杨义先,钮心忻
(北京邮电大学 信息安全中心,北京 100083)
编者按:对技术水平有限的(经济)黑客来说,如何通过“田忌赛马”式的组合攻击策略来实现“黑产收入”最大化呢?是否存在这种最优的攻击组合呢?本文作者借助股票投资领域中的相关思路和方法,得到了一些有趣的结果。比如,给出了黑客同时攻击m个系统的对数最优攻击组合策略,它不但能使黑客的整体收益最大化,而且能够使每轮攻击的收益最大化;如果采用对数最优的攻击组合策略,那么黑客攻击每个系统的“投入产出比”不会在本轮攻击结束后发生变化;如果黑客还能够通过其他渠道获得一些“内部消息”,那么他因此多获得“黑产收入”的增长率不超过“被攻击系统的“投入产出比”与“内部消息”之间的互信息”;如果随时间变化的被攻击系统是平稳随机过程,那么黑客的最优攻击增长率是存在的。所得结论是,熵越小的黑客攻击策略,所获得的“黑产收入”越大。阅读原文可登录科学网:。
0引言
由于政治黑客后台很硬,不计成本,不择手段,耐得住寂寞,因此,从纯技术角度看,政治黑客是最牛的黑客,他们的攻击力远远超过经济黑客等普通黑客。
为了量化分析(因为政治问题无法量化),参考文献[1]不得不用“宰牛刀”来“杀鸡”(即用政治黑客的技术来为经济黑客的利益服务),给出了最牛黑客的完整静态描述,并且给出了他们的最佳组合攻击战术。但是,并不是所有黑客都能够达到如此高的技术极限,甚至这样的黑客也许可望而不可及。
幸好,经济黑客的主要目标是获取最大的“黑产收入”,而不是要伤害被攻击系统(政治黑客刚好相反,他的目标是伤害对方,而非获得经济利益),当然,经济黑客也不会有意去保护对手。所以,经济黑客的技术水平虽然有限,但是,他们可以依据已有的技术水平,像“田忌赛马”那样,通过巧妙地“组合攻击”来尽可能实现收益最大化。
黑客攻击和炒股其实很相像。实际上,政治黑客的攻击就像“庄家炒股”,虽然他对被攻击系统(待炒的股票)的内部情况了如指掌,但是,他的期望值也很高,不出手则已,一旦出手就要摧毁目标(赚大钱),因此,一旦行动起来,其战术就非常重要,不能有任何细节上的失误,否则前功尽弃。事实证明,“庄家炒股”也有赔钱的时候,同样,政治黑客的攻击也有失手的时候,基本上都是输在战术细节上。
经济黑客的攻击就像“散户炒股”,虽然整体上处于被动地位,资金实力也很差,但是自身的期望值并不很高,只要有钱赚,哪怕刚够喝稀饭。经济黑客的攻击(散户的炒股)当然不能靠硬拼,必须讲究战略,比如:(1)正确选择被攻击系统(待炒的股票),若目标选错了,当然要赔本;(2)合理分配精力去攻击所选系统(炒作所选股票),既不要“在一棵树上吊死”,也不能“小猫钓鱼”(既不能把资金全部投到某一支股票,也不要到处“撒胡椒粉”)。事实证明,散户炒股也有赢钱的时候,只要他很好地运用了相关战略(即选股选对了,在每支股票上的投资额度分配对了)。同样,如果经济黑客正确地把握了相关战略,他也有可能获利。本文将给出一些确保黑客获利的“对数最优”战略,当然,本文的结果也可帮助散户股民炒股,前提是他们能够读懂此文(我相信普通的经济黑客是可以读懂此文的)。
过去若干年以来,人们已经在投资策略(包括炒股)方面进行了大量研究,并由此丰富了博弈论的内容。本文的许多思想、方法和结果也是来源于这些理论。
1对数最优攻击组合
设黑客想通过攻击某m个系统来获取其经济利益,并且根据过去的经验,他攻击第i个系统的“投入产出比”是随机变量Xi(≥0, i=1,2,…,m),即攻击第i个系统时,若投入1元钱,则其收益是Xi元钱。记收益列向量X=(X1,X2,…,Xm)T服从联合分布F(x),即,X~F(x)。
从经济角度看,所谓黑客的一个攻击组合,就是一个列向量b=(b1,b2,…,bm)T,bi≥0, ∑bi=1,它意指该黑客将其“用于攻击的资金总额”的bi部分,花费在攻击第i个系统上(i=1,2,…,m)。于是,在此组合攻击下,黑客的收益便等于。S显然也是一个随机变量。
当本轮组合攻击完成后,黑客还可以发动第2轮、第3轮等组合攻击,即黑客将其上一轮结束时所得到的全部收益按相同比例b分配,形成新一轮的攻击组合b。下面将努力寻找最佳的攻击组合b,使得经过n轮组合攻击后,黑客的收益S在某种意义上达到最大值。
定义1:攻击组合b关于收益分布F(x)的增长率,定义为:
如果该对数的基底是2,那么,该增长率W(b,F)就称为双倍率(见参考文献[1])。攻击组合b的最优增长率W*(F)定义为: