屈蕾蕾 肖若瑾 石文昌 梁 彬 秦 波

(中國人民大學(xué)信息學(xué)院 北京 100872)

涌現(xiàn)性(emergence)是網(wǎng)絡(luò)空間安全所具有的天然屬性[1-3]，換言之，網(wǎng)絡(luò)空間的安全性是一種涌現(xiàn)屬性.不正確認(rèn)識(shí)和充分了解涌現(xiàn)屬性就不可能妥善解決網(wǎng)絡(luò)空間的安全問題[4-5].

涌現(xiàn)現(xiàn)象在自然界和現(xiàn)實(shí)社會(huì)中隨處可見.涌現(xiàn)性的通俗解釋是整體大于部分之和.涌現(xiàn)屬性的概念在生物學(xué)、物理學(xué)、經(jīng)濟(jì)學(xué)和社會(huì)學(xué)等領(lǐng)域都得到很好的應(yīng)用.涌現(xiàn)現(xiàn)象在網(wǎng)絡(luò)空間中也客觀存在，隨著物聯(lián)網(wǎng)(Internet of things, IoT)等的發(fā)展，涌現(xiàn)現(xiàn)象的出現(xiàn)更加頻繁和明顯，使人們在網(wǎng)絡(luò)空間中面臨的挑戰(zhàn)(包括安全挑戰(zhàn))變得更加嚴(yán)峻[6-7].

若想獲得對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)性的認(rèn)知，就需要嘗試從涌現(xiàn)的角度考察網(wǎng)絡(luò)空間安全問題.目前，對(duì)于復(fù)雜系統(tǒng)的涌現(xiàn)性，盡管仍然沒有“完美”的解決方案[1]，但是研究人員已經(jīng)提出了不少可以在一定程度上分析、控制乃至利用涌現(xiàn)性的理論和工具，比如用于復(fù)雜網(wǎng)絡(luò)中病毒傳播建模的傳染病模型[8]和基于系統(tǒng)理論的系統(tǒng)設(shè)計(jì)與分析模型[9]等.這些模型和工具在分析和控制涌現(xiàn)現(xiàn)象方面有著很好的表現(xiàn)，在多個(gè)科學(xué)領(lǐng)域都得到了廣泛的應(yīng)用[9-13].

認(rèn)識(shí)網(wǎng)絡(luò)空間安全的涌現(xiàn)性不僅有助于解決某些具體的安全問題，還有助于建立網(wǎng)絡(luò)空間安全科學(xué)的理論基礎(chǔ).長久以來，由于網(wǎng)絡(luò)空間甚至計(jì)算機(jī)系統(tǒng)的復(fù)雜性，人們很難做到對(duì)系統(tǒng)的威脅與漏洞有足夠充分的了解.因此導(dǎo)致在攻防博弈中，防御者總是處于“建立系統(tǒng)→被攻破→打補(bǔ)丁→再次被攻破”的循環(huán)中(即所謂的cyber cycle)，始終處于被動(dòng)地位[14].如何才能化被動(dòng)為主動(dòng)、從設(shè)計(jì)之初就建立“安全的”系統(tǒng)呢？不少研究者[14-21]達(dá)成了一個(gè)基本共識(shí)，即建立網(wǎng)絡(luò)空間安全科學(xué)(science of cybersecurity).他們認(rèn)為，應(yīng)當(dāng)在科學(xué)方法的指導(dǎo)下開展網(wǎng)絡(luò)空間安全研究，獲取具有普適性的結(jié)論與思想，而不能總像從前那樣“頭痛醫(yī)頭，腳痛醫(yī)腳”(即“ad hoc”辦法)[16-21].如果網(wǎng)絡(luò)空間安全能夠遵循科學(xué)的發(fā)展道路，那就有希望科學(xué)地分析和預(yù)測網(wǎng)絡(luò)空間的行為，從而從根源上防止漏洞的產(chǎn)生和抵御攻擊事件的破壞[22].

那么，如何才能建立網(wǎng)絡(luò)空間安全科學(xué)呢？引入和借鑒其他成熟的科學(xué)領(lǐng)域的理論和研究成果是一個(gè)很好的思路，得到了很多研究者[1,14,17-23]的認(rèn)可.備受關(guān)注的思想和方法有形式化方法[17,20]、系統(tǒng)科學(xué)方法[1,18,23]和實(shí)驗(yàn)科學(xué)方法[17,19-20]等.其中，蘊(yùn)含在系統(tǒng)科學(xué)之中的復(fù)雜性理論表現(xiàn)得尤為突出.因?yàn)?，借鑒復(fù)雜性理論在分析和解決系統(tǒng)復(fù)雜性問題方面的大量研究與成果，也許有助于在分析和解決網(wǎng)絡(luò)空間安全的復(fù)雜性、設(shè)計(jì)“安全”的系統(tǒng)、打破cyber cycle等方面有所突破，從而為網(wǎng)絡(luò)空間安全科學(xué)的建立奠定良好的基礎(chǔ)[14,23-24].

近些年來，網(wǎng)絡(luò)空間安全領(lǐng)域已有不少研究人員[1,18,22-30]意識(shí)到了復(fù)雜性理論特別是涌現(xiàn)理論對(duì)于網(wǎng)絡(luò)空間安全研究的重要性，試圖將一些復(fù)雜性科學(xué)領(lǐng)域已有的研究模型和工具引入安全領(lǐng)域.例如，將傳染病模型應(yīng)用于對(duì)惡意軟件傳播機(jī)制的研究[31-37]、擴(kuò)展工程安全(safety)模型以用于解決網(wǎng)絡(luò)空間安全(security)的問題[38-42]，取得了一定的成效.這些工作揭示了開展網(wǎng)絡(luò)空間安全涌現(xiàn)性相關(guān)研究的重要意義和良好前景.

然而，與復(fù)雜的網(wǎng)絡(luò)空間和嚴(yán)峻的涌現(xiàn)式安全挑戰(zhàn)相比，人們對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象的認(rèn)識(shí)仍然處于初級(jí)階段，還需要更多的新思想、新理論去解決更多更復(fù)雜的網(wǎng)絡(luò)空間安全涌現(xiàn)性問題.而且，已有的工作也大多局限于解決特定的涌現(xiàn)問題，未能就網(wǎng)絡(luò)空間安全的涌現(xiàn)性及其相關(guān)問題研究給出系統(tǒng)化、體系化的詮釋，尚缺乏復(fù)雜系統(tǒng)研究所需擁有的“全局觀”.針對(duì)這種局面，本文從涌現(xiàn)現(xiàn)象的視角對(duì)網(wǎng)絡(luò)空間安全挑戰(zhàn)以及已有的應(yīng)對(duì)方法進(jìn)行系統(tǒng)化的研究和梳理，分析存在的不足，并提出未來的研究方向.

1 網(wǎng)絡(luò)空間安全的涌現(xiàn)性

為研究網(wǎng)絡(luò)空間的涌現(xiàn)式安全問題，必須了解涌現(xiàn)式安全性的基本思想，這個(gè)任務(wù)的完成應(yīng)該從涌現(xiàn)性的本意及其發(fā)展?fàn)顩r入手.

1.1 網(wǎng)絡(luò)空間安全涌現(xiàn)性研究

如果網(wǎng)絡(luò)空間安全問題有規(guī)律可循，那么應(yīng)對(duì)起來一定會(huì)更加得心應(yīng)手.提及一般規(guī)律，自然會(huì)想起系統(tǒng)科學(xué)，因?yàn)?，系統(tǒng)科學(xué)對(duì)自然界和現(xiàn)實(shí)社會(huì)中的一般現(xiàn)象以及事物發(fā)展的一般性規(guī)律進(jìn)行研究，尋找最具普適性的規(guī)律.系統(tǒng)科學(xué)研究與很多其他科學(xué)領(lǐng)域的研究密切相關(guān)，例如，醫(yī)學(xué)中的群體免疫[43]、生物學(xué)中的種群進(jìn)化[44]、物理學(xué)中的統(tǒng)計(jì)力學(xué)[45]等.這些方面的研究既是系統(tǒng)科學(xué)理論的源泉也得益于系統(tǒng)科學(xué)理論的發(fā)展，尤其是其中的復(fù)雜性理論.相比之下，系統(tǒng)科學(xué)理論的作用在網(wǎng)絡(luò)空間安全領(lǐng)域還沒有得到充分發(fā)揮[1].但另一方面，網(wǎng)絡(luò)空間是復(fù)雜的，具有復(fù)雜系統(tǒng)的很多特性，涌現(xiàn)性就是其中之一，復(fù)雜系統(tǒng)理論理應(yīng)在網(wǎng)絡(luò)空間中發(fā)揮更多的積極作用，特別是在應(yīng)對(duì)棘手的安全問題方面.

網(wǎng)絡(luò)空間是一個(gè)遍及全球的大型復(fù)雜系統(tǒng)，其中的安全涌現(xiàn)現(xiàn)象隨處可見：從惡意軟件傳播到DDoS(distributed denial of service)攻擊[46-47]，從跟蹤網(wǎng)絡(luò)的隱私獲取能力到口令重用所帶來的巨大危害.不難看出，涌現(xiàn)性這一特性給網(wǎng)絡(luò)空間安全研究帶來了巨大的影響和挑戰(zhàn).物聯(lián)網(wǎng)、云計(jì)算、普適計(jì)算的發(fā)展給網(wǎng)絡(luò)空間增添了大量的新型設(shè)備和新型交互方式，使得網(wǎng)絡(luò)空間的復(fù)雜程度進(jìn)一步提升.同時(shí)，大數(shù)據(jù)和人工智能技術(shù)的發(fā)展賦予了很多設(shè)備更強(qiáng)的學(xué)習(xí)和交互能力，使得設(shè)備的行為變得更加難以預(yù)料.以智能家居場景為例，在該場景中，用戶家中裝有大量可以獲取隱私信息的物聯(lián)網(wǎng)設(shè)備，盡管我們也許可以確保每個(gè)設(shè)備只獲得它應(yīng)當(dāng)獲得的信息(當(dāng)然，這已很難做到)，但是我們很難確保多個(gè)設(shè)備不會(huì)“串通”起來通過它們已有的信息分析出它們本不該獲得的隱私信息.這樣的行為就屬于典型的涌現(xiàn)行為，在實(shí)際攻擊發(fā)生之前，我們很難對(duì)其做出預(yù)測并提前部署防御措施，自然就更別提解決了.

現(xiàn)有的網(wǎng)絡(luò)空間安全技術(shù)手段和解決方法大多集中關(guān)注單個(gè)節(jié)點(diǎn)的安全分析與防護(hù)，很少關(guān)注“交互”所帶來的安全問題，就更別說系統(tǒng)化地研究安全問題了.當(dāng)然，必須承認(rèn)，這些方法的確很出色地解決了某些安全問題，比如說檢測軟件漏洞和防止病毒入侵，但是一旦遇到稍大規(guī)模的系統(tǒng)，這些方法就力不從心.進(jìn)一步而言，面對(duì)當(dāng)前日益嚴(yán)峻的網(wǎng)絡(luò)空間安全態(tài)勢，考慮到網(wǎng)絡(luò)空間安全天然的復(fù)雜性，現(xiàn)有的安全解決方案在處理大規(guī)模系統(tǒng)安全問題和遏制漏洞利用及網(wǎng)絡(luò)攻擊事件方面顯得十分乏力[23].

針對(duì)傳統(tǒng)手段的不足，目前在網(wǎng)絡(luò)空間安全領(lǐng)域已有一些研究者[1,18,25-30,48]提出可以借鑒和引入以涌現(xiàn)為代表的復(fù)雜性科學(xué)研究思想，幫助解決傳統(tǒng)安全方法無法解決的系統(tǒng)安全問題.早在20世紀(jì)90年代就有研究者[49-50]意識(shí)到復(fù)雜網(wǎng)絡(luò)的固有屬性(小世界、無標(biāo)度等)可能會(huì)對(duì)安全研究造成的影響；2010年之后，陸續(xù)有一些研究提出從涌現(xiàn)的角度研究跟蹤網(wǎng)絡(luò)、DDoS攻擊、洋蔥路由以及口令重用現(xiàn)象[1,28,51]等；在2015年以后，出現(xiàn)了一波利用系統(tǒng)化設(shè)計(jì)思路和方法嘗試“控制”網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象(涌現(xiàn)威脅)的“熱潮”[13,29,33,37,52-53].這些工作提出了進(jìn)行網(wǎng)絡(luò)空間安全涌現(xiàn)性研究的一些思路和方法，也展現(xiàn)了進(jìn)一步研究的前景.但是，與網(wǎng)絡(luò)空間中浩如煙海的涌現(xiàn)現(xiàn)象相比，這方面的研究還遠(yuǎn)遠(yuǎn)不足.總的來說，在網(wǎng)絡(luò)空間安全領(lǐng)域，涌現(xiàn)現(xiàn)象及其相關(guān)的研究依然沒有得到足夠的重視.畢竟，借鑒以涌現(xiàn)性為突出特征的復(fù)雜系統(tǒng)的研究思想和成果不僅可以幫助解決一些長久以來的疑難問題，還能夠幫助建立網(wǎng)絡(luò)空間安全科學(xué).

許多研究者[1,17-18,20,23,30]認(rèn)為，引入以復(fù)雜性理論為代表的系統(tǒng)科學(xué)理論是建立網(wǎng)絡(luò)空間安全科學(xué)的重要條件.以科學(xué)理論為支撐，有助于尋找解決安全問題的根本之道，“設(shè)計(jì)”出安全的系統(tǒng)，而不再總是處于攻防博弈中的被動(dòng)地位[14].在復(fù)雜系統(tǒng)研究的眾多方向之中，涌現(xiàn)性研究對(duì)于安全領(lǐng)域而言具有更為特別的意義.因?yàn)楝F(xiàn)有工作難以排除的漏洞和難以防御的攻擊很大概率上就是從系統(tǒng)各個(gè)組件之間的復(fù)雜交互之中形成的涌現(xiàn)效應(yīng)[1].從這一點(diǎn)上講，我們認(rèn)為，涌現(xiàn)性研究在網(wǎng)絡(luò)空間的系統(tǒng)的整個(gè)生命周期[54]中都具有極為顯著的積極意義，有助于從系統(tǒng)生命周期的各個(gè)環(huán)節(jié)著手應(yīng)對(duì)涌現(xiàn)式安全威脅的破壞.另外，已有工作[27]也表明，在網(wǎng)絡(luò)空間中，可以利用涌現(xiàn)特性進(jìn)行安全防御，也就是說，可以為系統(tǒng)打造具有涌現(xiàn)效應(yīng)的安全防御能力.

總而言之，無論是對(duì)學(xué)術(shù)研究還是對(duì)實(shí)際系統(tǒng)開發(fā)，研究網(wǎng)絡(luò)空間安全中的涌現(xiàn)現(xiàn)象都有著十分重要的積極意義.為了能更好地幫助理解涌現(xiàn)現(xiàn)象研究的重要思想，下面結(jié)合涌現(xiàn)概念的形成與發(fā)展探討在安全領(lǐng)域研究涌現(xiàn)現(xiàn)象的思路和方向.

1.2 涌現(xiàn)概念的形成與發(fā)展

若要對(duì)涌現(xiàn)屬性有一個(gè)初步的認(rèn)知，很有必要了解復(fù)雜系統(tǒng).從字面意義上來看，“復(fù)雜系統(tǒng)”通常意味著一個(gè)比其他系統(tǒng)更難以描述和理解的系統(tǒng)，這種系統(tǒng)往往：1)含有大量組件；2)各組件之間存在大量復(fù)雜交互[44,55-57].上述2點(diǎn)確實(shí)是復(fù)雜系統(tǒng)的重要特征與必要條件，但是還不夠充分.事實(shí)上，系統(tǒng)科學(xué)領(lǐng)域并沒有就復(fù)雜系統(tǒng)的嚴(yán)格定義達(dá)成共識(shí)[44].然而，這也并不意味著我們對(duì)于辨別復(fù)雜系統(tǒng)束手無策，長久以來的相關(guān)研究總結(jié)了復(fù)雜系統(tǒng)的一些行為特征，可以作為復(fù)雜系統(tǒng)的判據(jù).復(fù)雜性理論和非線性科學(xué)的先驅(qū)Holland[44]認(rèn)為復(fù)雜系統(tǒng)具有4個(gè)典型的行為特征：

1) 自組織性(self-organization).在沒有中心控制結(jié)構(gòu)的情況下，系統(tǒng)會(huì)自主地形成一定的模式(pattern)，比如鳥群和魚群的形成.

2) 混沌行為(chaotic behavior).初始條件的微小改變會(huì)對(duì)系統(tǒng)的行為造成極大的改變，這就會(huì)使得人們很難以預(yù)料系統(tǒng)最終的走向，比如說多變的天氣就是一個(gè)很典型的示例.

3) “肥尾”行為(“fat-tailed” behavior).一般意義所認(rèn)為的小概率事件的發(fā)生往往會(huì)比我們預(yù)想的更為頻繁，例如各種經(jīng)濟(jì)、政治、生態(tài)上的災(zāi)難性事件.

4) 適應(yīng)性交互(adaptive interaction).復(fù)雜系統(tǒng)中的元素根據(jù)周圍環(huán)境的改變對(duì)自身行為做出適應(yīng)性改變，例如股市交易中的股民根據(jù)股價(jià)的變化買進(jìn)或賣出.

雖然沒有出現(xiàn)在復(fù)雜系統(tǒng)的上述行為特征列表上，但涌現(xiàn)性是復(fù)雜系統(tǒng)中最重要的特征之一.正如復(fù)雜系統(tǒng)本身的定義一樣，涌現(xiàn)性也沒有一個(gè)被廣為接受的正式定義[58]，復(fù)雜性科學(xué)研究的不同階段、不同方向?qū)λ胁煌慕忉?一部分研究者[59]認(rèn)為，涌現(xiàn)性實(shí)質(zhì)上就是一種“整體大于部分之和”的過程和行為，即系統(tǒng)中各個(gè)組件之間的交互使得整個(gè)系統(tǒng)產(chǎn)生了不能靠組件的簡單加總來得到的特征和行為.根據(jù)文獻(xiàn)[60]的總結(jié)，涌現(xiàn)現(xiàn)象可歸結(jié)為具有以下特征的微-宏觀效應(yīng)(micro-macro link)現(xiàn)象：系統(tǒng)局部組件之間的交互產(chǎn)生了新的系統(tǒng)全局行為，即由微觀效應(yīng)產(chǎn)生了新的宏觀現(xiàn)象.而文獻(xiàn)[61-62]則認(rèn)為涌現(xiàn)性就是那些無法通過系統(tǒng)模型得出和理解的特征和行為.這些定義的出發(fā)點(diǎn)不同，理解的角度也不一樣，但是卻都可以歸結(jié)到一個(gè)點(diǎn)：涌現(xiàn)性是一種全局的、系統(tǒng)的特征，是不能通過簡單分析系統(tǒng)單個(gè)組件得到.

當(dāng)然，本文無意參與涌現(xiàn)性定義的學(xué)術(shù)爭論.考慮到各種定義之間也有共通之處，本文綜合Simon[59,63]和Holland[44]的看法，即涌現(xiàn)性指的是：1)系統(tǒng)組件的交互使得系統(tǒng)產(chǎn)生了組件的簡單加總所無法得到的行為；2)這種行為可以從復(fù)雜系統(tǒng)層級(jí)結(jié)構(gòu)的角度加以解釋，某一層級(jí)的聚合成為上一層級(jí)的涌現(xiàn)屬性的“基礎(chǔ)材料”.但是我們同樣也發(fā)現(xiàn)，使用這種定義作為涌現(xiàn)性的判據(jù)還是存在過于粗粒度的問題，仍然需要一些更加細(xì)化的判據(jù)來判斷系統(tǒng)的涌現(xiàn)現(xiàn)象.為此，從上述定義出發(fā)，我們采納文獻(xiàn)[27,60,64]等所提出的涌現(xiàn)現(xiàn)象判據(jù)，并將其總結(jié)為5條判據(jù)：

1) 可加性判據(jù).系統(tǒng)的整體涌現(xiàn)特征不是其組件特征的簡單加總.

2) 新奇性判據(jù).系統(tǒng)整體涌現(xiàn)特征與其組件具有的特征屬于完全不同的種類.

3) 可演繹性判據(jù).無法根據(jù)系統(tǒng)單個(gè)組件的特征推導(dǎo)和預(yù)測出系統(tǒng)的整體涌現(xiàn)特征.

4) 系統(tǒng)出現(xiàn)宏觀構(gòu)型或已有宏觀構(gòu)型發(fā)生改變.

5) 當(dāng)系統(tǒng)網(wǎng)絡(luò)拓?fù)涞亩确植继卣鳚M足冪律分布時(shí)，認(rèn)為系統(tǒng)達(dá)到自組織臨界狀態(tài)，此時(shí)涌現(xiàn)發(fā)生.

上述判據(jù)中的第5條判據(jù)與其他4條判據(jù)是有區(qū)別的，它涉及到涌現(xiàn)性的一個(gè)重要特征，即冪律分布.由此可見，涌現(xiàn)性的一些典型特征可以幫助我們判斷涌現(xiàn)現(xiàn)象的發(fā)生.我們通過圖1總結(jié)了涌現(xiàn)性的一些常見特征.為了更加直觀地體現(xiàn)網(wǎng)絡(luò)空間安全的涌現(xiàn)性，我們在圖1中提供了這些特征在網(wǎng)絡(luò)空間安全中的映射.

1.3 涌現(xiàn)性研究的現(xiàn)狀與意義

通過1.2節(jié)對(duì)涌現(xiàn)性概念的分析，我們可以發(fā)現(xiàn)，涌現(xiàn)性往往意味著“出乎意料”，即系統(tǒng)產(chǎn)生了計(jì)劃外的行為，超出了設(shè)計(jì)、開發(fā)、運(yùn)行和維護(hù)人員的控制范圍.這就體現(xiàn)了研究涌現(xiàn)性的意義所在，如果能透過現(xiàn)象看本質(zhì)，了解產(chǎn)生涌現(xiàn)現(xiàn)象的背后機(jī)理，就有希望在問題發(fā)生時(shí)很快找到問題的來源，也能通過預(yù)測系統(tǒng)的行為預(yù)防問題的產(chǎn)生，還可以控制涌現(xiàn)現(xiàn)象發(fā)生的程度，甚至還有可能利用涌現(xiàn)性來“設(shè)計(jì)”出我們想要的涌現(xiàn)現(xiàn)象.

那么，如何著手研究本就非常復(fù)雜的涌現(xiàn)現(xiàn)象呢？文獻(xiàn)[61]認(rèn)為可以從定義、要素、應(yīng)用和限制4個(gè)方面入手，并提供了一些研究指導(dǎo).首先基于不同的反饋類型和因果關(guān)系對(duì)已有的涌現(xiàn)現(xiàn)象進(jìn)行分類，這有助于了解涌現(xiàn)現(xiàn)象發(fā)生的背后機(jī)理.也可以從這些已有的現(xiàn)象中歸納出涌現(xiàn)性的一些要素，從而對(duì)在什么樣的情況下會(huì)發(fā)生涌現(xiàn)現(xiàn)象有一個(gè)大致的了解.盡管很難擁有類似物理學(xué)中的微積分那樣強(qiáng)有力的研究和預(yù)測工具，但還是可以基于已有的分類對(duì)涌現(xiàn)性進(jìn)行一定程度的度量，還可以基于涌現(xiàn)性要素對(duì)系統(tǒng)將要出現(xiàn)的涌現(xiàn)行為做出大致的判斷.這樣，就可以試著通過微觀、底層、組件的行為“設(shè)計(jì)”出宏觀、高層、整體的涌現(xiàn)行為，也可以著力控制那些負(fù)面的涌現(xiàn)現(xiàn)象與行為.當(dāng)然，涌現(xiàn)性的研究與應(yīng)用也是有邊界的，必須對(duì)涌現(xiàn)性研究與應(yīng)用的適用場景與范圍有足夠的了解，才能確保在合適的場景使用合適的工具.下面對(duì)涌現(xiàn)性的應(yīng)用作進(jìn)一步介紹.

CharacteristicInterpretationExamples in Daily LifeExamples in CybersecurityPower-lawDistribution(also knownas Scale-freeNetworks)1) Mathematical treatment: The probability density function of variable x is f(x)=αx-r(α>0,r>0)2) Another treatment: The scales of most individuals are small, and only a few individuals have enormous scales.1) Zipf s law: In the natural language corpus, the number of occurrences of a word is inversely proportional to its ranking in the frequency table.2) Matthew effect: The stronger is getting stronger, and the weaker is getting weaker.1) Degree distribution: Only a few nodes have a high degree (these nodes are often called Hub), and others only have a small degree. The attacker only needs to focus on those Hub nodes to gain control of the net-work.2) Preferential linking: Newly added network nodes will also be preferentially linked to those Hub nodes, making the importance of the Hub nodes even more enhanced.Feedback Loop(also known as Micro-Macro Link)Component behaviors affect system behaviors and are influenced by system behaviors, vice versa, which creates a feedback loop.Stock market: The buying∕selling be-haviors of investors make a big differ-ence in the stock price.But in reverse, the rise and fall of the stock price will significantly affect the decision-making behaviors of investors.Tor: On the one hand, since the anonymity that it provides depends significantly on the number of users, the user s decisions about whether to use can affect the degree of ano-nymity.On the other hand, the degree of anonymity also affects users choices about whether to use it.NonlinearityIf we consider the system behavior we care about as a dependent variable f(x), as the independent variable x changes, f(x) must change rapidly in a nonlinear manner.Biological virus propagation:As the number of infected people increases, the infection rate and range will grow increasingly, and the number of newly infected people per unit of time shows a typical non-linear growth characteristic.Computer virus propagation: As for the In-ternet, because of the high connectivity and the nonexistent need for physical "contact" of network nodes, computer viruses spread much faster and more widely than biological viruses.DistributedControlSystems that exhibit typical emergent phenomena often do not have central control nodes.For them, control is of-ten dispersed to a significant number of nodes (components), which means greater autonomy.Biosphere: Obviously, there is no cen-tral control in the biosphere that con-trols the behavior of each organism so that each organism can act on its own.Password system: As a typical human-cen-tered computer system, there is no control in the password system for human users.

Fig. 1 The characteristics of emergence and typical examples圖1 涌現(xiàn)的特征及示例

涌現(xiàn)性的應(yīng)用主要可分為設(shè)計(jì)和控制.“設(shè)計(jì)”通常意味著“設(shè)計(jì)我們想要的涌現(xiàn)現(xiàn)象”.在系統(tǒng)的設(shè)計(jì)過程中，系統(tǒng)組件(微觀)的特征與行為是已知的，我們所要做的就是基于這些已知的微觀要素來“設(shè)計(jì)”出我們想要的涌現(xiàn)現(xiàn)象.這個(gè)問題涉及到微-宏觀效應(yīng)(micro-macro link)問題，事實(shí)上，這個(gè)問題稱得上是涌現(xiàn)性研究中最核心也是最困難的問題.盡管仍然沒有確切的解決方案，但是研究者[60-61,65]在思路和方向上基本達(dá)成了共識(shí)：結(jié)合自頂向下(top-down)的系統(tǒng)設(shè)計(jì)方法和自底向上(bottom-up)的仿真模擬實(shí)驗(yàn)方法，通過不斷地進(jìn)行循環(huán)迭代實(shí)驗(yàn)來達(dá)到最終的目的.在具體的施行過程中，研究和設(shè)計(jì)者應(yīng)當(dāng)始終堅(jiān)持“全局觀”，始終把想要獲得的涌現(xiàn)現(xiàn)象作為系統(tǒng)設(shè)計(jì)的目標(biāo)，通過分析這個(gè)目標(biāo)找到相關(guān)聯(lián)的系統(tǒng)組件，然后對(duì)這些組件的特征和行為進(jìn)行設(shè)計(jì)和控制；緊接著進(jìn)入仿真模擬階段，通過仿真模擬平臺(tái)運(yùn)行這個(gè)系統(tǒng)，檢查系統(tǒng)的整體行為是否符合預(yù)期設(shè)計(jì)目標(biāo)，如果不符合的話，再對(duì)組件的行為進(jìn)行修改，一直循環(huán)以上過程直到滿足預(yù)期.

與“設(shè)計(jì)”相反的是，“控制”一般意味著“控制我們不想要的涌現(xiàn)現(xiàn)象”.而與“設(shè)計(jì)”類似的是，“控制”同樣也很困難，因?yàn)橛楷F(xiàn)現(xiàn)象天生具有不可預(yù)測性.但是，盡管完全控制和預(yù)測是不可能的，但是仍然可以通過理論分析與仿真模擬對(duì)系統(tǒng)的涌現(xiàn)行為做出大致判斷，至少可以判斷會(huì)發(fā)生什么程度、屬于哪個(gè)分類的涌現(xiàn)現(xiàn)象，有利于提前部署相應(yīng)的防護(hù)措施，控制危害的規(guī)模.以全球氣候系統(tǒng)為例，我們無法精確地預(yù)測天氣情況，但是至少可以做出大致的判斷，這樣也就能在臺(tái)風(fēng)來臨之前告知公眾盡快撤離.同樣，可以在大規(guī)模計(jì)算機(jī)病毒蔓延之前告知用戶盡快安裝防病毒軟件.

總而言之，盡管涌現(xiàn)性的作用不是萬能的，它具有特定的適用性[61]，但是考慮到人類目前對(duì)于復(fù)雜世界的了解十分有限，涌現(xiàn)性研究仍然是深入了解和適應(yīng)世界發(fā)展的強(qiáng)有力途徑.

2 現(xiàn)實(shí)挑戰(zhàn)

根據(jù)關(guān)鍵特征及其在安全研究中的意義，我們將涌現(xiàn)視角下的安全挑戰(zhàn)分為3種類型：攻擊、漏洞和防御.下面結(jié)合現(xiàn)實(shí)案例進(jìn)行考察和分析.

2.1 攻 擊

涌現(xiàn)式攻擊意味著攻擊能力是一種涌現(xiàn)效應(yīng).也就是說，一個(gè)攻擊系統(tǒng)的組件不具有這種攻擊能力，但是當(dāng)多個(gè)組件“協(xié)作”起來構(gòu)成整體攻擊系統(tǒng)時(shí)，該系統(tǒng)就會(huì)產(chǎn)生出一種“不同尋常”、“意想不到”的攻擊能力，其典型代表是DDoS攻擊的破壞能力[66-68]和病毒(惡意軟件)[34-35,69-72]的感染傳播能力.

如果將發(fā)動(dòng)DDoS的網(wǎng)絡(luò)視為一個(gè)系統(tǒng)，那么網(wǎng)絡(luò)中的單個(gè)設(shè)備就是構(gòu)成系統(tǒng)的組件.在這樣的系統(tǒng)中，單個(gè)設(shè)備所能產(chǎn)生的流量是極為有限的，甚至是微不足道的；可以造成大規(guī)模網(wǎng)絡(luò)癱瘓的DDoS攻擊能力是由大量設(shè)備的復(fù)雜通信和交互而產(chǎn)生的整體效應(yīng)，即涌現(xiàn)效應(yīng)(見圖2所示).事實(shí)上，即使我們對(duì)每個(gè)組件的所有軟硬件都進(jìn)行透徹的分析，也很難由此預(yù)料到攻擊效果.尤其是隨著通過社交網(wǎng)絡(luò)等新型網(wǎng)絡(luò)進(jìn)行控制和通信的DDoS變種相繼出現(xiàn)，實(shí)時(shí)處理和提前防御此類攻擊變得更難以進(jìn)行.

Fig. 2 Emergent DDoS attacking capabilities圖2 涌現(xiàn)式DDoS攻擊能力

與DDoS的攻擊能力相似的是，病毒(惡意軟件)的感染傳播能力也是一種典型的涌現(xiàn)現(xiàn)象.在這種場景下，組件是單個(gè)具有網(wǎng)絡(luò)通信能力的設(shè)備(網(wǎng)絡(luò)節(jié)點(diǎn))，而系統(tǒng)則是這些節(jié)點(diǎn)通過互聯(lián)所構(gòu)成的復(fù)雜網(wǎng)絡(luò).層出不窮的大規(guī)模病毒攻擊事件告訴我們，由于互聯(lián)網(wǎng)高度互聯(lián)的特性，計(jì)算機(jī)病毒的傳播速率遠(yuǎn)比我們想象得更快，影響范圍也遠(yuǎn)比我們想象得廣；而且，另一方面，這種特性也使得群體免疫這種常在公共衛(wèi)生領(lǐng)域中被提及的概念很少出現(xiàn)在計(jì)算機(jī)病毒領(lǐng)域[1].另外，除了互聯(lián)網(wǎng)之外，目前已有的研究表明，P2P(peer to peer)網(wǎng)絡(luò)、移動(dòng)電話網(wǎng)絡(luò)等其他網(wǎng)絡(luò)中的惡意軟件也表現(xiàn)出類似的涌現(xiàn)性質(zhì)[69,72-73].

作為復(fù)雜系統(tǒng)的典型代表，包括以上網(wǎng)絡(luò)在內(nèi)的復(fù)雜網(wǎng)絡(luò)具有多種典型的非線性性質(zhì)，因此，計(jì)算機(jī)病毒在網(wǎng)絡(luò)上的傳播動(dòng)力學(xué)是難以用傳統(tǒng)的線性模型來描述的.在實(shí)際場景中，這種涌現(xiàn)式感染傳播能力給安全人員帶來了極大的挑戰(zhàn)：一方面，由于群體免疫的缺乏，很難通過在小部分節(jié)點(diǎn)上部署防御措施來達(dá)到控制病毒傳播的目的；另一方面，與生物學(xué)或者醫(yī)學(xué)中的“病毒”不同，大多數(shù)類型的計(jì)算機(jī)病毒在傳播過程中無需節(jié)點(diǎn)之間實(shí)際“接觸”，傳播極為迅速，留給我們的反應(yīng)時(shí)間十分短暫，甚至可以說沒有.

從以上關(guān)于DDoS攻擊和病毒傳播的例子中我們可以看到，由于其天然的大規(guī)模、難檢測、難控制和難防御的特性，涌現(xiàn)式攻擊的確是目前網(wǎng)絡(luò)空間安全領(lǐng)域亟待解決的難題.

2.2 漏 洞

當(dāng)我們談及攻擊時(shí)，一般指的是來自系統(tǒng)外部的惡意行為(這里我們不考慮可能由內(nèi)部節(jié)點(diǎn)發(fā)動(dòng)的內(nèi)部攻擊(insider attack)).但攻擊的得逞一定有2方面的原因：1)攻擊者的能力；2)被攻擊系統(tǒng)的漏洞.如果系統(tǒng)本身沒有漏洞，那么攻擊也就無從談起.而很多時(shí)候，我們害怕的不是漏洞，而是“意料之外”的漏洞，因?yàn)檫@常常意味著我們沒有有效的應(yīng)對(duì)措施.不幸的是，涌現(xiàn)式漏洞就屬于這類漏洞中既難以預(yù)測又難以應(yīng)對(duì)的.下面通過互聯(lián)網(wǎng)、跟蹤網(wǎng)絡(luò)和口令系統(tǒng)中的3個(gè)例子來闡釋涌現(xiàn)式漏洞給安全人員帶來的嚴(yán)峻考驗(yàn).

Fig. 3 Power-law distribution圖3 冪律分布

在20世紀(jì)90年代互聯(lián)網(wǎng)剛剛興起之時(shí)，就已經(jīng)有大量的數(shù)學(xué)和物理學(xué)家[45,49-50,74]對(duì)互聯(lián)網(wǎng)的復(fù)雜網(wǎng)絡(luò)特性進(jìn)行了研究.根據(jù)他們的研究成果，最適合用來對(duì)互聯(lián)網(wǎng)進(jìn)行建模的模型遠(yuǎn)非被廣為接受的隨機(jī)模型.事實(shí)上，互聯(lián)網(wǎng)不是“隨機(jī)”形成的，也不是“公平”的，它體現(xiàn)出典型的無標(biāo)度(scale-free)特性，這對(duì)安全的影響非常顯著.無標(biāo)度其實(shí)可以等同于冪律分布(power-law distribution)，如圖3所示.在無標(biāo)度網(wǎng)絡(luò)中，節(jié)點(diǎn)的度分布是非常不均勻的,只有極少數(shù)的hub節(jié)點(diǎn)擁有很高的度，絕大多數(shù)的點(diǎn)只有很小的度，而且新加入的節(jié)點(diǎn)也會(huì)以極大的概率優(yōu)先連接到這些hub節(jié)點(diǎn)上.在某種意義上，占據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量極小一部分的hub節(jié)點(diǎn)卻主導(dǎo)了整個(gè)網(wǎng)絡(luò)的運(yùn)行[75-76].這也就意味著，如果攻擊者想要攻擊整個(gè)網(wǎng)絡(luò)，他不需要花費(fèi)很大的代價(jià)，只需要集中力量攻擊其中一小部分節(jié)點(diǎn)就可以.事實(shí)上，大量研究[45,49]的確表明，復(fù)雜網(wǎng)絡(luò)對(duì)節(jié)點(diǎn)的隨機(jī)失效(failure)具有顯著的健壯性，但在面對(duì)有目的性的攻擊(attack)時(shí)，卻比我們預(yù)想的更加脆弱.在這一場景下，如果將設(shè)備節(jié)點(diǎn)看作組件，將互聯(lián)網(wǎng)看作系統(tǒng)，那么由節(jié)點(diǎn)之間的通信與交互產(chǎn)生的涌現(xiàn)效應(yīng)既可以出現(xiàn)在hub節(jié)點(diǎn)，也可以出現(xiàn)在包含hub節(jié)點(diǎn)的無標(biāo)度網(wǎng)絡(luò)結(jié)構(gòu)，還可以出現(xiàn)在應(yīng)對(duì)攻擊的脆弱性中.

盡管也被稱為“網(wǎng)絡(luò)”，跟蹤網(wǎng)絡(luò)的涌現(xiàn)式漏洞卻跟互聯(lián)網(wǎng)有些不同之處.理想的跟蹤網(wǎng)絡(luò)應(yīng)當(dāng)對(duì)用戶的意愿和隱私有足夠的尊重和保護(hù)，即參與其中的用戶(tracker)能夠?qū)崿F(xiàn)彼此的實(shí)時(shí)定位和跟蹤，而不能夠獲得其他不在這一網(wǎng)絡(luò)中的用戶(non-tracker)的位置信息.但在實(shí)際運(yùn)行過程中，前者是基本功能要求，而后者卻難以實(shí)現(xiàn).根據(jù)文獻(xiàn)[51]，在機(jī)會(huì)跟蹤網(wǎng)絡(luò)(opportunistic tracking networks)中，如果網(wǎng)絡(luò)中有足夠多的設(shè)備節(jié)點(diǎn)(tracker)對(duì)非網(wǎng)絡(luò)成員(non-tracker)的流量進(jìn)行嗅探并將自己的位置報(bào)告給一個(gè)中央控制結(jié)構(gòu)，那么這個(gè)中央控制機(jī)構(gòu)就很有希望獲知其他非網(wǎng)絡(luò)成員(non-tracker)的位置信息.這種涌現(xiàn)效應(yīng)產(chǎn)生自跟蹤網(wǎng)絡(luò)成員(tracker)之間復(fù)雜的通信和交互，也受到諸如所在區(qū)域的人口密度、城市規(guī)劃以及跟蹤網(wǎng)絡(luò)規(guī)模大小等因素的影響.然而，盡管涌現(xiàn)式跟蹤能力受到各種環(huán)境因素的制約，不是100%確定能夠產(chǎn)生，但只要這一漏洞存在，就會(huì)對(duì)用戶隱私造成極大的威脅.

上述2個(gè)例子都跟網(wǎng)絡(luò)有關(guān)，但事實(shí)上，涌現(xiàn)式漏洞不僅存在于網(wǎng)絡(luò)中，很多系統(tǒng)中都有它的身影，比如我們幾乎每天都要接觸的口令系統(tǒng).長久以來，口令機(jī)制的安全性被大量安全人員所詬病，其中服務(wù)端漏洞的代表是口令數(shù)據(jù)庫的脆弱性，而用戶端漏洞的代表是口令重用現(xiàn)象的普遍性[77-79].下面從涌現(xiàn)的角度考察口令重用現(xiàn)象的出現(xiàn)和危害.

首先，為什么口令重用現(xiàn)象屬于涌現(xiàn)現(xiàn)象？這就要從記憶口令的困難程度和人類記憶能力的限度開始說起.一方面，記憶口令的難度絕不是一個(gè)關(guān)于口令數(shù)量的線性函數(shù)，因?yàn)槲覀儾粌H要記憶口令本身，還要記憶口令和賬戶的搭配關(guān)系，后者顯然是一個(gè)隨著賬戶數(shù)量擴(kuò)大而呈指數(shù)型爆炸增長的過程[80].另一方面，為了安全起見，我們總是建議用戶設(shè)置足夠“隨機(jī)”和復(fù)雜的口令[81]，而事實(shí)上，普通人類記憶這類毫無關(guān)聯(lián)的字符串的記憶能力是有限的[59]；而且，若要為每個(gè)賬戶設(shè)置不同的足夠“強(qiáng)”的口令，那么隨著賬戶數(shù)量增長而增長的口令數(shù)量又給用戶帶來了新的困擾，即記憶中的這些口令會(huì)互相干擾[82-83](大多數(shù)人都有過在嘗試登錄不常用賬戶時(shí)不斷試錯(cuò)的經(jīng)歷).面臨著巨大的記憶挑戰(zhàn)和自身有限的記憶能力，足夠“智能”的人類想出了解決辦法，即重用口令.在這種情況下，若把單個(gè)口令系統(tǒng)看作一個(gè)組件，那么所有的口令系統(tǒng)就可以被視為一個(gè)整體(系統(tǒng))，比較獨(dú)特的一點(diǎn)是，這些組件的交互(相互干擾)是在人腦中進(jìn)行的，口令重用現(xiàn)象就由這些交互產(chǎn)生的涌現(xiàn)現(xiàn)象.

其次，不僅口令重用屬于涌現(xiàn)現(xiàn)象，它的危害也具有典型的涌現(xiàn)屬性.當(dāng)用戶在多個(gè)口令系統(tǒng)中重用同一個(gè)口令時(shí)，這些系統(tǒng)間就產(chǎn)生了一種微妙的聯(lián)系，即它們彼此依賴，總體的安全性變成了最弱的那個(gè)系統(tǒng)的安全性[77,81]，可以形式化地表達(dá)為

Sall-systems=min{Ssystem 1,Ssystem 2,…,Ssystemn}，

其中，S代表系統(tǒng)的安全性.

一旦其中一個(gè)系統(tǒng)的用戶口令數(shù)據(jù)被泄露，那么該用戶在其他系統(tǒng)中的賬戶也危在旦夕.更糟糕的是，對(duì)于單個(gè)口令系統(tǒng)而言，攻擊者甚至可以通過控制極少量的用戶賬戶進(jìn)而獲得整個(gè)系統(tǒng)的控制權(quán).舉個(gè)最簡單也最極端的例子，重用口令的用戶恰好是某個(gè)系統(tǒng)的管理員，這個(gè)例子看似極端，實(shí)則并不罕見，系統(tǒng)的管理員常常做出一些匪夷所思的事情.總而言之，口令重用呈現(xiàn)出典型的“多米諾效應(yīng)”和“蝴蝶效應(yīng)”特點(diǎn)，即單個(gè)系統(tǒng)單個(gè)用戶賬戶的泄露可能會(huì)導(dǎo)致一系列難以想象的后果，這種非線性性是涌現(xiàn)現(xiàn)象的典型表現(xiàn).

總的來說，涌現(xiàn)式漏洞經(jīng)常來源于系統(tǒng)的某些固有屬性所帶來的局限性，這種局限性在系統(tǒng)設(shè)計(jì)之初就隱含在系統(tǒng)的架構(gòu)中，但是未能被設(shè)計(jì)者發(fā)現(xiàn).令人遺憾的是，往往只有大規(guī)模攻擊事件的發(fā)生才能讓我們意識(shí)到漏洞的存在及其嚴(yán)重性.

Fig. 4 Tor圖4 洋蔥路由

2.3 防 御

近年來，隨著涌現(xiàn)現(xiàn)象和網(wǎng)絡(luò)空間安全2方面研究的逐漸深入，利用涌現(xiàn)特性部署安全防御措施的研究受到關(guān)注，例如用于檢測無線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)復(fù)制(node replicas)的算法Discard[52]和基于agent的DDoS協(xié)同防御機(jī)制[27].下面首先簡要介紹Discard算法的相關(guān)內(nèi)容.

無線傳感器網(wǎng)絡(luò)屬于典型的自組織網(wǎng)絡(luò).由于設(shè)計(jì)目標(biāo)和成本所限，該網(wǎng)絡(luò)中節(jié)點(diǎn)的安全性很差，其節(jié)點(diǎn)之間通信所基于的協(xié)議非常簡單，給攻擊者留下了可乘之機(jī).在無線傳感器網(wǎng)絡(luò)中，復(fù)制節(jié)點(diǎn)指的是攻擊者通過某種手段獲取某個(gè)設(shè)備節(jié)點(diǎn)的訪問權(quán)，進(jìn)而獲取該節(jié)點(diǎn)的全部內(nèi)容，這樣，可以在另一臺(tái)相似設(shè)備上復(fù)制該節(jié)點(diǎn)的全部內(nèi)容并把該復(fù)制設(shè)備部署到原節(jié)點(diǎn)所處的網(wǎng)絡(luò)中去，達(dá)到冒充身份、擴(kuò)大控制范圍的目的.為了更有效地檢測復(fù)制節(jié)點(diǎn)，文獻(xiàn)[52]提出可以利用復(fù)雜網(wǎng)絡(luò)涌現(xiàn)現(xiàn)象研究中的經(jīng)典模型——傳染病模型.它把傳染病模型很好地嵌入到網(wǎng)絡(luò)節(jié)點(diǎn)的通信協(xié)議中，提出了Discard算法.在該算法中，單個(gè)節(jié)點(diǎn)是不具有“全局目標(biāo)”的，它只會(huì)跟周圍的節(jié)點(diǎn)“交流”自己所知道的信息，復(fù)制節(jié)點(diǎn)的識(shí)別能力是由大量節(jié)點(diǎn)之間的交互作用形成的涌現(xiàn)結(jié)果.

除了類似Discard這種從涌現(xiàn)的角度去設(shè)計(jì)的算法之外，安全領(lǐng)域其實(shí)還有很多傳統(tǒng)的防御措施也具有涌現(xiàn)性質(zhì)，只不過以前很少有人從涌現(xiàn)的角度去理解和認(rèn)識(shí)它們.這類防御措施的典型例子有：洋蔥路由的匿名性[84-86]、自組織網(wǎng)絡(luò)中的建立信任[22,48,87]、安全多方計(jì)算[58,88-93]、共識(shí)機(jī)制[94-95]等.

在洋蔥路由中，如圖4所示，整個(gè)洋蔥路由網(wǎng)絡(luò)是一個(gè)整體，而單個(gè)通信節(jié)點(diǎn)則屬于組件.當(dāng)只有很少人使用洋蔥路由時(shí)，其所能提供的匿名性是十分有限的.而隨著使用人數(shù)的增多，網(wǎng)絡(luò)節(jié)點(diǎn)之間交互的數(shù)量和復(fù)雜度呈非線性快速增長，洋蔥路由所能提供的匿名性和它的優(yōu)越性開始逐漸涌現(xiàn)[1].

由于在自組織網(wǎng)絡(luò)中不存在任何來自外部或者內(nèi)部的控制，所以所有的網(wǎng)絡(luò)節(jié)點(diǎn)都沒有“全局目標(biāo)”，它們只關(guān)心自己的狀態(tài)以及與鄰居的交互[96].然而，正是這種沒有“全局觀”的簡單交互與協(xié)作使得信任鏈和安全路由得以涌現(xiàn)，這也就是群智能(swarm intelligence)的一種體現(xiàn)[48].從這個(gè)角度來說，安全多方計(jì)算和共識(shí)機(jī)制的涌現(xiàn)性也是如此——組件之間的簡單交互使得安全狀態(tài)得以涌現(xiàn).在安全多方計(jì)算中，涌現(xiàn)作用是對(duì)數(shù)據(jù)機(jī)密性的保護(hù)；而在共識(shí)機(jī)制中，涌現(xiàn)結(jié)果是一致性共識(shí).

上述涌現(xiàn)式防御機(jī)制極其有力地說明了將涌現(xiàn)性研究引入安全領(lǐng)域的意義所在：可以基于組件的交互“設(shè)計(jì)”出系統(tǒng)的整體安全性質(zhì)，使得系統(tǒng)趨向我們想要的安全狀態(tài).當(dāng)然，由于網(wǎng)絡(luò)空間的復(fù)雜性，設(shè)計(jì)或者理解涌現(xiàn)式安全防御方案都具有相當(dāng)大的挑戰(zhàn)性.

3 應(yīng)對(duì)方法

涌現(xiàn)性給網(wǎng)絡(luò)空間安全帶來的挑戰(zhàn)并不意味著我們束手無策.目前已有不少出色的工作從涌現(xiàn)性的視角研究、分析以及應(yīng)對(duì)網(wǎng)絡(luò)空間安全問題出發(fā)，本節(jié)對(duì)較有代表性的工作進(jìn)行總結(jié)和介紹.我們首先對(duì)這一領(lǐng)域的發(fā)展脈絡(luò)進(jìn)行梳理，然后根據(jù)研究的主題與內(nèi)容分為描述性、指導(dǎo)性和操作性3類進(jìn)行介紹.

3.1 發(fā)展歷程

這一領(lǐng)域的研究可追溯到20世紀(jì)90年代.文獻(xiàn)[97]給出了無邊界系統(tǒng)(網(wǎng)絡(luò))(unbounded systems或unbounded networks)中生存性(survivability)的定義：在攻擊、故障、事故等事件發(fā)生時(shí)，系統(tǒng)(網(wǎng)絡(luò))仍能及時(shí)完成目標(biāo)和任務(wù)的能力.這是一種典型的整體屬性，也是一種涌現(xiàn)屬性，因?yàn)樗鼰o法由系統(tǒng)的組件呈現(xiàn)，也無法通過組件的性質(zhì)推導(dǎo)得出.顯然，這種屬性跟安全聯(lián)系十分密切，這類研究可以看作是網(wǎng)絡(luò)空間安全涌現(xiàn)性研究的雛形.

進(jìn)入21世紀(jì)，不斷擴(kuò)張并滲透人類生活的互聯(lián)網(wǎng)引起了復(fù)雜網(wǎng)絡(luò)研究者們的重視.起初的主流觀點(diǎn)認(rèn)為互聯(lián)網(wǎng)是隨機(jī)網(wǎng)絡(luò)的代表，后來隨著研究的逐漸深入，研究者們[45,49-50,74]在其中發(fā)現(xiàn)了無標(biāo)度(冪律分布)、層級(jí)結(jié)構(gòu)、聚類效應(yīng)等特性.這表明互聯(lián)網(wǎng)實(shí)質(zhì)上不是“隨機(jī)”生成的，而是典型的復(fù)雜網(wǎng)絡(luò).而且，研究人員們[45,49]也表示，以無標(biāo)度為代表的上述復(fù)雜網(wǎng)絡(luò)固有屬性對(duì)于安全研究有重要的意義.

互聯(lián)網(wǎng)的快速發(fā)展使得計(jì)算機(jī)病毒開始流行起來.受生物學(xué)、醫(yī)學(xué)和公共衛(wèi)生領(lǐng)域在生物病毒防治方面的經(jīng)驗(yàn)啟發(fā)，研究者們[31-36]陸續(xù)將生物病毒傳播中的傳染病模型引入計(jì)算機(jī)病毒傳播的研究中.相關(guān)的研究不僅僅局限于傳統(tǒng)的互聯(lián)網(wǎng)，實(shí)際上，由于人類個(gè)體的移動(dòng)性所帶來的影響，與節(jié)點(diǎn)位置基本固定的傳統(tǒng)互聯(lián)網(wǎng)相比，移動(dòng)網(wǎng)絡(luò)(比如藍(lán)牙網(wǎng)絡(luò)、移動(dòng)電話網(wǎng)絡(luò)等)中的病毒傳播與生物病毒傳播更為相似[31-35].所以，這方面的研究非常關(guān)注移動(dòng)網(wǎng)絡(luò)中的病毒傳播.

進(jìn)入2010年以后，圍繞網(wǎng)絡(luò)空間安全涌現(xiàn)性的研究開始逐漸引起更多研究者的關(guān)注，越來越多的出色工作進(jìn)入人們的視野，例如Husted等人[28,35,51]、Leveson等人[98-100]和Xu等人[101-104]的工作.

Husted等人[28,35,51]一直致力于探索由普適計(jì)算和物聯(lián)網(wǎng)環(huán)境中大量設(shè)備之間的交互作用所形成的涌現(xiàn)式漏洞和攻擊形式，跟蹤網(wǎng)絡(luò)中的涌現(xiàn)式用戶隱私威脅和移動(dòng)網(wǎng)絡(luò)中的涌現(xiàn)式蠕蟲病毒傳播能力是他的主要關(guān)注點(diǎn)和切入點(diǎn).他提出可以使用基于agent的仿真建模方法對(duì)機(jī)會(huì)跟蹤網(wǎng)絡(luò)的涌現(xiàn)式威脅進(jìn)行研究，也可以使用傳染病模型對(duì)移動(dòng)網(wǎng)絡(luò)中的蠕蟲傳播動(dòng)力學(xué)進(jìn)行一定的建模和分析，從而建立解決該類問題的基本思路.在文獻(xiàn)[1]中，基于已有在跟蹤網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)2方面的研究成果，他給出了網(wǎng)絡(luò)空間安全涌現(xiàn)性的概念和意義，并結(jié)合該領(lǐng)域的實(shí)際情況討論分析了一些具有代表性的涌現(xiàn)現(xiàn)象.特別重要的是，他還指出，基于agent的仿真模擬、傳染病模型和基于系統(tǒng)理論的設(shè)計(jì)(systems theoretic based design)是網(wǎng)絡(luò)空間安全涌現(xiàn)研究的有效途徑.

傳染病模型一般用于分析計(jì)算機(jī)病毒的傳播動(dòng)力學(xué)，有望幫助人們在病毒傳播的早期及時(shí)部署有效的控制措施；基于agent的模擬常常可以幫助人們對(duì)系統(tǒng)進(jìn)行測試，觀察系統(tǒng)的涌現(xiàn)行為，根據(jù)模擬結(jié)果對(duì)組件進(jìn)行適當(dāng)?shù)恼{(diào)整；相比于前2種途徑主要關(guān)注“反應(yīng)”和“調(diào)整”，基于系統(tǒng)理論的設(shè)計(jì)卻有望讓我們從系統(tǒng)設(shè)計(jì)之初就預(yù)防漏洞的產(chǎn)生.在基于系統(tǒng)理論的設(shè)計(jì)領(lǐng)域，典型的工具有STAMP(system-theoretic accident models and processes)和構(gòu)建于其上的STPA(systems theoretic process analysis)[98-99](在后文中，二者統(tǒng)一稱為STAMP(STPA)).該工具是由美國麻省理工學(xué)院的Leveson等人[98-100]設(shè)計(jì)的.該工具最初并不是為網(wǎng)絡(luò)空間安全所準(zhǔn)備的，而是用于解決工程安全問題，兩者的區(qū)別在于前者是security問題，而后者是safety問題.然而，由于大規(guī)模關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化，安全(security)漏洞漸漸成為工程安全(safety)領(lǐng)域的新焦點(diǎn).2007年，該團(tuán)隊(duì)中的Laracy[100]對(duì)STAMP(STPA)進(jìn)行了擴(kuò)展，用以分析美國空中運(yùn)輸系統(tǒng)中可能出現(xiàn)的涌現(xiàn)式安全(security)威脅.2013年文獻(xiàn)[38]提出了STPA-sec——一個(gè)用來識(shí)別和控制系統(tǒng)安全(security)漏洞的工具，這是一個(gè)里程碑式的事件.其后，除了該團(tuán)隊(duì)，越來越多的研究者致力于將以STAMP(STPA)為代表的基于系統(tǒng)理論的設(shè)計(jì)思想引入網(wǎng)絡(luò)空間安全領(lǐng)域，設(shè)計(jì)了諸如STPA-SafeSec[39]和STRIDE[40]等工具.

相比于Husted等人[28,35,51]和Leveson等人[98-100]主要關(guān)注實(shí)驗(yàn)方法的運(yùn)用，美國德克薩斯大學(xué)圣安東尼奧分校的Xu等人[101-104]則側(cè)重于通過形式化的方法來進(jìn)行網(wǎng)絡(luò)空間安全動(dòng)力學(xué)研究.2012年他們研究了任意網(wǎng)絡(luò)中push-based和pull-based這2種類型的計(jì)算機(jī)病毒的傳播動(dòng)力學(xué)[101].2015年他們提出了一種新的可能：當(dāng)防御者使用類似于“white worms”的手段來“攻擊”攻擊者的時(shí)候(文中將其稱為“active defenses”)，網(wǎng)絡(luò)空間的攻防博弈又會(huì)產(chǎn)生怎樣的變化[102].2018年，他們的研究又深入了一步——當(dāng)攻擊者和防御者都采用了2種手段的時(shí)候(攻擊：push-based和pull-based，防御：preventive和reactive)，根據(jù)他們的推導(dǎo)和證明，這種網(wǎng)絡(luò)空間安全動(dòng)力學(xué)場景在整個(gè)參數(shù)宇宙中都是穩(wěn)定的[103].

圖5對(duì)上述發(fā)展歷程進(jìn)行了簡要的總結(jié)和勾畫.下面按照描述性、指導(dǎo)性、操作性的分類方法對(duì)相關(guān)研究進(jìn)行更為全面和細(xì)致的介紹.

Fig. 5 History of the research on emergence in cybersecurity圖5 網(wǎng)絡(luò)空間安全涌現(xiàn)性研究發(fā)展歷程

3.2 描述性的研究

我們把那些利用涌現(xiàn)理論來描述網(wǎng)絡(luò)空間安全中的性質(zhì)、行為和現(xiàn)象的研究稱為描述性研究.這類研究往往不以提供明確的解決方法為目標(biāo)，而是著眼于尋找嶄新的思考問題的角度.下面從理論分析和形式化證明2個(gè)方面進(jìn)行介紹.

3.2.1 理論分析

讓我們按照“現(xiàn)象、定義、原理”的思路考察那些基于系統(tǒng)理論對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象進(jìn)行描述和分析的研究.

1) 現(xiàn)象

這類研究大多以舉例和羅列的方式討論典型的網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象，旨在尋找進(jìn)一步研究的切入點(diǎn)，其中文獻(xiàn)[1]的討論較為全面，覆蓋范圍較廣.根據(jù)文獻(xiàn)[1]，DDoS的攻擊能力、跟蹤網(wǎng)絡(luò)的隱私威脅、洋蔥路由的匿名性、車聯(lián)網(wǎng)系統(tǒng)對(duì)城市交通造成的潛在威脅、弱口令和口令重用現(xiàn)象造成的安全威脅以及社交網(wǎng)絡(luò)和比特幣的價(jià)值都是網(wǎng)絡(luò)空間中的涌現(xiàn)現(xiàn)象.另外，文獻(xiàn)[58]簡明扼要地討論了網(wǎng)絡(luò)空間安全動(dòng)力學(xué)、擴(kuò)展的trace屬性框架(extended trace-property framework)以及密碼學(xué)安全屬性所蘊(yùn)含的涌現(xiàn)性質(zhì).根據(jù)文獻(xiàn)[26]的研究，作為復(fù)雜系統(tǒng)的典型示例，以信息物理系統(tǒng)(cyber-physical system， CPS)為組件構(gòu)成的“系統(tǒng)的系統(tǒng)”CPSoS(cyber-physical systems-of-systems)能夠明顯地展示涌現(xiàn)性質(zhì)，包括在死鎖、分布式容錯(cuò)時(shí)鐘同步(distributed fault-tolerant clock synchronization)、報(bào)警處理(alarm processing)等計(jì)算機(jī)系統(tǒng)經(jīng)典問題中的體現(xiàn).而文獻(xiàn)[48]則將關(guān)注點(diǎn)放在自組織網(wǎng)絡(luò)中，移動(dòng)自組織網(wǎng)絡(luò)中的信任、分布式傳感器網(wǎng)絡(luò)中的安全路由、動(dòng)態(tài)聯(lián)盟中的公共訪問狀態(tài)、移動(dòng)自組織網(wǎng)絡(luò)中基于群智能的安全路由等都是由網(wǎng)絡(luò)節(jié)點(diǎn)間的交互作用形成的涌現(xiàn)效應(yīng).

與上述綜合性分析工作不同，文獻(xiàn)[4,28,30-32,105]主要關(guān)注某一個(gè)特定的涌現(xiàn)現(xiàn)象.根據(jù)文獻(xiàn)[105]，如果移動(dòng)網(wǎng)絡(luò)中的設(shè)備能夠充分利用人類社交網(wǎng)絡(luò)中的關(guān)系，那么，這些復(fù)雜的社交網(wǎng)絡(luò)關(guān)系可以形成系統(tǒng)性能的涌現(xiàn)性效果.更具體地說，在容錯(cuò)網(wǎng)絡(luò)中，能夠提高路由協(xié)議的性能；就防火墻而言，可以有效地延緩病毒傳播的速率.文獻(xiàn)[28]主要關(guān)注2類涌現(xiàn)現(xiàn)象：機(jī)會(huì)跟蹤網(wǎng)絡(luò)中的隱私威脅和WiFi網(wǎng)絡(luò)中的蠕蟲傳播能力.早在2006年文獻(xiàn)[31]就探討了藍(lán)牙網(wǎng)絡(luò)中蠕蟲病毒的傳播能力.隨著智能手機(jī)的發(fā)展和流行，2014年文獻(xiàn)[32]對(duì)已有的移動(dòng)網(wǎng)絡(luò)惡意軟件傳播模型進(jìn)行了一次系統(tǒng)化的綜述，可以為后續(xù)的研究提供一定的指導(dǎo).文獻(xiàn)[4]提出了更有概括性的觀點(diǎn)：計(jì)算機(jī)集群安全(cluster security)是一種涌現(xiàn)屬性.由于大規(guī)模、分布式和異質(zhì)性的特點(diǎn)，計(jì)算機(jī)集群中存在著大量復(fù)雜交互，集群的安全屬性無法通過對(duì)單個(gè)計(jì)算機(jī)的安全屬性進(jìn)行簡單加總得到，這是涌現(xiàn)性的體現(xiàn).

2) 定義

基于對(duì)網(wǎng)絡(luò)空間安全領(lǐng)域大量涌現(xiàn)現(xiàn)象的觀察和分析，文獻(xiàn)[58]定義網(wǎng)絡(luò)空間安全中的涌現(xiàn)行為：

“在網(wǎng)絡(luò)空間中，如果一個(gè)系統(tǒng)擁有其低層組件所不具備的某種安全屬性，那么，該安全屬性蘊(yùn)含著涌現(xiàn)行為.”

雖然這并不是國際上統(tǒng)一的正式定義，但它可以為進(jìn)一步的研究提供借鑒.事實(shí)上，國際上也沒有唯一的公認(rèn)定義.每種定義都從某個(gè)角度揭示了網(wǎng)絡(luò)空間安全涌現(xiàn)性的一定意義.

3) 原理

原理方面的研究工作側(cè)重于通過模擬實(shí)驗(yàn)和數(shù)據(jù)分析等手段探究涌現(xiàn)現(xiàn)象的背后機(jī)理并找到一些重要的影響因素.

針對(duì)跟蹤網(wǎng)絡(luò)中的涌現(xiàn)式隱私威脅，文獻(xiàn)[28,51]采用仿真實(shí)驗(yàn)的方法對(duì)實(shí)際的跟蹤網(wǎng)絡(luò)環(huán)境進(jìn)行了模擬，給出了該環(huán)境下實(shí)現(xiàn)有效跟蹤的必要條件.特別地，他們可以根據(jù)這些條件量化跟蹤網(wǎng)絡(luò)中的涌現(xiàn)式隱私威脅.

文獻(xiàn)[28]也在移動(dòng)網(wǎng)絡(luò)中的病毒傳播動(dòng)力學(xué)領(lǐng)域進(jìn)行了探索——他們將傳染病模型與仿真模擬實(shí)驗(yàn)相結(jié)合，發(fā)現(xiàn)了一些以病毒感染率為代表的關(guān)鍵影響因素.文獻(xiàn)[33]采用系統(tǒng)化、整體化的研究思路和方法對(duì)移動(dòng)僵尸網(wǎng)絡(luò)(mobile botnet)的進(jìn)化過程和影響進(jìn)行了研究.文獻(xiàn)[34]則在探討了設(shè)備和網(wǎng)絡(luò)的特征對(duì)移動(dòng)網(wǎng)絡(luò)病毒傳播趨勢造成的影響之后，提出了這類病毒利用上述特征進(jìn)行迅速傳播的原型系統(tǒng)，并基于該系統(tǒng)通過仿真模擬實(shí)驗(yàn)得出了病毒得以迅速傳播的一些必要條件.

文獻(xiàn)[36]的研究以真實(shí)數(shù)據(jù)為基礎(chǔ)，通過對(duì)計(jì)算機(jī)病毒傳播的真實(shí)數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)了互聯(lián)網(wǎng)上計(jì)算機(jī)病毒傳播的一般性規(guī)律——無論傳染速率是多少，它都能在類似互聯(lián)網(wǎng)這樣的無標(biāo)度網(wǎng)絡(luò)上有效傳播.

3.2.2 形式化證明

文獻(xiàn)[101-104]采用形式化證明的方法對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)性進(jìn)行研究.它們首先采用形式化手段對(duì)某些特定的攻防情景進(jìn)行嚴(yán)密的推導(dǎo)證明，繼而得出一些推論，最后再通過仿真模擬實(shí)驗(yàn)的方式對(duì)這些推論進(jìn)行檢驗(yàn).

文獻(xiàn)[101]利用非線性動(dòng)力系統(tǒng)方法研究了任意網(wǎng)絡(luò)中2類不同病毒(push-based和pull-based)的傳播動(dòng)力學(xué).當(dāng)多種病毒同時(shí)在同一網(wǎng)絡(luò)中傳播時(shí)會(huì)出現(xiàn)怎樣的情景，這些病毒甚至?xí)ハ喙?，試圖奪取主動(dòng)權(quán).文獻(xiàn)[104]對(duì)這一情景下的病毒傳播動(dòng)力學(xué)進(jìn)行了研究.研究結(jié)果揭示了防御能力和網(wǎng)絡(luò)連通性之間的關(guān)系，為部署防御措施提供了一定的指導(dǎo).

文獻(xiàn)[102-103]對(duì)攻防交互所造成的網(wǎng)絡(luò)空間安全動(dòng)力學(xué)場景進(jìn)行了探討.在文獻(xiàn)[102]中，防御方被賦予了一種特殊的能力——可以利用“white worms”來達(dá)到對(duì)攻擊者進(jìn)行“攻擊”的目的.理論推導(dǎo)和模擬實(shí)驗(yàn)結(jié)果表明，這種動(dòng)力學(xué)場景表現(xiàn)出顯著的發(fā)散和混沌特征，其涌現(xiàn)行為很難準(zhǔn)確度量和預(yù)測.文獻(xiàn)[103]的研究結(jié)果顯得比較樂觀，它主要探討了2種攻擊方式(push-based和pull-based)和2種防御方式(preventive和reactive)之間的攻防交互所形成的特殊網(wǎng)絡(luò)安全動(dòng)力學(xué)場景.研究結(jié)果表明，該場景在整個(gè)參數(shù)空間中都是穩(wěn)定的、收斂的，而且在除了某種特殊情況的其他所有情況下都是指數(shù)收斂的(該特殊情況下是多項(xiàng)式收斂的).

文獻(xiàn)[106]基于形式化的方法證明了涌現(xiàn)屬性的存在并分析了涌現(xiàn)屬性是如何出現(xiàn)的，還提出了可用于幫助判斷什么情況下會(huì)出現(xiàn)涌現(xiàn)屬性的判斷條件，給出了關(guān)于如何“設(shè)計(jì)”涌現(xiàn)屬性的指導(dǎo).

總的來說，基于嚴(yán)密的理論推導(dǎo)、數(shù)學(xué)證明以及精巧的仿真模擬實(shí)驗(yàn)，上述工作提供了很多非常具有參考意義的指導(dǎo)和建議.

3.3 指導(dǎo)性的研究

根據(jù)已有的觀察和研究，可以就“網(wǎng)絡(luò)空間安全涌現(xiàn)性研究應(yīng)當(dāng)如何進(jìn)行”提出指導(dǎo)方案和建議，我們稱這類工作為指導(dǎo)性研究.這類工作往往圍繞以下6個(gè)核心問題展開探討：研究目標(biāo)和前景是什么；應(yīng)當(dāng)從哪些方面著手；遵循怎樣的研究路線；應(yīng)當(dāng)引入哪些理論；可以利用哪些工具；進(jìn)一步研究的困難與挑戰(zhàn)是什么.下面沿著回答這些問題的思路對(duì)這類工作進(jìn)行討論.

文獻(xiàn)[1-2]曾指出安全自身就是一種涌現(xiàn)屬性.考慮到安全事件的難以預(yù)料性、安全環(huán)境的復(fù)雜性、敵手能力的難以預(yù)測性、人工科學(xué)的過于主觀性等多種因素，對(duì)安全這一涌現(xiàn)屬性進(jìn)行度量顯得格外困難[30].考慮到上述因素所帶來的的復(fù)雜性，文獻(xiàn)[5]認(rèn)為涌現(xiàn)性質(zhì)只有在一切部署完成后才會(huì)出現(xiàn)，且取決于具體實(shí)現(xiàn)方式，因此在設(shè)計(jì)階段進(jìn)行安全決策無法預(yù)測所有潛在的副作用，最好將網(wǎng)絡(luò)空間安全視為一個(gè)社會(huì)實(shí)驗(yàn)來進(jìn)行.文獻(xiàn)[20]認(rèn)為“難以度量”是阻礙網(wǎng)絡(luò)空間安全成為一門科學(xué)的重要原因之一.目前，建立網(wǎng)絡(luò)空間安全科學(xué)的必要性得到了越來越多的認(rèn)可[14-15,20-21]，運(yùn)用科學(xué)的方法分析和解決涌現(xiàn)式安全問題的意義日趨明顯，這是傳統(tǒng)的安全研究方法和手段難以勝任的[22]，必須尋求新的、足夠智能的、有適應(yīng)性的方法加以應(yīng)對(duì).

文獻(xiàn)[15]認(rèn)為可以從3個(gè)方面著手：基于不可信的部件建立可信的系統(tǒng)、建立更有“全局觀”的入侵檢測系統(tǒng)和DDoS防御系統(tǒng)、建立系統(tǒng)化的模型和設(shè)計(jì)框架等.文獻(xiàn)[20]在“全局觀”和系統(tǒng)化模型方面與文獻(xiàn)[15]達(dá)成了共識(shí)，它認(rèn)為可以在運(yùn)用系統(tǒng)化思維的基礎(chǔ)上考慮利用形式化的方法去解決“當(dāng)多個(gè)部件組成一個(gè)系統(tǒng)時(shí)如何考慮系統(tǒng)的安全性”的問題.誠然，由組件交互所引起的涌現(xiàn)問題已經(jīng)足夠棘手，加上“人是系統(tǒng)的關(guān)鍵組成部分”，事情會(huì)變得更加麻煩.相對(duì)于機(jī)器，人的行為具有更大的不確定性，更加難以預(yù)測.如果為了避免麻煩，在設(shè)計(jì)系統(tǒng)時(shí)不把“人”這一關(guān)鍵組件納入考慮范圍，那該系統(tǒng)的設(shè)計(jì)顯然難以充分反映現(xiàn)實(shí)情況，更不用說對(duì)未來的安全事件做出預(yù)測了[22,30].為了能夠?qū)Πㄈ说囊蛩卦趦?nèi)的眾多系統(tǒng)組件加強(qiáng)控制，確保系統(tǒng)正常運(yùn)行，文獻(xiàn)[14]提出可以將控制論引入安全研究，用于在設(shè)計(jì)系統(tǒng)時(shí)更好地限制系統(tǒng)的行為，以期從根源上預(yù)防安全漏洞的產(chǎn)生.另外，它也指出由于網(wǎng)絡(luò)空間的復(fù)雜性和攻防雙方天然的不對(duì)等，防御方始終處于“建立系統(tǒng)→被攻破→打補(bǔ)丁→再次被攻破”的“cyber cycle”中，很有必要建立網(wǎng)絡(luò)空間安全科學(xué)以打破這種格局.關(guān)于這一點(diǎn)，文獻(xiàn)[18]認(rèn)為網(wǎng)絡(luò)空間安全的終極目標(biāo)應(yīng)該是實(shí)現(xiàn)一個(gè)面對(duì)不可預(yù)見的攻擊仍然具有魯棒性的防御系統(tǒng)，這樣的系統(tǒng)可以隨著環(huán)境的變化進(jìn)行適應(yīng)性的改變，還可以在遇到損害時(shí)進(jìn)行自我修復(fù)；為實(shí)現(xiàn)這樣的目標(biāo)，很有必要讓復(fù)雜性理論派上用場，復(fù)雜性科學(xué)有助于理解當(dāng)今的網(wǎng)絡(luò)空間及其與人類行為、社會(huì)規(guī)范和經(jīng)濟(jì)激勵(lì)的聯(lián)系，有助于建設(shè)更加安全的網(wǎng)絡(luò)空間.

很多文獻(xiàn)把同時(shí)含有計(jì)算機(jī)和人的系統(tǒng)稱為“社會(huì)-技術(shù)系統(tǒng)”(social-technical system).由于目前信息技術(shù)已經(jīng)滲透到人類生活的方方面面，這種系統(tǒng)實(shí)質(zhì)上屬于網(wǎng)絡(luò)空間的主流——畢竟系統(tǒng)設(shè)計(jì)出來就是給人類使用的，沒有使用者的系統(tǒng)幾乎不存在.而正如本節(jié)前文所述，難以預(yù)測的人類行為使得網(wǎng)絡(luò)空間安全的復(fù)雜性進(jìn)一步提升，為涌現(xiàn)現(xiàn)象提供了更多可能，給研究者帶來了更多挑戰(zhàn).針對(duì)這一問題，包括文獻(xiàn)[22,107]在內(nèi)的多項(xiàng)研究提出應(yīng)該擁抱系統(tǒng)化思維，應(yīng)該借鑒復(fù)雜性理論的研究思路與方法.在這一方面，文獻(xiàn)[65]提供了很好的指引，它主要探討了涌現(xiàn)性研究中的核心問題“微-宏觀效應(yīng)”的解決方案是否存在.基于對(duì)已有相關(guān)研究的歸納和總結(jié)，它提出了一套研究框架：1)定義系統(tǒng)目標(biāo)；2)收集系統(tǒng)信息；3)自上而下地建立模型；4)計(jì)劃仿真模擬實(shí)驗(yàn)；5)自下而上地進(jìn)行仿真實(shí)驗(yàn)并收集數(shù)據(jù)；6)分析數(shù)據(jù)，然后得出結(jié)論.類似地，文獻(xiàn)[108]提出了一套處理涌現(xiàn)問題的總體框架，文獻(xiàn)[60]對(duì)多種面向涌現(xiàn)的系統(tǒng)設(shè)計(jì)方法和設(shè)計(jì)模式進(jìn)行了比較分析，可以同文獻(xiàn)[65]一起為涌現(xiàn)問題研究提供指導(dǎo).

安全領(lǐng)域也已經(jīng)有一些工作嘗試提出研究網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象的研究路線與方案.比如，文獻(xiàn)[4]針對(duì)計(jì)算機(jī)集群安全的涌現(xiàn)特性提出了一個(gè)關(guān)于如何部署防護(hù)技術(shù)的大致框架，該框架在很大程度上利用了已有的成熟技術(shù)，具有一定的參考價(jià)值.文獻(xiàn)[109-110]的工作著眼于整個(gè)網(wǎng)絡(luò)空間安全的動(dòng)力學(xué)研究，其適用范圍更廣、與復(fù)雜性理論的聯(lián)系也更為緊密.根據(jù)文獻(xiàn)[109-110]，安全性度量、網(wǎng)絡(luò)空間第一性原理(first-principle)的建模與分析、數(shù)據(jù)分析、建立網(wǎng)絡(luò)空間的系統(tǒng)化理論等研究都是開展網(wǎng)絡(luò)空間安全動(dòng)力學(xué)進(jìn)一步研究的重要基礎(chǔ).

研究需要有工具支撐，文獻(xiàn)[1]推薦了傳染病模型、基于agent的仿真模擬、基于系統(tǒng)理論的設(shè)計(jì)(systems theoretic based design)三種工具.文獻(xiàn)[32]對(duì)3種通用的傳染病模型進(jìn)行了對(duì)比.文獻(xiàn)[22]認(rèn)為基于agent的仿真模擬可用于對(duì)具有涌現(xiàn)行為的復(fù)雜系統(tǒng)進(jìn)行建模，可用于網(wǎng)絡(luò)空間安全研究.文獻(xiàn)[24]強(qiáng)調(diào)了系統(tǒng)化方法對(duì)于工程安全(safety)和網(wǎng)絡(luò)空間安全(security)研究的重要性，并對(duì)基于系統(tǒng)理論的實(shí)驗(yàn)工具STAMP(STPA)及其在網(wǎng)絡(luò)空間安全領(lǐng)域的衍生產(chǎn)品STAMP-sec和STPA-sec進(jìn)行了介紹.文獻(xiàn)[25]還對(duì)其他基于系統(tǒng)科學(xué)的研究工具進(jìn)行了詳細(xì)介紹.

必須看到，盡管上述工作建立了一定的基礎(chǔ)，網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象研究依然困難重重，比如，如何在網(wǎng)絡(luò)空間安全領(lǐng)域處理和解決系統(tǒng)的非線性性、組件之間的依賴性、系統(tǒng)行為的不確定性、人類因素的難以預(yù)測性等都是目前需要解決的難題[110].

3.4 操作性的研究

操作性的研究針對(duì)網(wǎng)絡(luò)空間安全領(lǐng)域中的涌現(xiàn)問題設(shè)計(jì)實(shí)際可用的算法或工具.這些研究或者著力于分析、緩解、控制已有的涌現(xiàn)現(xiàn)象，設(shè)計(jì)并實(shí)現(xiàn)分析工具；或者探討如何利用涌現(xiàn)特性實(shí)現(xiàn)檢測攻擊或者部署防御的目的，設(shè)計(jì)檢測或者防御算法.

3.4.1 分析和控制涌現(xiàn)現(xiàn)象

目前對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)現(xiàn)象進(jìn)行分析和控制的主流研究可大致分為3類：1)利用STAMP(STPA)進(jìn)行系統(tǒng)化建模和分析；2)基于仿真模擬實(shí)驗(yàn)平臺(tái)開展工作，所用平臺(tái)主要以多agent系統(tǒng)(multi-agent system, MAS)為主；3)主要包括面向涌現(xiàn)的威脅分析、保護(hù)架構(gòu)、防御措施等.

1) 基于STAMP(STPA)的研究

作為一種基于系統(tǒng)理論的系統(tǒng)設(shè)計(jì)工具，STAMP事故分析模型(systems-theoretic accident model and processes)和以它為基礎(chǔ)的STPA過程分析方法(systems-theoretic process analysis)最初用于解決工程安全問題[9]，其中的安全(safety)主要指工程安全、人身安全、國家安全等.隨著工控系統(tǒng)的逐漸信息化以及智能家居、無人駕駛、智慧城市等典型物聯(lián)網(wǎng)系統(tǒng)的發(fā)展與流行，safety與security的聯(lián)系日趨緊密，二者之間不再像過去那樣涇渭分明——safety會(huì)影響到security，比如節(jié)點(diǎn)劫持攻擊；security也會(huì)影響到safety，比如車聯(lián)網(wǎng)的安全會(huì)影響乘車人的人身安全.由于STAMP(STPA)在“設(shè)計(jì)安全的系統(tǒng)”方面的杰出表現(xiàn)，越來越多的研究者致力于把它引入網(wǎng)絡(luò)空間安全領(lǐng)域.

作為STAMP(STPA)的開創(chuàng)者和設(shè)計(jì)者，Leveson等人[38]也意識(shí)到了這一研究方向的重要性.文獻(xiàn)[38]提出了STPA-sec，它是STPA在網(wǎng)絡(luò)空間安全(security)領(lǐng)域的擴(kuò)展和應(yīng)用，它能夠識(shí)別并且強(qiáng)制執(zhí)行那些針對(duì)不安全控制措施的約束，從而防止系統(tǒng)在面對(duì)外界干擾時(shí)受到攻擊.作為STPA的后繼者和衍生物，STPA-sec的指導(dǎo)思想是：既然系統(tǒng)的設(shè)計(jì)者無法控制攻擊者的行為，不如將關(guān)注重心轉(zhuǎn)移到控制漏洞的產(chǎn)生，將所有安全問題的發(fā)生視為“控制的不足”，它旨在為系統(tǒng)的設(shè)計(jì)者和分析者提供一個(gè)更加系統(tǒng)化的視角，指導(dǎo)安全策略的設(shè)計(jì).

STPA-sec還催生了很多新的分析工具，這些工具中的很大一部分是它的衍生物.文獻(xiàn)[13]認(rèn)為以前的STPA和STPA-sec都只關(guān)注損失，沒有關(guān)注隱私，因此，針對(duì)隱私領(lǐng)域特有的問題(比如開環(huán)控制)，它對(duì)STPA-sec進(jìn)行了2方面的拓展：重新定義損失和獲取隱私控制結(jié)構(gòu)，并實(shí)現(xiàn)了STPA-Priv.考慮到已有的方案大多將safety和security問題分開處理而忽視了二者的聯(lián)系，文獻(xiàn)[39]提出了STPA-SafeSec，將safety和security整合到一個(gè)框架里進(jìn)行研究和分析.STPA-SafeSec可以分析出由safety約束和security約束之間的依賴和交互所造成的問題與漏洞.文獻(xiàn)[12]使用STPA對(duì)無人駕駛汽車進(jìn)行安全性分析，它能夠在設(shè)計(jì)初期就發(fā)現(xiàn)涉及多個(gè)層面的問題，從而防止安全隱患的產(chǎn)生.這些工作為如何在網(wǎng)絡(luò)空間安全領(lǐng)域應(yīng)用STAMP(STPA)提供了一定的參考.

有些工具不是由STAMP(STPA)衍生的，但多少也受到了其設(shè)計(jì)思想的影響.針對(duì)信息物理系統(tǒng)(CPS)的特有安全問題，文獻(xiàn)[40]設(shè)計(jì)并實(shí)現(xiàn)了復(fù)雜系統(tǒng)分析工具STRIDE，它可用于2方面分析：1)單個(gè)系統(tǒng)組件可能涌現(xiàn)出什么類型的安全威脅；2)單個(gè)系統(tǒng)組件的一個(gè)漏洞如何使得整個(gè)系統(tǒng)的安全狀態(tài)遭受威脅.著眼于與文獻(xiàn)[39]類似的問題，文獻(xiàn)[41]提出了一種可以深度結(jié)合safety和security分析的技術(shù)模型SAFE，它可以清晰地記錄系統(tǒng)的假設(shè)并且提高復(fù)雜軟件驅(qū)動(dòng)系統(tǒng)分析的可追蹤性.文獻(xiàn)[42]使用復(fù)雜系統(tǒng)安全性分析工具CAST[111]對(duì)遭受震網(wǎng)病毒攻擊的核能源基礎(chǔ)設(shè)施進(jìn)行了安全威脅分析.實(shí)驗(yàn)結(jié)果表明，CAST能夠在系統(tǒng)設(shè)計(jì)階段識(shí)別出針對(duì)特定CPS的安全威脅，從而可以向CPS設(shè)計(jì)人員提供可用于提升CPS安全性的實(shí)用建議.

2) 基于仿真模擬實(shí)驗(yàn)平臺(tái)的研究

作為研究涌現(xiàn)現(xiàn)象的重要工具，多agent系統(tǒng)(MAS)在諸多領(lǐng)域得到了廣泛應(yīng)用，也引起了網(wǎng)絡(luò)空間安全領(lǐng)域的關(guān)注.

值得注意的是，很多時(shí)候研究者們會(huì)將傳染病模型和多agent系統(tǒng)一同使用以對(duì)計(jì)算機(jī)病毒的傳播動(dòng)力學(xué)進(jìn)行研究.一方面，使用傳染病模型進(jìn)行建模；另一方面，使用多agent系統(tǒng)進(jìn)行仿真模擬，從而檢驗(yàn)?zāi)Ｐ偷倪m用性，同時(shí)觀察系統(tǒng)會(huì)在仿真過程中涌現(xiàn)出什么樣的性質(zhì).文獻(xiàn)[69]提出一個(gè)事件驅(qū)動(dòng)模擬器來模擬現(xiàn)實(shí)的惡意軟件傳播環(huán)境.文獻(xiàn)[112]提出一種描述藍(lán)牙網(wǎng)絡(luò)蠕蟲病毒傳播動(dòng)力學(xué)的細(xì)粒度分析模型，并使用仿真模擬的手段來對(duì)該模型進(jìn)行分析評(píng)測，結(jié)果發(fā)現(xiàn)該模型能夠以很高的準(zhǔn)確率預(yù)測出藍(lán)牙網(wǎng)絡(luò)蠕蟲的傳播動(dòng)力學(xué).文獻(xiàn)[34]通過仿真模擬實(shí)驗(yàn)的手段得出了一些量化的數(shù)據(jù)支持：可以造成傳染病模型式傳播的惡意軟件所需要的移動(dòng)設(shè)備數(shù)量和其他相關(guān)條件.

基于多agent系統(tǒng)的仿真模擬實(shí)驗(yàn)也在防御DDoS攻擊、模擬攻防博弈等領(lǐng)域得到了應(yīng)用.文獻(xiàn)[113]做了一次重要嘗試，將一個(gè)原用于對(duì)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)部件失效進(jìn)行建模分析的多agent系統(tǒng)用于網(wǎng)絡(luò)空間安全仿真模擬.文獻(xiàn)[114]設(shè)計(jì)了一個(gè)基于agent的社會(huì)-技術(shù)系統(tǒng)模型，它是一種對(duì)節(jié)點(diǎn)之間的相互依賴所造成的影響進(jìn)行分析和評(píng)估的方法，使復(fù)雜系統(tǒng)的分析者能夠看到各個(gè)agent之間的交互以及依賴關(guān)系，從而可以對(duì)未來可能會(huì)發(fā)生的系統(tǒng)行為做出一定的預(yù)測.非常有趣的是，文獻(xiàn)[115]提出了一個(gè)用于模擬“捉迷藏”游戲的多agent仿真模擬平臺(tái)Medusa.其研究者認(rèn)為網(wǎng)絡(luò)空間安全攻防博弈就是一個(gè)典型的“捉迷藏”游戲，可以基于該平臺(tái)從“捉迷藏”的角度觀察和研究多agent網(wǎng)絡(luò)空間場景中的個(gè)體行為和系統(tǒng)涌現(xiàn)行為.針對(duì)DDoS的典型涌現(xiàn)屬性，文獻(xiàn)[27]建立了基于agent的DDoS協(xié)同防御仿真框架，并以DDoS協(xié)同防御涌現(xiàn)行為為目標(biāo)，采用基于agent的方法建立DDoS協(xié)同防御體系模型.也就是說，利用防御系統(tǒng)的涌現(xiàn)行為達(dá)到防御DDoS的目標(biāo).

3) 其他面向涌現(xiàn)的防御研究

除了STAMP(STPA)和基于多agent的仿真模擬實(shí)驗(yàn)工具，很多研究者從其他角度入手提出了很多實(shí)用的研究工具，例如文獻(xiàn)[29,53]的工作.

文獻(xiàn)[53]將工控系統(tǒng)視為信息物理系統(tǒng)(CPS)的典型例子，嘗試用系統(tǒng)化的方法為其解決安全問題.它提出的解決方案是一個(gè)多層的網(wǎng)絡(luò)空間安全保護(hù)架構(gòu)，具有靈活的結(jié)構(gòu)和彈性智能，能夠?yàn)楣た叵到y(tǒng)制定網(wǎng)絡(luò)空間安全保護(hù)策略.

文獻(xiàn)[29]將關(guān)注點(diǎn)放在更大、更復(fù)雜的系統(tǒng)上——由多個(gè)CPS組成的系統(tǒng)CPSoS，它提出了一種“面向涌現(xiàn)”的系統(tǒng)設(shè)計(jì)方法，能夠?yàn)镃PSoS威脅分析提供支持，以發(fā)現(xiàn)CPSoS中的涌現(xiàn)式安全威脅.

針對(duì)安全多方計(jì)算[93]、惡意軟件傳播[72,116-117]、手機(jī)組件通信[118]等的涌現(xiàn)現(xiàn)象和其他相關(guān)內(nèi)容[119-120]，研究者們也對(duì)相應(yīng)的解決方案進(jìn)行了探討.

3.4.2 利用涌現(xiàn)進(jìn)行防御

網(wǎng)絡(luò)空間安全涌現(xiàn)性研究已從分析和控制涌現(xiàn)現(xiàn)象向前邁進(jìn)了一步，即利用涌現(xiàn)特性來進(jìn)行網(wǎng)絡(luò)空間安全防御：一方面檢測攻擊，一方面部署防御，如文獻(xiàn)[52,97,121]的工作.

在攻擊檢測方面，文獻(xiàn)[52,121]的工作是有益的嘗試.在移動(dòng)無線傳感器網(wǎng)絡(luò)中，節(jié)點(diǎn)劫持攻擊(node-capture attack)是很多進(jìn)一步攻擊的重要基礎(chǔ).由于無線傳感器網(wǎng)絡(luò)設(shè)備數(shù)量龐大、性能低、安全性差、無人看管的特性，攻擊者很容易對(duì)某個(gè)設(shè)備節(jié)點(diǎn)進(jìn)行劫持.一旦劫持成功，就有可能對(duì)其內(nèi)容進(jìn)行任意篡改，從而進(jìn)一步發(fā)動(dòng)女巫攻擊、自我推薦攻擊、誹謗攻擊等形式的攻擊.文獻(xiàn)[121]提出了一種利用移動(dòng)無線傳感器網(wǎng)絡(luò)的涌現(xiàn)性來檢測節(jié)點(diǎn)劫持攻擊的算法.在該算法中，單個(gè)節(jié)點(diǎn)只跟自己有限數(shù)量(常數(shù))的“鄰居”進(jìn)行交互，但是最終整個(gè)網(wǎng)絡(luò)的所有節(jié)點(diǎn)都能夠知道哪一些節(jié)點(diǎn)已經(jīng)被劫持了.也許是因?yàn)闊o線傳感器網(wǎng)絡(luò)的獨(dú)有特性給涌現(xiàn)性研究帶來了更多的機(jī)會(huì)和可能，文獻(xiàn)[52]也將研究的重心放在了無線傳感器網(wǎng)絡(luò)中，它要檢測的是節(jié)點(diǎn)復(fù)制攻擊(node replicas attack).為了達(dá)到有效的檢測目的，它將流行病模型應(yīng)用到了檢測算法中，提出了一種分布式的、隨機(jī)化的用于檢測群部署(group-deployed)無線傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)復(fù)制攻擊的算法Discard.與文獻(xiàn)[121]的方案相似，該方案也催生了涌現(xiàn)屬性，即攻擊檢測能力.

文獻(xiàn)[97]嘗試?yán)糜楷F(xiàn)特性進(jìn)行防御部署，它首先對(duì)無邊界系統(tǒng)(網(wǎng)絡(luò))中的生存性(survivabi-lity)給出了定義：在攻擊、故障、事故等事件發(fā)生時(shí)，系統(tǒng)(網(wǎng)絡(luò))仍能及時(shí)完成目標(biāo)和任務(wù)的能力.為了保證整體屬性能從組件的交互中涌現(xiàn)出來，它著力于將涌現(xiàn)算法引入到無邊界系統(tǒng)(網(wǎng)絡(luò))中，并給出實(shí)現(xiàn)該算法的方法和步驟.這些方法和步驟基本覆蓋了包括鄰居交互、分布式信息、協(xié)議、環(huán)境在內(nèi)的所有要素以及包括設(shè)計(jì)策略、實(shí)際考量、性能邊界在內(nèi)的所有步驟，具有重要的參考價(jià)值.

總而言之，從已有的工作中可以看出：網(wǎng)絡(luò)空間安全涌現(xiàn)性研究已經(jīng)形成了一定的規(guī)模，取得了很多重要的成果，但是，總的來說仍然不是一個(gè)足夠成熟的研究領(lǐng)域，還有很大的發(fā)展空間.

4 未來研究方向

縱觀當(dāng)前的發(fā)展?fàn)顩r，下面探討今后應(yīng)該如何進(jìn)一步從涌現(xiàn)的視角研究網(wǎng)絡(luò)空間安全問題，討論從理論基礎(chǔ)、基本模型和實(shí)用工具3個(gè)方面展開.

4.1 理論基礎(chǔ)

首先，既然是研究系統(tǒng)的涌現(xiàn)問題，那就必須從系統(tǒng)出發(fā)，必須擁有系統(tǒng)化思維，學(xué)會(huì)從系統(tǒng)、整體的角度思考問題.文獻(xiàn)[20]指出，必須擁有系統(tǒng)化思維，才有可能解決由多個(gè)部件組合起來并相互作用所產(chǎn)生的新的安全問題.系統(tǒng)化思維在很多領(lǐng)域都受到了重視[122-123]，比如文獻(xiàn)[123]用系統(tǒng)化的思維和模型解決工作場所人身安全的問題，其中有關(guān)系統(tǒng)化思維和層級(jí)結(jié)構(gòu)的思想具有很好的參考價(jià)值.

要想正確認(rèn)識(shí)并有效運(yùn)用系統(tǒng)化思維，很有必要了解系統(tǒng)科學(xué)理論的基本思想.涵蓋復(fù)雜性理論的系統(tǒng)科學(xué)理論在工程[124]、醫(yī)學(xué)[125]等多個(gè)領(lǐng)域得到了廣泛的應(yīng)用.文獻(xiàn)[23]指出，傳統(tǒng)的安全設(shè)計(jì)與分析手段在遏制漏洞利用和網(wǎng)絡(luò)攻擊事件發(fā)生的范圍和頻率方面已經(jīng)顯得十分乏力，而基于復(fù)雜性理論的新方法卻在理解和解決網(wǎng)絡(luò)安全問題的根本原因方面顯得非常有潛力.文獻(xiàn)[18]也認(rèn)為，由于可幫助人們加深對(duì)技術(shù)、人類、社會(huì)之間的復(fù)雜交互的理解，復(fù)雜性理論有望為網(wǎng)絡(luò)空間安全研究提供重要的理論支撐.文獻(xiàn)[126]介紹了如何利用系統(tǒng)科學(xué)理論解決實(shí)際系統(tǒng)中的問題并給出了一些思路和工具.雖然沒有特別針對(duì)網(wǎng)絡(luò)空間安全中的問題，但是思路、方法和工具都是通用的，能夠在一定程度上為研究者提供參考.

作為復(fù)雜系統(tǒng)中的一種重要表現(xiàn)形式，復(fù)雜網(wǎng)絡(luò)也在網(wǎng)絡(luò)空間中占有極為重要的一席之地，因?yàn)椋瑹o論是傳統(tǒng)的互聯(lián)網(wǎng)，還是新型的物聯(lián)網(wǎng)或軟件定義網(wǎng)絡(luò)(soft-defined network, SDN)，其形式都是網(wǎng)絡(luò)，屬于復(fù)雜網(wǎng)絡(luò).所以，通過了解復(fù)雜網(wǎng)絡(luò)的理論和研究模型、工具，可以增進(jìn)對(duì)復(fù)雜網(wǎng)絡(luò)的理解和認(rèn)識(shí)，可以知道自組織網(wǎng)絡(luò)是如何形成和發(fā)展的[127]，可以分析復(fù)雜網(wǎng)絡(luò)的層級(jí)結(jié)構(gòu)[74]，可以獲知復(fù)雜網(wǎng)絡(luò)可能會(huì)涌現(xiàn)出哪些性質(zhì)[45]，可以了解互聯(lián)網(wǎng)這類典型復(fù)雜網(wǎng)絡(luò)的復(fù)雜性體現(xiàn)在哪里[49]，也可以知道該用什么樣的理論和模型來對(duì)特定的網(wǎng)絡(luò)進(jìn)行研究和分析[127]等.這樣一來，就能夠分析什么樣的網(wǎng)絡(luò)拓?fù)洳攀亲睢鞍踩钡腫45]，也有可能在計(jì)算機(jī)病毒傳播早期通過在關(guān)鍵節(jié)點(diǎn)上部署防御措施以防止病毒進(jìn)一步擴(kuò)散.

當(dāng)然，在計(jì)算機(jī)病毒傳播這個(gè)典型的網(wǎng)絡(luò)空間安全案例中，起關(guān)鍵作用的不只有網(wǎng)絡(luò)拓?fù)浜头烙胧?，最核心的?nèi)容應(yīng)當(dāng)是網(wǎng)絡(luò)空間安全動(dòng)力學(xué)，即什么樣的攻防交互會(huì)導(dǎo)致網(wǎng)絡(luò)空間狀態(tài)產(chǎn)生什么樣的變化.文獻(xiàn)[50]介紹了一些有關(guān)復(fù)雜網(wǎng)絡(luò)動(dòng)力學(xué)的研究.基于上述研究，文獻(xiàn)[109]給出了網(wǎng)絡(luò)空間安全動(dòng)力學(xué)的概念，此后，其作者利用形式化證明的方法開展了進(jìn)一步研究[101-104]，取得了非常不錯(cuò)的成果.

值得一提的是，形式化方法對(duì)于網(wǎng)絡(luò)空間安全理論研究(包括涌現(xiàn)性在內(nèi))的重要性也得到了文獻(xiàn)[17,128]等的認(rèn)同.

4.2 基本模型

文獻(xiàn)[127]介紹了一系列用于研究復(fù)雜網(wǎng)絡(luò)進(jìn)化特征的模型，并討論了如何基于這些模型進(jìn)行仿真分析.這些模型主要有：隨機(jī)網(wǎng)絡(luò)模型、小世界模型、無標(biāo)度模型以及具有優(yōu)先鏈接(preferential linking)的非無標(biāo)度模型等.

上述模型都是比較通用的復(fù)雜網(wǎng)絡(luò)動(dòng)力學(xué)模型，就網(wǎng)絡(luò)空間安全研究而言，其優(yōu)點(diǎn)是具有一定的普適性，其缺點(diǎn)是缺乏網(wǎng)絡(luò)空間安全的針對(duì)性.應(yīng)對(duì)這種局面，一方面，3.2.2節(jié)提供的很多基于攻防交互的網(wǎng)絡(luò)空間安全動(dòng)力學(xué)模型可作借鑒；另一方面，相比于上述模型，用于研究病毒(包括生物病毒和計(jì)算機(jī)病毒)傳播動(dòng)力學(xué)的傳染病模型(比如文獻(xiàn)[8]中的模型)的應(yīng)用歷史更久遠(yuǎn)、應(yīng)用范圍也更廣闊.早在2001年，基于傳染病模型，文獻(xiàn)[36]就發(fā)現(xiàn)了計(jì)算機(jī)病毒的傳播規(guī)律，即無論傳播速率是多少，計(jì)算機(jī)病毒都能在類似互聯(lián)網(wǎng)這樣的無標(biāo)度網(wǎng)絡(luò)上有效傳播.隨后，隨著移動(dòng)網(wǎng)絡(luò)的逐漸興起和飛速發(fā)展，文獻(xiàn)[34-35,72,112,116]等將傳染病模型應(yīng)用到移動(dòng)網(wǎng)絡(luò)的病毒(惡意軟件)傳播動(dòng)力學(xué)研究中，并取得了很好的成效.值得一提的是，傳染病模型實(shí)際上也只是一個(gè)統(tǒng)稱，還可以進(jìn)一步細(xì)分為很多針對(duì)特定問題的小模型，關(guān)于這些小模型的種類和特征，可以在文獻(xiàn)[32,70]中找到更多的細(xì)節(jié).

除了傳染病模型之外，還有一些其他的模型也能夠提供一定的參考和輔助.比如文獻(xiàn)[129]提出了一種度量系統(tǒng)復(fù)雜性的模型.有了這樣的度量模型，就可以發(fā)現(xiàn)系統(tǒng)的結(jié)構(gòu)，也就能夠?qū)τ楷F(xiàn)現(xiàn)象進(jìn)行一定程度的量化.

4.3 實(shí)用工具

在3.4.1節(jié)中，我們已展示了一些基于多agent仿真模擬實(shí)驗(yàn)平臺(tái)和STAMP(STPA)及其衍生物的研究工作.這些工作的成果無疑表明，將上述2類工具應(yīng)用于網(wǎng)絡(luò)空間安全涌現(xiàn)性的研究是很有潛能的.因此，本節(jié)對(duì)這2類工具作更進(jìn)一步的介紹.

在所有的多agent仿真模擬實(shí)驗(yàn)平臺(tái)中，Repast[130]和NetLogo[131]是被使用較多的2種.使用Repast時(shí)，可以基于它所提供的庫函數(shù)進(jìn)行創(chuàng)建、運(yùn)行、展示和收集數(shù)據(jù)等所有與基于agent的模擬實(shí)驗(yàn)相關(guān)的操作，還可以根據(jù)需要對(duì)agent的行為進(jìn)行編程.NetLogo也具有類似的功能，它是一種多agent的編程語言和模擬實(shí)驗(yàn)環(huán)境，能夠用于對(duì)復(fù)雜系統(tǒng)進(jìn)行仿真實(shí)驗(yàn)研究.比較獨(dú)特的是，它是一套開源的工具.由于功能的相似性以及二者的各有所長，二者的使用量基本處于勢均力敵的狀態(tài).除了上述這些工具之外，文獻(xiàn)[115]所設(shè)計(jì)的“捉迷藏”仿真模擬實(shí)驗(yàn)平臺(tái)Medusa也可以作為一個(gè)候選工具.

關(guān)于STAMP(STPA)在網(wǎng)絡(luò)空間安全領(lǐng)域的衍生物，受到較多關(guān)注的應(yīng)當(dāng)是由原團(tuán)隊(duì)設(shè)計(jì)實(shí)現(xiàn)的STAMP-sec(STPA-sec)[38].它主要針對(duì)系統(tǒng)的控制環(huán)節(jié)，能夠識(shí)別出其中會(huì)導(dǎo)致安全漏洞的控制，并對(duì)這些控制施加約束.此外，解決類似問題的工具還有STRIDE[40]和CAST[111].另外，考慮到盡管STPA應(yīng)用廣泛，覆蓋了包括海軍[10]、港口安全[11]、無人駕駛[12]、隱私保護(hù)[13]等在內(nèi)的多個(gè)領(lǐng)域，但如何使用STPA很大程度上仍然是一個(gè)“具體問題具體分析”(ad hoc)的過程，沒有嚴(yán)格的程序規(guī)范來對(duì)該分析過程進(jìn)行指導(dǎo).針對(duì)這個(gè)問題，文獻(xiàn)[132]提出了一個(gè)很好的解決方案：首先，定義了STPA的形式化結(jié)構(gòu)，并設(shè)計(jì)實(shí)現(xiàn)了一種基于該結(jié)構(gòu)的系統(tǒng)化執(zhí)行STPA分析的工具；其次，設(shè)計(jì)實(shí)現(xiàn)了使用上述分析工具所產(chǎn)生的結(jié)果來生成系統(tǒng)和軟件需求的工具.這2種工具可以指導(dǎo)研究者如何使用STPA.另外，致力于分析工程安全(safety)和網(wǎng)絡(luò)空間安全(security)之間的聯(lián)系與交互所導(dǎo)致的問題的工具SAFE和STPA-SafeSec能夠?qū)⑾到y(tǒng)硬件組件的狀態(tài)同它們的安全影響聯(lián)系起來，從而可以在事故發(fā)生時(shí)幫助安全人員更快定位到問題來源，更有針對(duì)性地解決問題.

根據(jù)文獻(xiàn)[1]的觀點(diǎn)，STAMP(STPA)及其衍生物對(duì)系統(tǒng)控制能力的要求比較高，比較適合軍事、政府、工業(yè)這類層級(jí)結(jié)構(gòu)和控制結(jié)構(gòu)都很明確的場景，而面對(duì)很多控制力較弱的商用場景就會(huì)稍顯乏力(比如消費(fèi)者的行為就是很難以控制的一個(gè)重要因素).因此，在使用這類工具的時(shí)候，應(yīng)當(dāng)更加注意其適用性.另外，期待未來會(huì)出現(xiàn)更多針對(duì)商用場景的系統(tǒng)化分析工具.

5 結(jié) 語

本文以提升對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)性的認(rèn)識(shí)和促進(jìn)新思想、新理論的發(fā)展為目標(biāo)，討論了在網(wǎng)絡(luò)空間安全領(lǐng)域研究涌現(xiàn)現(xiàn)象的意義，并回顧了涌現(xiàn)理論自身的含義與研究狀況；借助若干典型案例，從涌現(xiàn)性的視角對(duì)網(wǎng)絡(luò)空間安全所面臨的挑戰(zhàn)進(jìn)行了全面考察；簡要地梳理了網(wǎng)絡(luò)空間安全涌現(xiàn)性研究的發(fā)展歷程，并按照研究的主題和深度對(duì)其進(jìn)行了系統(tǒng)化的分類和闡釋；圍繞著“可以采用哪些理論、模型和工具開展進(jìn)一步的研究工作”這一主題，分析了目前工作的不足并嘗試提出了未來的發(fā)展方向.

誠然，本文的工作仍然處于網(wǎng)絡(luò)空間安全研究的初級(jí)階段.但是，我們希望該項(xiàng)工作能夠激發(fā)對(duì)涌現(xiàn)式安全思想的共鳴，能夠喚起對(duì)網(wǎng)絡(luò)空間安全涌現(xiàn)性的重視.我們也希望該項(xiàng)工作的成果有助于系統(tǒng)地認(rèn)識(shí)網(wǎng)絡(luò)空間涌現(xiàn)式安全問題研究的發(fā)展?fàn)顩r和未來趨勢，為今后的進(jìn)一步研究和問題的解決建立良好的基礎(chǔ).