研究造成的影響；2010年之后，陸續有一些研究提出從涌現的角度研究跟蹤網絡、DDoS攻擊、洋蔥路由以及口令重用現象[1,28,51]等；在2015年以后，出現了一波利用系統化設計思路和方法嘗試“控制”網絡空間安全涌現現象(涌現威脅)的“熱潮”[13,29,33,37,52-53].這些工作提出了進行網絡空間安全涌現性研究的一些思路和方法，也展現了進一步研究的前景.但是，與網絡空間中浩如煙海的涌現現象相比，這方面的研究還遠遠不足.總的來說，在網絡空間安全領域，涌現現象及其相關的研究依然沒有得到足夠的重視.畢竟，借鑒以涌現性為突出特征的復雜系統的研究思想和成果不僅可以幫助解決一些長久以來的疑難問題，還能夠幫助建立網絡空間安全科學.

許多研究者[1,17-18,20,23,30]認為，引入以復雜性理論為代表的系統科學理論是建立網絡空間安全科學的重要條件.以科學理論為支撐，有助于尋找解決安全問題的根本之道，“設計”出安全的系統，而不再總是處于攻防博弈中的被動地位[14].在復雜系統研究的眾多方向之中，涌現性研究對于安全領域而言具有更為特別的意義.因為現有工作難以排除的漏洞和難以防御的攻擊很大概率上就是從系統各個組件之間的復雜交互之中形成的涌現效應[1].從這一點上講，我們認為，涌現性研究在網絡空間的系統的整個生命周期[54]中都具有極為顯著的積極意義，有助于從系統生命周期的各個環節著手應對涌現式安全威脅的破壞.另外，已有工作[27]也表明，在網絡空間中，可以利用涌現特性進行安全防御，也就是說，可以為系統打造具有涌現效應的安全防御能力.

總而言之，無論是對學術研究還是對實際系統開發，研究網絡空間安全中的涌現現象都有著十分重要的積極意義.為了能更好地幫助理解涌現現象研究的重要思想，下面結合涌現概念的形成與發展探討在安全領域研究涌現現象的思路和方向.

1.2 涌現概念的形成與發展

若要對涌現屬性有一個初步的認知，很有必要了解復雜系統.從字面意義上來看，“復雜系統”通常意味著一個比其他系統更難以描述和理解的系統，這種系統往往：1)含有大量組件；2)各組件之間存在大量復雜交互[44,55-57].上述2點確實是復雜系統的重要特征與必要條件，但是還不夠充分.事實上，系統科學領域并沒有就復雜系統的嚴格定義達成共識[44].然而，這也并不意味著我們對于辨別復雜系統束手無策，長久以來的相關研究總結了復雜系統的一些行為特征，可以作為復雜系統的判據.復雜性理論和非線性科學的先驅Holland[44]認為復雜系統具有4個典型的行為特征：

1) 自組織性(self-organization).在沒有中心控制結構的情況下，系統會自主地形成一定的模式(pattern)，比如鳥群和魚群的形成.

2) 混沌行為(chaotic behavior).初始條件的微小改變會對系統的行為造成極大的改變，這就會使得人們很難以預料系統最終的走向，比如說多變的天氣就是一個很典型的示例.

3) “肥尾”行為(“fat-tailed” behavior).一般意義所認為的小概率事件的發生往往會比我們預想的更為頻繁，例如各種經濟、政治、生態上的災難性事件.

4) 適應性交互(adaptive interaction).復雜系統中的元素根據周圍環境的改變對自身行為做出適應性改變，例如股市交易中的股民根據股價的變化買進或賣出.

雖然沒有出現在復雜系統的上述行為特征列表上，但涌現性是復雜系統中最重要的特征之一.正如復雜系統本身的定義一樣，涌現性也沒有一個被廣為接受的正式定義[58]，復雜性科學研究的不同階段、不同方向對它有不同的解釋.一部分研究者[59]認為，涌現性實質上就是一種“整體大于部分之和”的過程和行為，即系統中各個組件之間的交互使得整個系統產生了不能靠組件的簡單加總來得到的特征和行為.根據文獻[60]的總結，涌現現象可歸結為具有以下特征的微-宏觀效應(micro-macro link)現象：系統局部組件之間的交互產生了新的系統全局行為，即由微觀效應產生了新的宏觀現象.而文獻[61-62]則認為涌現性就是那些無法通過系統模型得出和理解的特征和行為.這些定義的出發點不同，理解的角度也不一樣，但是卻都可以歸結到一個點：涌現性是一種全局的、系統的特征，是不能通過簡單分析系統單個組件得到.

當然，本文無意參與涌現性定義的學術爭論.考慮到各種定義之間也有共通之處，本文綜合Simon[59,63]和Holland[44]的看法，即涌現性指的是：1)系統組件的交互使得系統產生了組件的簡單加總所無法得到的行為；2)這種行為可以從復雜系統層級結構的角度加以解釋，某一層級的聚合成為上一層級的涌現屬性的“基礎材料”.但是我們同樣也發現，使用這種定義作為涌現性的判據還是存在過于粗粒度的問題，仍然需要一些更加細化的判據來判斷系統的涌現現象.為此，從上述定義出發，我們采納文獻[27,60,64]等所提出的涌現現象判據，并將其總結為5條判據：

1) 可加性判據.系統的整體涌現特征不是其組件特征的簡單加總.

2) 新奇性判據.系統整體涌現特征與其組件具有的特征屬于完全不同的種類.

3) 可演繹性判據.無法根據系統單個組件的特征推導和預測出系統的整體涌現特征.

4) 系統出現宏觀構型或已有宏觀構型發生改變.

5) 當系統網絡拓撲的度分布特征滿足冪律分布時，認為系統達到自組織臨界狀態，此時涌現發生.

上述判據中的第5條判據與其他4條判據是有區別的，它涉及到涌現性的一個重要特征，即冪律分布.由此可見，涌現性的一些典型特征可以幫助我們判斷涌現現象的發生.我們通過圖1總結了涌現性的一些常見特征.為了更加直觀地體現網絡空間安全的涌現性，我們在圖1中提供了這些特征在網絡空間安全中的映射.

1.3 涌現性研究的現狀與意義

通過1.2節對涌現性概念的分析，我們可以發現，涌現性往往意味著“出乎意料”，即系統產生了計劃外的行為，超出了設計、開發、運行和維護人員的控制范圍.這就體現了研究涌現性的意義所在，如果能透過現象看本質，了解產生涌現現象的背后機理，就有希望在問題發生時很快找到問題的來源，也能通過預測系統的行為預防問題的產生，還可以控制涌現現象發生的程度，甚至還有可能利用涌現性來“設計”出我們想要的涌現現象.

那么，如何著手研究本就非常復雜的涌現現象呢？文獻[61]認為可以從定義、要素、應用和限制4個方面入手，并提供了一些研究指導.首先基于不同的反饋類型和因果關系對已有的涌現現象進行分類，這有助于了解涌現現象發生的背后機理.也可以從這些已有的現象中歸納出涌現性的一些要素，從而對在什么樣的情況下會發生涌現現象有一個大致的了解.盡管很難擁有類似物理學中的微積分那樣強有力的研究和預測工具，但還是可以基于已有的分類對涌現性進行一定程度的度量，還可以基于涌現性要素對系統將要出現的涌現行為做出大致的判斷.這樣，就可以試著通過微觀、底層、組件的行為“設計”出宏觀、高層、整體的涌現行為，也可以著力控制那些負面的涌現現象與行為.當然，涌現性的研究與應用也是有邊界的，必須對涌現性研究與應用的適用場景與范圍有足夠的了解，才能確保在合適的場景使用合適的工具.下面對涌現性的應用作進一步介紹.

CharacteristicInterpretationExamples in Daily LifeExamples in CybersecurityPower-lawDistribution(also knownas Scale-freeNetworks)1) Mathematical treatment: The probability density function of variable x is f(x)=αx-r(α>0,r>0)2) Another treatment: The scales of most individuals are small, and only a few individuals have enormous scales.1) Zipf s law: In the natural language corpus, the number of occurrences of a word is inversely proportional to its ranking in the frequency table.2) Matthew effect: The stronger is getting stronger, and the weaker is getting weaker.1) Degree distribution: Only a few nodes have a high degree (these nodes are often called Hub), and others only have a small degree. The attacker only needs to focus on those Hub nodes to gain control of the net-work.2) Preferential linking: Newly added network nodes will also be preferentially linked to those Hub nodes, making the importance of the Hub nodes even more enhanced.Feedback Loop(also known as Micro-Macro Link)Component behaviors affect system behaviors and are influenced by system behaviors, vice versa, which creates a feedback loop.Stock market: The buying∕selling be-haviors of investors make a big differ-ence in the stock price.But in reverse, the rise and fall of the stock price will significantly affect the decision-making behaviors of investors.Tor: On the one hand, since the anonymity that it provides depends significantly on the number of users, the user s decisions about whether to use can affect the degree of ano-nymity.On the other hand, the degree of anonymity also affects users choices about whether to use it.NonlinearityIf we consider the system behavior we care about as a dependent variable f(x), as the independent variable x changes, f(x) must change rapidly in a nonlinear manner.Biological virus propagation:As the number of infected people increases, the infection rate and range will grow increasingly, and the number of newly infected people per unit of time shows a typical non-linear growth characteristic.Computer virus propagation: As for the In-ternet, because of the high connectivity and the nonexistent need for physical "contact" of network nodes, computer viruses spread much faster and more widely than biological viruses.DistributedControlSystems that exhibit typical emergent phenomena often do not have central control nodes.For them, control is of-ten dispersed to a significant number of nodes (components), which means greater autonomy.Biosphere: Obviously, there is no cen-tral control in the biosphere that con-trols the behavior of each organism so that each organism can act on its own.Password system: As a typical human-cen-tered computer system, there is no control in the password system for human users.

Fig. 1 The characteristics of emergence and typical examples圖1 涌現的特征及示例

涌現性的應用主要可分為設計和控制.“設計”通常意味著“設計我們想要的涌現現象”.在系統的設計過程中，系統組件(微觀)的特征與行為是已知的，我們所要做的就是基于這些已知的微觀要素來“設計”出我們想要的涌現現象.這個問題涉及到微-宏觀效應(micro-macro link)問題，事實上，這個問題稱得上是涌現性研究中最核心也是最困難的問題.盡管仍然沒有確切的解決方案，但是研究者[60-61,65]在思路和方向上基本達成了共識：結合自頂向下(top-down)的系統設計方法和自底向上(bottom-up)的仿真模擬實驗方法，通過不斷地進行循環迭代實驗來達到最終的目的.在具體的施行過程中，研究和設計者應當始終堅持“全局觀”，始終把想要獲得的涌現現象作為系統設計的目標，通過分析這個目標找到相關聯的系統組件，然后對這些組件的特征和行為進行設計和控制；緊接著進入仿真模擬階段，通過仿真模擬平臺運行這個系統，檢查系統的整體行為是否符合預期設計目標，如果不符合的話，再對組件的行為進行修改，一直循環以上過程直到滿足預期.

與“設計”相反的是，“控制”一般意味著“控制我們不想要的涌現現象”.而與“設計”類似的是，“控制”同樣也很困難，因為涌現現象天生具有不可預測性.但是，盡管完全控制和預測是不可能的，但是仍然可以通過理論分析與仿真模擬對系統的涌現行為做出大致判斷，至少可以判斷會發生什么程度、屬于哪個分類的涌現現象，有利于提前部署相應的防護措施，控制危害的規模.以全球氣候系統為例，我們無法精確地預測天氣情況，但是至少可以做出大致的判斷，這樣也就能在臺風來臨之前告知公眾盡快撤離.同樣，可以在大規模計算機病毒蔓延之前告知用戶盡快安裝防病毒軟件.

總而言之，盡管涌現性的作用不是萬能的，它具有特定的適用性[61]，但是考慮到人類目前對于復雜世界的了解十分有限，涌現性研究仍然是深入了解和適應世界發展的強有力途徑.

2 現實挑戰

根據關鍵特征及其在安全研究中的意義，我們將涌現視角下的安全挑戰分為3種類型：攻擊、漏洞和防御.下面結合現實案例進行考察和分析.

2.1 攻 擊

涌現式攻擊意味著攻擊能力是一種涌現效應.也就是說，一個攻擊系統的組件不具有這種攻擊能力，但是當多個組件“協作”起來構成整體攻擊系統時，該系統就會產生出一種“不同尋常”、“意想不到”的攻擊能力，其典型代表是DDoS攻擊的破壞能力[66-68]和病毒(惡意軟件)[34-35,69-72]的感染傳播能力.

如果將發動DDoS的網絡視為一個系統，那么網絡中的單個設備就是構成系統的組件.在這樣的系統中，單個設備所能產生的流量是極為有限的，甚至是微不足道的；可以造成大規模網絡癱瘓的DDoS攻擊能力是由大量設備的復雜通信和交互而產生的整體效應，即涌現效應(見圖2所示).事實上，即使我們對每個組件的所有軟硬件都進行透徹的分析，也很難由此預料到攻擊效果.尤其是隨著通過社交網絡等新型網絡進行控制和通信的DDoS變種相繼出現，實時處理和提前防御此類攻擊變得更難以進行.

Fig. 2 Emergent DDoS attacking capabilities圖2 涌現式DDoS攻擊能力

與DDoS的攻擊能力相似的是，病毒(惡意軟件)的感染傳播能力也是一種典型的涌現現象.在這種場景下，組件是單個具有網絡通信能力的設備(網絡節點)，而系統則是這些節點通過互聯所構成的復雜網絡.層出不窮的大規模病毒攻擊事件告訴我們，由于互聯網高度互聯的特性，計算機病毒的傳播速率遠比我們想象得更快，影響范圍也遠比我們想象得廣；而且，另一方面，這種特性也使得群體免疫這種常在公共衛生領域中被提及的概念很少出現在計算機病毒領域[1].另外，除了互聯網之外，目前已有的研究表明，P2P(peer to peer)網絡、移動電話網絡等其他網絡中的惡意軟件也表現出類似的涌現性質[69,72-73].

作為復雜系統的典型代表，包括以上網絡在內的復雜網絡具有多種典型的非線性性質，因此，計算機病毒在網絡上的傳播動力學是難以用傳統的線性模型來描述的.在實際場景中，這種涌現式感染傳播能力給安全人員帶來了極大的挑戰：一方面，由于群體免疫的缺乏，很難通過在小部分節點上部署防御措施來達到控制病毒傳播的目的；另一方面，與生物學或者醫學中的“病毒”不同，大多數類型的計算機病毒在傳播過程中無需節點之間實際“接觸”，傳播極為迅速，留給我們的反應時間十分短暫，甚至可以說沒有.

從以上關于DDoS攻擊和病毒傳播的例子中我們可以看到，由于其天然的大規模、難檢測、難控制和難防御的特性，涌現式攻擊的確是目前網絡空間安全領域亟待解決的難題.

2.2 漏 洞

當我們談及攻擊時，一般指的是來自系統外部的惡意行為(這里我們不考慮可能由內部節點發動的內部攻擊(insider attack)).但攻擊的得逞一定有2方面的原因：1)攻擊者的能力；2)被攻擊系統的漏洞.如果系統本身沒有漏洞，那么攻擊也就無從談起.而很多時候，我們害怕的不是漏洞，而是“意料之外”的漏洞，因為這常常意味著我們沒有有效的應對措施.不幸的是，涌現式漏洞就屬于這類漏洞中既難以預測又難以應對的.下面通過互聯網、跟蹤網絡和口令系統中的3個例子來闡釋涌現式漏洞給安全人員帶來的嚴峻考驗.

Fig. 3 Power-law distribution圖3 冪律分布

在20世紀90年代互聯網剛剛興起之時，就已經有大量的數學和物理學家[45,49-50,74]對互聯網的復雜網絡特性進行了研究.根據他們的研究成果，最適合用來對互聯網進行建模的模型遠非被廣為接受的隨機模型.事實上，互聯網不是“隨機”形成的，也不是“公平”的，它體現出典型的無標度(scale-free)特性，這對安全的影響非常顯著.無標度其實可以等同于冪律分布(power-law distribution)，如圖3所示.在無標度網絡中，節點的度分布是非常不均勻的,只有極少數的hub節點擁有很高的度，絕大多數的點只有很小的度，而且新加入的節點也會以極大的概率優先連接到這些hub節點上.在某種意義上，占據網絡節點數量極小一部分的hub節點卻主導了整個網絡的運行[75-76].這也就意味著，如果攻擊者想要攻擊整個網絡，他不需要花費很大的代價，只需要集中力量攻擊其中一小部分節點就可以.事實上，大量研究[45,49]的確表明，復雜網絡對節點的隨機失效(failure)具有顯著的健壯性，但在面對有目的性的攻擊(attack)時，卻比我們預想的更加脆弱.在這一場景下，如果將設備節點看作組件，將互聯網看作系統，那么由節點之間的通信與交互產生的涌現效應既可以出現在hub節點，也可以出現在包含hub節點的無標度網絡結構，還可以出現在應對攻擊的脆弱性中.

盡管也被稱為“網絡”，跟蹤網絡的涌現式漏洞卻跟互聯網有些不同之處.理想的跟蹤網絡應當對用戶的意愿和隱私有足夠的尊重和保護，即參與其中的用戶(tracker)能夠實現彼此的實時定位和跟蹤，而不能夠獲得其他不在這一網絡中的用戶(non-tracker)的位置信息.但在實際運行過程中，前者是基本功能要求，而后者卻難以實現.根據文獻[51]，在機會跟蹤網絡(opportunistic tracking networks)中，如果網絡中有足夠多的設備節點(tracker)對非網絡成員(non-tracker)的流量進行嗅探并將自己的位置報告給一個中央控制結構，那么這個中央控制機構就很有希望獲知其他非網絡成員(non-tracker)的位置信息.這種涌現效應產生自跟蹤網絡成員(tracker)之間復雜的通信和交互，也受到諸如所在區域的人口密度、城市規劃以及跟蹤網絡規模大小等因素的影響.然而，盡管涌現式跟蹤能力受到各種環境因素的制約，不是100%確定能夠產生，但只要這一漏洞存在，就會對用戶隱私造成極大的威脅.

上述2個例子都跟網絡有關，但事實上，涌現式漏洞不僅存在于網絡中，很多系統中都有它的身影，比如我們幾乎每天都要接觸的口令系統.長久以來，口令機制的安全性被大量安全人員所詬病，其中服務端漏洞的代表是口令數據庫的脆弱性，而用戶端漏洞的代表是口令重用現象的普遍性[77-79].下面從涌現的角度考察口令重用現象的出現和危害.

首先，為什么口令重用現象屬于涌現現象？這就要從記憶口令的困難程度和人類記憶能力的限度開始說起.一方面，記憶口令的難度絕不是一個關于口令數量的線性函數，因為我們不僅要記憶口令本身，還要記憶口令和賬戶的搭配關系，后者顯然是一個隨著賬戶數量擴大而呈指數型爆炸增長的過程[80].另一方面，為了安全起見，我們總是建議用戶設置足夠“隨機”和復雜的口令[81]，而事實上，普通人類記憶這類毫無關聯的字符串的記憶能力是有限的[59]；而且，若要為每個賬戶設置不同的足夠“強”的口令，那么隨著賬戶數量增長而增長的口令數量又給用戶帶來了新的困擾，即記憶中的這些口令會互相干擾[82-83](大多數人都有過在嘗試登錄不常用賬戶時不斷試錯的經歷).面臨著巨大的記憶挑戰和自身有限的記憶能力，足夠“智能”的人類想出了解決辦法，即重用口令.在這種情況下，若把單個口令系統看作一個組件，那么所有的口令系統就可以被視為一個整體(系統)，比較獨特的一點是，這些組件的交互(相互干擾)是在人腦中進行的，口令重用現象就由這些交互產生的涌現現象.

其次，不僅口令重用屬于涌現現象，它的危害也具有典型的涌現屬性.當用戶在多個口令系統中重用同一個口令時，這些系統間就產生了一種微妙的聯系，即它們彼此依賴，總體的安全性變成了最弱的那個系統的安全性[77,81]，可以形式化地表達為

Sall-systems=min{Ssystem 1,Ssystem 2,…,Ssystemn}，

其中，S代表系統的安全性.

一旦其中一個系統的用戶口令數據被泄露，那么該用戶在其他系統中的賬戶也危在旦夕.更糟糕的是，對于單個口令系統而言，攻擊者甚至可以通過控制極少量的用戶賬戶進而獲得整個系統的控制權.舉個最簡單也最極端的例子，重用口令的用戶恰好是某個系統的管理員，這個例子看似極端，實則并不罕見，系統的管理員常常做出一些匪夷所思的事情.總而言之，口令重用呈現出典型的“多米諾效應”和“蝴蝶效應”特點，即單個系統單個用戶賬戶的泄露可能會導致一系列難以想象的后果，這種非線性性是涌現現象的典型表現.

總的來說，涌現式漏洞經常來源于系統的某些固有屬性所帶來的局限性，這種局限性在系統設計之初就隱含在系統的架構中，但是未能被設計者發現.令人遺憾的是，往往只有大規模攻擊事件的發生才能讓我們意識到漏洞的存在及其嚴重性.

Fig. 4 Tor圖4 洋蔥路由

2.3 防 御

近年來，隨著涌現現象和網絡空間安全2方面研究的逐漸深入，利用涌現特性部署安全防御措施的研究受到關注，例如用于檢測無線傳感器網絡中的節點復制(node replicas)的算法Discard[52]和基于agent的DDoS協同防御機制[27].下面首先簡要介紹Discard算法的相關內容.

無線傳感器網絡屬于典型的自組織網絡.由于設計目標和成本所限，該網絡中節點的安全性很差，其節點之間通信所基于的協議非常簡單，給攻擊者留下了可乘之機.在無線傳感器網絡中，復制節點指的是攻擊者通過某種手段獲取某個設備節點的訪問權，進而獲取該節點的全部內容，這樣，可以在另一臺相似設備上復制該節點的全部內容并把該復制設備部署到原節點所處的網絡中去，達到冒充身份、擴大控制范圍的目的.為了更有效地檢測復制節點，文獻[52]提出可以利用復雜網絡涌現現象研究中的經典模型——傳染病模型.它把傳染病模型很好地嵌入到網絡節點的通信協議中，提出了Discard算法.在該算法中，單個節點是不具有“全局目標”的，它只會跟周圍的節點“交流”自己所知道的信息，復制節點的識別能力是由大量節點之間的交互作用形成的涌現結果.

除了類似Discard這種從涌現的角度去設計的算法之外，安全領域其實還有很多傳統的防御措施也具有涌現性質，只不過以前很少有人從涌現的角度去理解和認識它們.這類防御措施的典型例子有：洋蔥路由的匿名性[84-86]、自組織網絡中的建立信任[22,48,87]、安全多方計算[58,88-93]、共識機制[94-95]等.

在洋蔥路由中，如圖4所示，整個洋蔥路由網絡是一個整體，而單個通信節點則屬于組件.當只有很少人使用洋蔥路由時，其所能提供的匿名性是十分有限的.而隨著使用人數的增多，網絡節點之間交互的數量和復雜度呈非線性快速增長，洋蔥路由所能提供的匿名性和它的優越性開始逐漸涌現[1].

由于在自組織網絡中不存在任何來自外部或者內部的控制，所以所有的網絡節點都沒有“全局目標”，它們只關心自己的狀態以及與鄰居的交互[96].然而，正是這種沒有“全局觀”的簡單交互與協作使得信任鏈和安全路由得以涌現，這也就是群智能(swarm intelligence)的一種體現[48].從這個角度來說，安全多方計算和共識機制的涌現性也是如此——組件之間的簡單交互使得安全狀態得以涌現.在安全多方計算中，涌現作用是對數據機密性的保護；而在共識機制中，涌現結果是一致性共識.

上述涌現式防御機制極其有力地說明了將涌現性研究引入安全領域的意義所在：可以基于組件的交互“設計”出系統的整體安全性質，使得系統趨向我們想要的安全狀態.當然，由于網絡空間的復雜性，設計或者理解涌現式安全防御方案都具有相當大的挑戰性.

3 應對方法

涌現性給網絡空間安全帶來的挑戰并不意味著我們束手無策.目前已有不少出色的工作從涌現性的視角研究、分析以及應對網絡空間安全問題出發，本節對較有代表性的工作進行總結和介紹.我們首先對這一領域的發展脈絡進行梳理，然后根據研究的主題與內容分為描述性、指導性和操作性3類進行介紹.

3.1 發展歷程

這一領域的研究可追溯到20世紀90年代.文獻[97]給出了無邊界系統(網絡)(unbounded systems或unbounded networks)中生存性(survivability)的定義：在攻擊、故障、事故等事件發生時，系統(網絡)仍能及時完成目標和任務的能力.這是一種典型的整體屬性，也是一種涌現屬性，因為它無法由系統的組件呈現，也無法通過組件的性質推導得出.顯然，這種屬性跟安全聯系十分密切，這類研究可以看作是網絡空間安全涌現性研究的雛形.

進入21世紀，不斷擴張并滲透人類生活的互聯網引起了復雜網絡研究者們的重視.起初的主流觀點認為互聯網是隨機網絡的代表，后來隨著研究的逐漸深入，研究者們[45,49-50,74]在其中發現了無標度(冪律分布)、層級結構、聚類效應等特性.這表明互聯網實質上不是“隨機”生成的，而是典型的復雜網絡.而且，研究人員們[45,49]也表示，以無標度為代表的上述復雜網絡固有屬性對于安全研究有重要的意義.

互聯網的快速發展使得計算機病毒開始流行起來.受生物學、醫學和公共衛生領域在生物病毒防治方面的經驗啟發，研究者們[31-36]陸續將生物病毒傳播中的傳染病模型引入計算機病毒傳播的研究中.相關的研究不僅僅局限于傳統的互聯網，實際上，由于人類個體的移動性所帶來的影響，與節點位置基本固定的傳統互聯網相比，移動網絡(比如藍牙網絡、移動電話網絡等)中的病毒傳播與生物病毒傳播更為相似[31-35].所以，這方面的研究非常關注移動網絡中的病毒傳播.

進入2010年以后，圍繞網絡空間安全涌現性的研究開始逐漸引起更多研究者的關注，越來越多的出色工作進入人們的視野，例如Husted等人[28,35,51]、Leveson等人[98-100]和Xu等人[101-104]的工作.

Husted等人[28,35,51]一直致力于探索由普適計算和物聯網環境中大量設備之間的交互作用所形成的涌現式漏洞和攻擊形式，跟蹤網絡中的涌現式用戶隱私威脅和移動網絡中的涌現式蠕蟲病毒傳播能力是他的主要關注點和切入點.他提出可以使用基于agent的仿真建模方法對機會跟蹤網絡的涌現式威脅進行研究，也可以使用傳染病模型對移動網絡中的蠕蟲傳播動力學進行一定的建模和分析，從而建立解決該類問題的基本思路.在文獻[1]中，基于已有在跟蹤網絡和移動網絡2方面的研究成果，他給出了網絡空間安全涌現性的概念和意義，并結合該領域的實際情況討論分析了一些具有代表性的涌現現象.特別重要的是，他還指出，基于agent的仿真模擬、傳染病模型和基于系統理論的設計(systems theoretic based design)是網絡空間安全涌現研究的有效途徑.

傳染病模型一般用于分析計算機病毒的傳播動力學，有望幫助人們在病毒傳播的早期及時部署有效的控制措施；基于agent的模擬常常可以幫助人們對系統進行測試，觀察系統的涌現行為，根據模擬結果對組件進行適當的調整；相比于前2種途徑主要關注“反應”和“調整”，基于系統理論的設計卻有望讓我們從系統設計之初就預防漏洞的產生.在基于系統理論的設計領域，典型的工具有STAMP(system-theoretic accident models and processes)和構建于其上的STPA(systems theoretic process analysis)[98-99](在后文中，二者統一稱為STAMP(STPA)).該工具是由美國麻省理工學院的Leveson等人[98-100]設計的.該工具最初并不是為網絡空間安全所準備的，而是用于解決工程安全問題，兩者的區別在于前者是security問題，而后者是safety問題.然而，由于大規模關鍵基礎設施的數字化，安全(security)漏洞漸漸成為工程安全(safety)領域的新焦點.2007年，該團隊中的Laracy[100]對STAMP(STPA)進行了擴展，用以分析美國空中運輸系統中可能出現的涌現式安全(security)威脅.2013年文獻[38]提出了STPA-sec——一個用來識別和控制系統安全(security)漏洞的工具，這是一個里程碑式的事件.其后，除了該團隊，越來越多的研究者致力于將以STAMP(STPA)為代表的基于系統理論的設計思想引入網絡空間安全領域，設計了諸如STPA-SafeSec[39]和STRIDE[40]等工具.

相比于Husted等人[28,35,51]和Leveson等人[98-100]主要關注實驗方法的運用，美國德克薩斯大學圣安東尼奧分校的Xu等人[101-104]則側重于通過形式化的方法來進行網絡空間安全動力學研究.2012年他們研究了任意網絡中push-based和pull-based這2種類型的計算機病毒的傳播動力學[101].2015年他們提出了一種新的可能：當防御者使用類似于“white worms”的手段來“攻擊”攻擊者的時候(文中將其稱為“active defenses”)，網絡空間的攻防博弈又會產生怎樣的變化[102].2018年，他們的研究又深入了一步——當攻擊者和防御者都采用了2種手段的時候(攻擊：push-based和pull-based，防御：preventive和reactive)，根據他們的推導和證明，這種網絡空間安全動力學場景在整個參數宇宙中都是穩定的[103].

圖5對上述發展歷程進行了簡要的總結和勾畫.下面按照描述性、指導性、操作性的分類方法對相關研究進行更為全面和細致的介紹.

Fig. 5 History of the research on emergence in cybersecurity圖5 網絡空間安全涌現性研究發展歷程

3.2 描述性的研究

我們把那些利用涌現理論來描述網絡空間安全中的性質、行為和現象的研究稱為描述性研究.這類研究往往不以提供明確的解決方法為目標，而是著眼于尋找嶄新的思考問題的角度.下面從理論分析和形式化證明2個方面進行介紹.

3.2.1 理論分析

讓我們按照“現象、定義、原理”的思路考察那些基于系統理論對網絡空間安全涌現現象進行描述和分析的研究.

1) 現象

這類研究大多以舉例和羅列的方式討論典型的網絡空間安全涌現現象，旨在尋找進一步研究的切入點，其中文獻[1]的討論較為全面，覆蓋范圍較廣.根據文獻[1]，DDoS的攻擊能力、跟蹤網絡的隱私威脅、洋蔥路由的匿名性、車聯網系統對城市交通造成的潛在威脅、弱口令和口令重用現象造成的安全威脅以及社交網絡和比特幣的價值都是網絡空間中的涌現現象.另外，文獻[58]簡明扼要地討論了網絡空間安全動力學、擴展的trace屬性框架(extended trace-property framework)以及密碼學安全屬性所蘊含的涌現性質.根據文獻[26]的研究，作為復雜系統的典型示例，以信息物理系統(cyber-physical system， CPS)為組件構成的“系統的系統”CPSoS(cyber-physical systems-of-systems)能夠明顯地展示涌現性質，包括在死鎖、分布式容錯時鐘同步(distributed fault-tolerant clock synchronization)、報警處理(alarm processing)等計算機系統經典問題中的體現.而文獻[48]則將關注點放在自組織網絡中，移動自組織網絡中的信任、分布式傳感器網絡中的安全路由、動態聯盟中的公共訪問狀態、移動自組織網絡中基于群智能的安全路由等都是由網絡節點間的交互作用形成的涌現效應.

與上述綜合性分析工作不同，文獻[4,28,30-32,105]主要關注某一個特定的涌現現象.根據文獻[105]，如果移動網絡中的設備能夠充分利用人類社交網絡中的關系，那么，這些復雜的社交網絡關系可以形成系統性能的涌現性效果.更具體地說，在容錯網絡中，能夠提高路由協議的性能；就防火墻而言，可以有效地延緩病毒傳播的速率.文獻[28]主要關注2類涌現現象：機會跟蹤網絡中的隱私威脅和WiFi網絡中的蠕蟲傳播能力.早在2006年文獻[31]就探討了藍牙網絡中蠕蟲病毒的傳播能力.隨著智能手機的發展和流行，2014年文獻[32]對已有的移動網絡惡意軟件傳播模型進行了一次系統化的綜述，可以為后續的研究提供一定的指導.文獻[4]提出了更有概括性的觀點：計算機集群安全(cluster security)是一種涌現屬性.由于大規模、分布式和異質性的特點，計算機集群中存在著大量復雜交互，集群的安全屬性無法通過對單個計算機的安全屬性進行簡單加總得到，這是涌現性的體現.

2) 定義

基于對網絡空間安全領域大量涌現現象的觀察和分析，文獻[58]定義網絡空間安全中的涌現行為：

“在網絡空間中，如果一個系統擁有其低層組件所不具備的某種安全屬性，那么，該安全屬性蘊含著涌現行為.”

雖然這并不是國際上統一的正式定義，但它可以為進一步的研究提供借鑒.事實上，國際上也沒有唯一的公認定義.每種定義都從某個角度揭示了網絡空間安全涌現性的一定意義.

3) 原理

原理方面的研究工作側重于通過模擬實驗和數據分析等手段探究涌現現象的背后機理并找到一些重要的影響因素.

針對跟蹤網絡中的涌現式隱私威脅，文獻[28,51]采用仿真實驗的方法對實際的跟蹤網絡環境進行了模擬，給出了該環境下實現有效跟蹤的必要條件.特別地，他們可以根據這些條件量化跟蹤網絡中的涌現式隱私威脅.

文獻[28]也在移動網絡中的病毒傳播動力學領域進行了探索——他們將傳染病模型與仿真模擬實驗相結合，發現了一些以病毒感染率為代表的關鍵影響因素.文獻[33]采用系統化、整體化的研究思路和方法對移動僵尸網絡(mobile botnet)的進化過程和影響進行了研究.文獻[34]則在探討了設備和網絡的特征對移動網絡病毒傳播趨勢造成的影響之后，提出了這類病毒利用上述特征進行迅速傳播的原型系統，并基于該系統通過仿真模擬實驗得出了病毒得以迅速傳播的一些必要條件.

文獻[36]的研究以真實數據為基礎，通過對計算機病毒傳播的真實數據進行分析，發現了互聯網上計算機病毒傳播的一般性規律——無論傳染速率是多少，它都能在類似互聯網這樣的無標度網絡上有效傳播.

3.2.2 形式化證明

文獻[101-104]采用形式化證明的方法對網絡空間安全涌現性進行研究.它們首先采用形式化手段對某些特定的攻防情景進行嚴密的推導證明，繼而得出一些推論，最后再通過仿真模擬實驗的方式對這些推論進行檢驗.

文獻[101]利用非線性動力系統方法研究了任意網絡中2類不同病毒(push-based和pull-based)的傳播動力學.當多種病毒同時在同一網絡中傳播時會出現怎樣的情景，這些病毒甚至會互相攻擊，試圖奪取主動權.文獻[104]對這一情景下的病毒傳播動力學進行了研究.研究結果揭示了防御能力和網絡連通性之間的關系，為部署防御措施提供了一定的指導.

文獻[102-103]對攻防交互所造成的網絡空間安全動力學場景進行了探討.在文獻[102]中，防御方被賦予了一種特殊的能力——可以利用“white worms”來達到對攻擊者進行“攻擊”的目的.理論推導和模擬實驗結果表明，這種動力學場景表現出顯著的發散和混沌特征，其涌現行為很難準確度量和預測.文獻[103]的研究結果顯得比較樂觀，它主要探討了2種攻擊方式(push-based和pull-based)和2種防御方式(preventive和reactive)之間的攻防交互所形成的特殊網絡安全動力學場景.研究結果表明，該場景在整個參數空間中都是穩定的、收斂的，而且在除了某種特殊情況的其他所有情況下都是指數收斂的(該特殊情況下是多項式收斂的).

文獻[106]基于形式化的方法證明了涌現屬性的存在并分析了涌現屬性是如何出現的，還提出了可用于幫助判斷什么情況下會出現涌現屬性的判斷條件，給出了關于如何“設計”涌現屬性的指導.

總的來說，基于嚴密的理論推導、數學證明以及精巧的仿真模擬實驗，上述工作提供了很多非常具有參考意義的指導和建議.

3.3 指導性的研究

根據已有的觀察和研究，可以就“網絡空間安全涌現性研究應當如何進行”提出指導方案和建議，我們稱這類工作為指導性研究.這類工作往往圍繞以下6個核心問題展開探討：研究目標和前景是什么；應當從哪些方面著手；遵循怎樣的研究路線；應當引入哪些理論；可以利用哪些工具；進一步研究的困難與挑戰是什么.下面沿著回答這些問題的思路對這類工作進行討論.

文獻[1-2]曾指出安全自身就是一種涌現屬性.考慮到安全事件的難以預料性、安全環境的復雜性、敵手能力的難以預測性、人工科學的過于主觀性等多種因素，對安全這一涌現屬性進行度量顯得格外困難[30].考慮到上述因素所帶來的的復雜性，文獻[5]認為涌現性質只有在一切部署完成后才會出現，且取決于具體實現方式，因此在設計階段進行安全決策無法預測所有潛在的副作用，最好將網絡空間安全視為一個社會實驗來進行.文獻[20]認為“難以度量”是阻礙網絡空間安全成為一門科學的重要原因之一.目前，建立網絡空間安全科學的必要性得到了越來越多的認可[14-15,20-21]，運用科學的方法分析和解決涌現式安全問題的意義日趨明顯，這是傳統的安全研究方法和手段難以勝任的[22]，必須尋求新的、足夠智能的、有適應性的方法加以應對.

文獻[15]認為可以從3個方面著手：基于不可信的部件建立可信的系統、建立更有“全局觀”的入侵檢測系統和DDoS防御系統、建立系統化的模型和設計框架等.文獻[20]在“全局觀”和系統化模型方面與文獻[15]達成了共識，它認為可以在運用系統化思維的基礎上考慮利用形式化的方法去解決“當多個部件組成一個系統時如何考慮系統的安全性”的問題.誠然，由組件交互所引起的涌現問題已經足夠棘手，加上“人是系統的關鍵組成部分”，事情會變得更加麻煩.相對于機器，人的行為具有更大的不確定性，更加難以預測.如果為了避免麻煩，在設計系統時不把“人”這一關鍵組件納入考慮范圍，那該系統的設計顯然難以充分反映現實情況，更不用說對未來的安全事件做出預測了[22,30].為了能夠對包括人的因素在內的眾多系統組件加強控制，確保系統正常運行，文獻[14]提出可以將控制論引入安全研究，用于在設計系統時更好地限制系統的行為，以期從根源上預防安全漏洞的產生.另外，它也指出由于網絡空間的復雜性和攻防雙方天然的不對等，防御方始終處于“建立系統→被攻破→打補丁→再次被攻破”的“cyber cycle”中，很有必要建立網絡空間安全科學以打破這種格局.關于這一點，文獻[18]認為網絡空間安全的終極目標應該是實現一個面對不可預見的攻擊仍然具有魯棒性的防御系統，這樣的系統可以隨著環境的變化進行適應性的改變，還可以在遇到損害時進行自我修復；為實現這樣的目標，很有必要讓復雜性理論派上用場，復雜性科學有助于理解當今的網絡空間及其與人類行為、社會規范和經濟激勵的聯系，有助于建設更加安全的網絡空間.

很多文獻把同時含有計算機和人的系統稱為“社會-技術系統”(social-technical system).由于目前信息技術已經滲透到人類生活的方方面面，這種系統實質上屬于網絡空間的主流——畢竟系統設計出來就是給人類使用的，沒有使用者的系統幾乎不存在.而正如本節前文所述，難以預測的人類行為使得網絡空間安全的復雜性進一步提升，為涌現現象提供了更多可能，給研究者帶來了更多挑戰.針對這一問題，包括文獻[22,107]在內的多項研究提出應該擁抱系統化思維，應該借鑒復雜性理論的研究思路與方法.在這一方面，文獻[65]提供了很好的指引，它主要探討了涌現性研究中的核心問題“微-宏觀效應”的解決方案是否存在.基于對已有相關研究的歸納和總結，它提出了一套研究框架：1)定義系統目標；2)收集系統信息；3)自上而下地建立模型；4)計劃仿真模擬實驗；5)自下而上地進行仿真實驗并收集數據；6)分析數據，然后得出結論.類似地，文獻[108]提出了一套處理涌現問題的總體框架，文獻[60]對多種面向涌現的系統設計方法和設計模式進行了比較分析，可以同文獻[65]一起為涌現問題研究提供指導.

安全領域也已經有一些工作嘗試提出研究網絡空間安全涌現現象的研究路線與方案.比如，文獻[4]針對計算機集群安全的涌現特性提出了一個關于如何部署防護技術的大致框架，該框架在很大程度上利用了已有的成熟技術，具有一定的參考價值.文獻[109-110]的工作著眼于整個網絡空間安全的動力學研究，其適用范圍更廣、與復雜性理論的聯系也更為緊密.根據文獻[109-110]，安全性度量、網絡空間第一性原理(first-principle)的建模與分析、數據分析、建立網絡空間的系統化理論等研究都是開展網絡空間安全動力學進一步研究的重要基礎.

研究需要有工具支撐，文獻[1]推薦了傳染病模型、基于agent的仿真模擬、基于系統理論的設計(systems theoretic based design)三種工具.文獻[32]對3種通用的傳染病模型進行了對比.文獻[22]認為基于agent的仿真模擬可用于對具有涌現行為的復雜系統進行建模，可用于網絡空間安全研究.文獻[24]強調了系統化方法對于工程安全(safety)和網絡空間安全(security)研究的重要性，并對基于系統理論的實驗工具STAMP(STPA)及其在網絡空間安全領域的衍生產品STAMP-sec和STPA-sec進行了介紹.文獻[25]還對其他基于系統科學的研究工具進行了詳細介紹.

必須看到，盡管上述工作建立了一定的基礎，網絡空間安全涌現現象研究依然困難重重，比如，如何在網絡空間安全領域處理和解決系統的非線性性、組件之間的依賴性、系統行為的不確定性、人類因素的難以預測性等都是目前需要解決的難題[110].

3.4 操作性的研究

操作性的研究針對網絡空間安全領域中的涌現問題設計實際可用的算法或工具.這些研究或者著力于分析、緩解、控制已有的涌現現象，設計并實現分析工具；或者探討如何利用涌現特性實現檢測攻擊或者部署防御的目的，設計檢測或者防御算法.

3.4.1 分析和控制涌現現象

目前對網絡空間安全涌現現象進行分析和控制的主流研究可大致分為3類：1)利用STAMP(STPA)進行系統化建模和分析；2)基于仿真模擬實驗平臺開展工作，所用平臺主要以多agent系統(multi-agent system, MAS)為主；3)主要包括面向涌現的威脅分析、保護架構、防御措施等.

1) 基于STAMP(STPA)的研究

作為一種基于系統理論的系統設計工具，STAMP事故分析模型(systems-theoretic accident model and processes)和以它為基礎的STPA過程分析方法(systems-theoretic process analysis)最初用于解決工程安全問題[9]，其中的安全(safety)主要指工程安全、人身安全、國家安全等.隨著工控系統的逐漸信息化以及智能家居、無人駕駛、智慧城市等典型物聯網系統的發展與流行，safety與security的聯系日趨緊密，二者之間不再像過去那樣涇渭分明——safety會影響到security，比如節點劫持攻擊；security也會影響到safety，比如車聯網的安全會影響乘車人的人身安全.由于STAMP(STPA)在“設計安全的系統”方面的杰出表現，越來越多的研究者致力于把它引入網絡空間安全領域.

作為STAMP(STPA)的開創者和設計者，Leveson等人[38]也意識到了這一研究方向的重要性.文獻[38]提出了STPA-sec，它是STPA在網絡空間安全(security)領域的擴展和應用，它能夠識別并且強制執行那些針對不安全控制措施的約束，從而防止系統在面對外界干擾時受到攻擊.作為STPA的后繼者和衍生物，STPA-sec的指導思想是：既然系統的設計者無法控制攻擊者的行為，不如將關注重心轉移到控制漏洞的產生，將所有安全問題的發生視為“控制的不足”，它旨在為系統的設計者和分析者提供一個更加系統化的視角，指導安全策略的設計.

STPA-sec還催生了很多新的分析工具，這些工具中的很大一部分是它的衍生物.文獻[13]認為以前的STPA和STPA-sec都只關注損失，沒有關注隱私，因此，針對隱私領域特有的問題(比如開環控制)，它對STPA-sec進行了2方面的拓展：重新定義損失和獲取隱私控制結構，并實現了STPA-Priv.考慮到已有的方案大多將safety和security問題分開處理而忽視了二者的聯系，文獻[39]提出了STPA-SafeSec，將safety和security整合到一個框架里進行研究和分析.STPA-SafeSec可以分析出由safety約束和security約束之間的依賴和交互所造成的問題與漏洞.文獻[12]使用STPA對無人駕駛汽車進行安全性分析，它能夠在設計初期就發現涉及多個層面的問題，從而防止安全隱患的產生.這些工作為如何在網絡空間安全領域應用STAMP(STPA)提供了一定的參考.

有些工具不是由STAMP(STPA)衍生的，但多少也受到了其設計思想的影響.針對信息物理系統(CPS)的特有安全問題，文獻[40]設計并實現了復雜系統分析工具STRIDE，它可用于2方面分析：1)單個系統組件可能涌現出什么類型的安全威脅；2)單個系統組件的一個漏洞如何使得整個系統的安全狀態遭受威脅.著眼于與文獻[39]類似的問題，文獻[41]提出了一種可以深度結合safety和security分析的技術模型SAFE，它可以清晰地記錄系統的假設并且提高復雜軟件驅動系統分析的可追蹤性.文獻[42]使用復雜系統安全性分析工具CAST[111]對遭受震網病毒攻擊的核能源基礎設施進行了安全威脅分析.實驗結果表明，CAST能夠在系統設計階段識別出針對特定CPS的安全威脅，從而可以向CPS設計人員提供可用于提升CPS安全性的實用建議.

2) 基于仿真模擬實驗平臺的研究

作為研究涌現現象的重要工具，多agent系統(MAS)在諸多領域得到了廣泛應用，也引起了網絡空間安全領域的關注.

值得注意的是，很多時候研究者們會將傳染病模型和多agent系統一同使用以對計算機病毒的傳播動力學進行研究.一方面，使用傳染病模型進行建模；另一方面，使用多agent系統進行仿真模擬，從而檢驗模型的適用性，同時觀察系統會在仿真過程中涌現出什么樣的性質.文獻[69]提出一個事件驅動模擬器來模擬現實的惡意軟件傳播環境.文獻[112]提出一種描述藍牙網絡蠕蟲病毒傳播動力學的細粒度分析模型，并使用仿真模擬的手段來對該模型進行分析評測，結果發現該模型能夠以很高的準確率預測出藍牙網絡蠕蟲的傳播動力學.文獻[34]通過仿真模擬實驗的手段得出了一些量化的數據支持：可以造成傳染病模型式傳播的惡意軟件所需要的移動設備數量和其他相關條件.

基于多agent系統的仿真模擬實驗也在防御DDoS攻擊、模擬攻防博弈等領域得到了應用.文獻[113]做了一次重要嘗試，將一個原用于對關鍵基礎設施系統部件失效進行建模分析的多agent系統用于網絡空間安全仿真模擬.文獻[114]設計了一個基于agent的社會-技術系統模型，它是一種對節點之間的相互依賴所造成的影響進行分析和評估的方法，使復雜系統的分析者能夠看到各個agent之間的交互以及依賴關系，從而可以對未來可能會發生的系統行為做出一定的預測.非常有趣的是，文獻[115]提出了一個用于模擬“捉迷藏”游戲的多agent仿真模擬平臺Medusa.其研究者認為網絡空間安全攻防博弈就是一個典型的“捉迷藏”游戲，可以基于該平臺從“捉迷藏”的角度觀察和研究多agent網絡空間場景中的個體行為和系統涌現行為.針對DDoS的典型涌現屬性，文獻[27]建立了基于agent的DDoS協同防御仿真框架，并以DDoS協同防御涌現行為為目標，采用基于agent的方法建立DDoS協同防御體系模型.也就是說，利用防御系統的涌現行為達到防御DDoS的目標.

3) 其他面向涌現的防御研究

除了STAMP(STPA)和基于多agent的仿真模擬實驗工具，很多研究者從其他角度入手提出了很多實用的研究工具，例如文獻[29,53]的工作.

文獻[53]將工控系統視為信息物理系統(CPS)的典型例子，嘗試用系統化的方法為其解決安全問題.它提出的解決方案是一個多層的網絡空間安全保護架構，具有靈活的結構和彈性智能，能夠為工控系統制定網絡空間安全保護策略.

文獻[29]將關注點放在更大、更復雜的系統上——由多個CPS組成的系統CPSoS，它提出了一種“面向涌現”的系統設計方法，能夠為CPSoS威脅分析提供支持，以發現CPSoS中的涌現式安全威脅.

針對安全多方計算[93]、惡意軟件傳播[72,116-117]、手機組件通信[118]等的涌現現象和其他相關內容[119-120]，研究者們也對相應的解決方案進行了探討.

3.4.2 利用涌現進行防御

網絡空間安全涌現性研究已從分析和控制涌現現象向前邁進了一步，即利用涌現特性來進行網絡空間安全防御：一方面檢測攻擊，一方面部署防御，如文獻[52,97,121]的工作.

在攻擊檢測方面，文獻[52,121]的工作是有益的嘗試.在移動無線傳感器網絡中，節點劫持攻擊(node-capture attack)是很多進一步攻擊的重要基礎.由于無線傳感器網絡設備數量龐大、性能低、安全性差、無人看管的特性，攻擊者很容易對某個設備節點進行劫持.一旦劫持成功，就有可能對其內容進行任意篡改，從而進一步發動女巫攻擊、自我推薦攻擊、誹謗攻擊等形式的攻擊.文獻[121]提出了一種利用移動無線傳感器網絡的涌現性來檢測節點劫持攻擊的算法.在該算法中，單個節點只跟自己有限數量(常數)的“鄰居”進行交互，但是最終整個網絡的所有節點都能夠知道哪一些節點已經被劫持了.也許是因為無線傳感器網絡的獨有特性給涌現性研究帶來了更多的機會和可能，文獻[52]也將研究的重心放在了無線傳感器網絡中，它要檢測的是節點復制攻擊(node replicas attack).為了達到有效的檢測目的，它將流行病模型應用到了檢測算法中，提出了一種分布式的、隨機化的用于檢測群部署(group-deployed)無線傳感器網絡中節點復制攻擊的算法Discard.與文獻[121]的方案相似，該方案也催生了涌現屬性，即攻擊檢測能力.

文獻[97]嘗試利用涌現特性進行防御部署，它首先對無邊界系統(網絡)中的生存性(survivabi-lity)給出了定義：在攻擊、故障、事故等事件發生時，系統(網絡)仍能及時完成目標和任務的能力.為了保證整體屬性能從組件的交互中涌現出來，它著力于將涌現算法引入到無邊界系統(網絡)中，并給出實現該算法的方法和步驟.這些方法和步驟基本覆蓋了包括鄰居交互、分布式信息、協議、環境在內的所有要素以及包括設計策略、實際考量、性能邊界在內的所有步驟，具有重要的參考價值.

總而言之，從已有的工作中可以看出：網絡空間安全涌現性研究已經形成了一定的規模，取得了很多重要的成果，但是，總的來說仍然不是一個足夠成熟的研究領域，還有很大的發展空間.

4 未來研究方向

縱觀當前的發展狀況，下面探討今后應該如何進一步從涌現的視角研究網絡空間安全問題，討論從理論基礎、基本模型和實用工具3個方面展開.

4.1 理論基礎

首先，既然是研究系統的涌現問題，那就必須從系統出發，必須擁有系統化思維，學會從系統、整體的角度思考問題.文獻[20]指出，必須擁有系統化思維，才有可能解決由多個部件組合起來并相互作用所產生的新的安全問題.系統化思維在很多領域都受到了重視[122-123]，比如文獻[123]用系統化的思維和模型解決工作場所人身安全的問題，其中有關系統化思維和層級結構的思想具有很好的參考價值.

要想正確認識并有效運用系統化思維，很有必要了解系統科學理論的基本思想.涵蓋復雜性理論的系統科學理論在工程[124]、醫學[125]等多個領域得到了廣泛的應用.文獻[23]指出，傳統的安全設計與分析手段在遏制漏洞利用和網絡攻擊事件發生的范圍和頻率方面已經顯得十分乏力，而基于復雜性理論的新方法卻在理解和解決網絡安全問題的根本原因方面顯得非常有潛力.文獻[18]也認為，由于可幫助人們加深對技術、人類、社會之間的復雜交互的理解，復雜性理論有望為網絡空間安全研究提供重要的理論支撐.文獻[126]介紹了如何利用系統科學理論解決實際系統中的問題并給出了一些思路和工具.雖然沒有特別針對網絡空間安全中的問題，但是思路、方法和工具都是通用的，能夠在一定程度上為研究者提供參考.

作為復雜系統中的一種重要表現形式，復雜網絡也在網絡空間中占有極為重要的一席之地，因為，無論是傳統的互聯網，還是新型的物聯網或軟件定義網絡(soft-defined network, SDN)，其形式都是網絡，屬于復雜網絡.所以，通過了解復雜網絡的理論和研究模型、工具，可以增進對復雜網絡的理解和認識，可以知道自組織網絡是如何形成和發展的[127]，可以分析復雜網絡的層級結構[74]，可以獲知復雜網絡可能會涌現出哪些性質[45]，可以了解互聯網這類典型復雜網絡的復雜性體現在哪里[49]，也可以知道該用什么樣的理論和模型來對特定的網絡進行研究和分析[127]等.這樣一來，就能夠分析什么樣的網絡拓撲才是最“安全”的[45]，也有可能在計算機病毒傳播早期通過在關鍵節點上部署防御措施以防止病毒進一步擴散.

當然，在計算機病毒傳播這個典型的網絡空間安全案例中，起關鍵作用的不只有網絡拓撲和防御措施，最核心的內容應當是網絡空間安全動力學，即什么樣的攻防交互會導致網絡空間狀態產生什么樣的變化.文獻[50]介紹了一些有關復雜網絡動力學的研究.基于上述研究，文獻[109]給出了網絡空間安全動力學的概念，此后，其作者利用形式化證明的方法開展了進一步研究[101-104]，取得了非常不錯的成果.

值得一提的是，形式化方法對于網絡空間安全理論研究(包括涌現性在內)的重要性也得到了文獻[17,128]等的認同.

4.2 基本模型

文獻[127]介紹了一系列用于研究復雜網絡進化特征的模型，并討論了如何基于這些模型進行仿真分析.這些模型主要有：隨機網絡模型、小世界模型、無標度模型以及具有優先鏈接(preferential linking)的非無標度模型等.

上述模型都是比較通用的復雜網絡動力學模型，就網絡空間安全研究而言，其優點是具有一定的普適性，其缺點是缺乏網絡空間安全的針對性.應對這種局面，一方面，3.2.2節提供的很多基于攻防交互的網絡空間安全動力學模型可作借鑒；另一方面，相比于上述模型，用于研究病毒(包括生物病毒和計算機病毒)傳播動力學的傳染病模型(比如文獻[8]中的模型)的應用歷史更久遠、應用范圍也更廣闊.早在2001年，基于傳染病模型，文獻[36]就發現了計算機病毒的傳播規律，即無論傳播速率是多少，計算機病毒都能在類似互聯網這樣的無標度網絡上有效傳播.隨后，隨著移動網絡的逐漸興起和飛速發展，文獻[34-35,72,112,116]等將傳染病模型應用到移動網絡的病毒(惡意軟件)傳播動力學研究中，并取得了很好的成效.值得一提的是，傳染病模型實際上也只是一個統稱，還可以進一步細分為很多針對特定問題的小模型，關于這些小模型的種類和特征，可以在文獻[32,70]中找到更多的細節.

除了傳染病模型之外，還有一些其他的模型也能夠提供一定的參考和輔助.比如文獻[129]提出了一種度量系統復雜性的模型.有了這樣的度量模型，就可以發現系統的結構，也就能夠對涌現現象進行一定程度的量化.

4.3 實用工具

在3.4.1節中，我們已展示了一些基于多agent仿真模擬實驗平臺和STAMP(STPA)及其衍生物的研究工作.這些工作的成果無疑表明，將上述2類工具應用于網絡空間安全涌現性的研究是很有潛能的.因此，本節對這2類工具作更進一步的介紹.

在所有的多agent仿真模擬實驗平臺中，Repast[130]和NetLogo[131]是被使用較多的2種.使用Repast時，可以基于它所提供的庫函數進行創建、運行、展示和收集數據等所有與基于agent的模擬實驗相關的操作，還可以根據需要對agent的行為進行編程.NetLogo也具有類似的功能，它是一種多agent的編程語言和模擬實驗環境，能夠用于對復雜系統進行仿真實驗研究.比較獨特的是，它是一套開源的工具.由于功能的相似性以及二者的各有所長，二者的使用量基本處于勢均力敵的狀態.除了上述這些工具之外，文獻[115]所設計的“捉迷藏”仿真模擬實驗平臺Medusa也可以作為一個候選工具.

關于STAMP(STPA)在網絡空間安全領域的衍生物，受到較多關注的應當是由原團隊設計實現的STAMP-sec(STPA-sec)[38].它主要針對系統的控制環節，能夠識別出其中會導致安全漏洞的控制，并對這些控制施加約束.此外，解決類似問題的工具還有STRIDE[40]和CAST[111].另外，考慮到盡管STPA應用廣泛，覆蓋了包括海軍[10]、港口安全[11]、無人駕駛[12]、隱私保護[13]等在內的多個領域，但如何使用STPA很大程度上仍然是一個“具體問題具體分析”(ad hoc)的過程，沒有嚴格的程序規范來對該分析過程進行指導.針對這個問題，文獻[132]提出了一個很好的解決方案：首先，定義了STPA的形式化結構，并設計實現了一種基于該結構的系統化執行STPA分析的工具；其次，設計實現了使用上述分析工具所產生的結果來生成系統和軟件需求的工具.這2種工具可以指導研究者如何使用STPA.另外，致力于分析工程安全(safety)和網絡空間安全(security)之間的聯系與交互所導致的問題的工具SAFE和STPA-SafeSec能夠將系統硬件組件的狀態同它們的安全影響聯系起來，從而可以在事故發生時幫助安全人員更快定位到問題來源，更有針對性地解決問題.

根據文獻[1]的觀點，STAMP(STPA)及其衍生物對系統控制能力的要求比較高，比較適合軍事、政府、工業這類層級結構和控制結構都很明確的場景，而面對很多控制力較弱的商用場景就會稍顯乏力(比如消費者的行為就是很難以控制的一個重要因素).因此，在使用這類工具的時候，應當更加注意其適用性.另外，期待未來會出現更多針對商用場景的系統化分析工具.

5 結 語

本文以提升對網絡空間安全涌現性的認識和促進新思想、新理論的發展為目標，討論了在網絡空間安全領域研究涌現現象的意義，并回顧了涌現理論自身的含義與研究狀況；借助若干典型案例，從涌現性的視角對網絡空間安全所面臨的挑戰進行了全面考察；簡要地梳理了網絡空間安全涌現性研究的發展歷程，并按照研究的主題和深度對其進行了系統化的分類和闡釋；圍繞著“可以采用哪些理論、模型和工具開展進一步的研究工作”這一主題，分析了目前工作的不足并嘗試提出了未來的發展方向.

誠然，本文的工作仍然處于網絡空間安全研究的初級階段.但是，我們希望該項工作能夠激發對涌現式安全思想的共鳴，能夠喚起對網絡空間安全涌現性的重視.我們也希望該項工作的成果有助于系統地認識網絡空間涌現式安全問題研究的發展狀況和未來趨勢，為今后的進一步研究和問題的解決建立良好的基礎.