態(tài)勢(shì)感知研究的方法論-供參考

1、態(tài)勢(shì)感知研究的方法論2011.02/中國(guó)信息安全/ 41CNITSEC焦 點(diǎn)Focus文/中國(guó)科技大學(xué)網(wǎng)絡(luò)態(tài)勢(shì)感知研究中心 王硯方態(tài)勢(shì)感知研究的方法論“態(tài)勢(shì)感知”是網(wǎng)絡(luò)安全文獻(xiàn)中使用頻度相當(dāng)高的一個(gè)術(shù)語，態(tài)勢(shì)感知已成為研究網(wǎng)絡(luò)安全所必需解決的問題，但業(yè)內(nèi)的專家對(duì)此可能有不同的理解。本文企望通過相關(guān)的介紹和分析提出一己的看法?！皯B(tài)勢(shì)感知”概念的來源由于人的因素在動(dòng)態(tài)系統(tǒng)（如飛機(jī)駕駛、空中交通管制、電力網(wǎng)管理等）中彰顯出越來越大的重要性，M.R.Endsley在1995年提出人類決策模型，總結(jié)出包括采集、理解和預(yù)測(cè)三個(gè)層次的態(tài)勢(shì)感知模型。此模型基于各元素間的確定關(guān)系，例如由飛機(jī)的航速、方位角及風(fēng)速

2、判斷它的落地點(diǎn)和落地時(shí)間，機(jī)場(chǎng)的空中交通管理人員就可以按事先確定的方案引導(dǎo)飛機(jī)安全降落。再如戰(zhàn)斗機(jī)駕駛員根據(jù)空中環(huán)境的動(dòng)態(tài)變化，按規(guī)定的程序作戰(zhàn)場(chǎng)上的各種相應(yīng)的戰(zhàn)術(shù)動(dòng)作。在自動(dòng)控制設(shè)備運(yùn)行時(shí)，遇到異常時(shí)操作員如何介入，也可按專家事先制定的方案進(jìn)行?？傊?，Endsley模型是指導(dǎo)人機(jī)器的互動(dòng)的原則：如果用較多的人工，可以得到對(duì)機(jī)器設(shè)備狀態(tài)的較多的感知，因而可使設(shè)備接近最佳的狀態(tài)；而如果自動(dòng)程度較高，可以節(jié)省人工，但操作員的感知較少，遇到不理想的情況就難以作出抉擇，在這個(gè)問題上，Endsley模型就是要解決人工同自動(dòng)化之間最好的折中。這種模型適用于處理簡(jiǎn)單的系統(tǒng)，專家的先驗(yàn)的成分較多。顯然，它不適

3、用于復(fù)雜網(wǎng)絡(luò)。事實(shí)上自這個(gè)模型提出的十五年來，在許多方面開拓了研究，如人員培訓(xùn)、設(shè)計(jì)、工作團(tuán)隊(duì)協(xié)調(diào)等方法有不少成果。國(guó)內(nèi)有學(xué)者把它作為通用的理論模型，提出基于流量和局域網(wǎng)的單機(jī)日志的數(shù)據(jù)融合，建立大規(guī)模網(wǎng)絡(luò)安全的態(tài)勢(shì)評(píng)估模型。到上世紀(jì)末，已經(jīng)有人意識(shí)到僅靠在單個(gè)計(jì)算機(jī)上的防入侵設(shè)備已不能解決網(wǎng)絡(luò)的安全問題，出現(xiàn)了把網(wǎng)絡(luò)上安全傳感器和計(jì)算機(jī)上的防入侵等設(shè)備同網(wǎng)絡(luò)流控和管理結(jié)合起來的需求。1999年T.Bass提出了多臺(tái)安全傳感器和入侵檢測(cè)設(shè)備的數(shù)據(jù)融合的原理和流程，稱為Bass模型。Bass模型沒有從網(wǎng)絡(luò)本身的特點(diǎn)出發(fā)，而只是在數(shù)據(jù)融合技術(shù)方面就事論事。差不多從那時(shí)開始，已經(jīng)有人認(rèn)識(shí)到復(fù)雜網(wǎng)絡(luò)中

4、個(gè)體的非線性相互作用對(duì)于系統(tǒng)宏觀行為的出現(xiàn)至關(guān)重要，它使得系統(tǒng)整體行為不能通過個(gè)體行為的簡(jiǎn)單疊加而獲得。通常一個(gè)傳感器既不能發(fā)現(xiàn)也不能確認(rèn)一次攻擊，只能簡(jiǎn)單地對(duì)某一次事件進(jìn)行確認(rèn)，而這一事件很可能只是一次攻擊中的一部分。Bass模型顯然沒有達(dá)到解決網(wǎng)絡(luò)安全問題所需要的理論的高度和深度。有一些作者把自己擅長(zhǎng)的數(shù)據(jù)庫(kù)和模式識(shí)別等技術(shù)結(jié)合Bass的數(shù)據(jù)融合方法，試圖用模型預(yù)測(cè)網(wǎng)絡(luò)安全趨勢(shì)。自然這樣的研究用到實(shí)際中的效果不容易令人滿意。態(tài)勢(shì)感知“探針”網(wǎng)絡(luò)態(tài)勢(shì)感知需要對(duì)實(shí)際網(wǎng)絡(luò)進(jìn)行測(cè)量，為了了解網(wǎng)絡(luò)態(tài)勢(shì)的變化，需要有一種實(shí)時(shí)性好的檢測(cè)設(shè)備作為探針。因此，網(wǎng)絡(luò)態(tài)勢(shì)感知的必要條件是有一個(gè)符合要求的深度數(shù)據(jù)

5、采集設(shè)備作為探針和分析器。在下文中稱這種設(shè)備為“原型機(jī)”，它的主要功能和技術(shù)指標(biāo)包括:1.處理海量流的能力。互聯(lián)網(wǎng)通過各個(gè)節(jié)點(diǎn)傳輸數(shù)據(jù)流，對(duì)于一個(gè)端到端的數(shù)據(jù)流有可能是由一個(gè)乃至上千個(gè)并發(fā)連接（會(huì)話）組成，因此“連接”是檢索網(wǎng)絡(luò)數(shù)據(jù)傳輸中信息的最小的索引。合格的網(wǎng)絡(luò)安全設(shè)備就要把連接的特征和屬性全部記錄下來，這種檢驗(yàn)?zāi)芰Φ闹笜?biāo)是“并發(fā)連接”的數(shù)量和完整性。因?yàn)榫W(wǎng)絡(luò)上的一些異常往往是由小概率事件引起的，這是復(fù)雜網(wǎng)絡(luò)的一個(gè)特點(diǎn)，所以用采樣方法是不合適的。實(shí)踐證明，千兆位鏈路上需要有雙向400萬個(gè)并發(fā)連接，所以在萬兆位骨干網(wǎng)上有雙向6400萬個(gè)并發(fā)連接就能滿足目前在網(wǎng)絡(luò)上實(shí)時(shí)感知的要求。2.精細(xì)分析

6、的能力。通過深度數(shù)據(jù)包檢測(cè)，提取流和連接的參數(shù)，并加以檢索和匹配。重要的物理參數(shù)為源和目的地址、源和目的端口以及協(xié)議，即統(tǒng)稱為“五元組”。為了感知網(wǎng)絡(luò)的微觀狀態(tài)，原型機(jī)要做到盡可能多的邏輯參數(shù)的識(shí)別。目前我國(guó)自己制造的原型機(jī)已能標(biāo)識(shí)19個(gè)參數(shù)，這也是國(guó)際業(yè)內(nèi)的最好水平。3.協(xié)議識(shí)別能力。除了因特網(wǎng)的標(biāo)準(zhǔn)協(xié)議如TCP, UDP等外，對(duì)利用這些協(xié)議留出的協(xié)議段傳播的非標(biāo)準(zhǔn)或私有協(xié)議是因特網(wǎng)繁榮發(fā)展的基礎(chǔ)，但也往往是威脅網(wǎng)絡(luò)安全的因素。原型機(jī)提取這些私有協(xié)議的特征（即指紋），實(shí)時(shí)地同機(jī)內(nèi)的指紋庫(kù)匹配檢索，如果協(xié)議是有害的，便可及時(shí)處置。指紋庫(kù)要有足夠的容量，并需要更新維護(hù)?，F(xiàn)有原型機(jī)的指紋庫(kù)可以保持

7、4000種最活躍的私有協(xié)議，并至少每月更新一次。4.靈活的配置和方便的部署方式，可靠的運(yùn)行性能。原型機(jī)可按用戶的要求設(shè)定閾限策略處置，并有串聯(lián)和并聯(lián)（鏡像）兩種部署。原型機(jī)的延遲、無故障運(yùn)行時(shí)間等均應(yīng)符合電信級(jí)設(shè)備的要求。5.業(yè)務(wù)分流能力。在精細(xì)地識(shí)別基礎(chǔ)上，原型機(jī)可按預(yù)設(shè)的方式對(duì)流重定向，把相關(guān)的業(yè)務(wù)流分門別類地輸送到后臺(tái)處理。這種辦法能大大提高后臺(tái)處理的效率，減輕對(duì)后臺(tái)存儲(chǔ)器容量的壓力。在進(jìn)行關(guān)鍵詞檢索、敏感文字挖掘，以及圖像、語音判別方面，經(jīng)過原型機(jī)的協(xié)議過濾和分類均衡，對(duì)后臺(tái)的云計(jì)算能力的要求可減到未分流的50%左右。以上是能滿足網(wǎng)絡(luò)態(tài)勢(shì)感知要求的原型機(jī)的技術(shù)指標(biāo)。我國(guó)硬件和軟件技術(shù)已

8、經(jīng)可以實(shí)現(xiàn)這樣的設(shè)備，并已具備了產(chǎn)業(yè)化的必要條件。但原型機(jī)的能力必須不斷提高，即所謂“魔高一尺，道高一丈”，才能適應(yīng)網(wǎng)絡(luò)安全的態(tài)勢(shì)感知的要求。態(tài)勢(shì)感知初解本文中的“網(wǎng)絡(luò)”指互聯(lián)網(wǎng)(Internet)或萬維網(wǎng)(World Wide Web)。前者是由計(jì)算機(jī)、連接媒介（如光纖、電纜）和路由器等傳輸管控設(shè)備組成的一種傳輸結(jié)構(gòu)，用IP地址定位每一個(gè)獨(dú)立的計(jì)算機(jī)終端。而后者是由網(wǎng)頁組成，以唯一的資源地址(URL)定位。前者是實(shí)實(shí)在在的物理網(wǎng)絡(luò)，后者是數(shù)字空間的虛擬網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)同萬維網(wǎng)有許多共同的特性，如果把互聯(lián)網(wǎng)中計(jì)算機(jī)終端和操控它的用戶看成一個(gè)節(jié)點(diǎn)，把節(jié)點(diǎn)間的傳輸線看成“邊”，則互聯(lián)網(wǎng)是一個(gè)由節(jié)點(diǎn)和邊

9、構(gòu)成的復(fù)雜系統(tǒng)。同樣萬維網(wǎng)是由網(wǎng)頁、超文本協(xié)議和訪問構(gòu)成的復(fù)雜系統(tǒng)。我們?cè)谶@里把互聯(lián)網(wǎng)和萬維網(wǎng)統(tǒng)稱為“網(wǎng)絡(luò)”，這是一種特指，是狹義的網(wǎng)絡(luò)。復(fù)雜系統(tǒng)科學(xué)研究中，往往把系統(tǒng)中的元素（或子系統(tǒng)）看成節(jié)點(diǎn)，把元素（或子系統(tǒng)）間的相互關(guān)系看成邊，而不考慮節(jié)點(diǎn)和邊的具體物理含義，這樣就可用網(wǎng)絡(luò)作為系統(tǒng)的模型，用網(wǎng)絡(luò)的一般理論去研究系統(tǒng)，那里的“網(wǎng)絡(luò)”是廣義的網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)在其建立的初期就確定了去中心化的原則，以保證在受到外來攻擊時(shí)的可用性和存活性?；ヂ?lián)網(wǎng)的開放特性逐漸引來了眾多的用戶，在自組織原理的支配下，形成了遍及全世界的龐大的結(jié)構(gòu)。這個(gè)復(fù)雜網(wǎng)絡(luò)以小世界、無標(biāo)度和聚集性為其特點(diǎn)，是一種非均勻網(wǎng)絡(luò)。互聯(lián)網(wǎng)并

10、沒有從一開始就規(guī)范網(wǎng)民的行為，事實(shí)上要規(guī)范也是徒勞的?；ヂ?lián)網(wǎng)為非標(biāo)準(zhǔn)或私有協(xié)議留下了空間，這一方面成為互聯(lián)網(wǎng)繁榮發(fā)展的技術(shù)基礎(chǔ)，但也使網(wǎng)絡(luò)安全問題逐步顯現(xiàn)。網(wǎng)絡(luò)安全問題由濫用或惡意攻擊引起，濫用和攻擊造成了網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為的異常。影響了網(wǎng)絡(luò)的可用性、保密性和完整性?；ヂ?lián)網(wǎng)集成了人類的智慧促進(jìn)社會(huì)發(fā)展，已成為人類社會(huì)不可或缺的資源，但其脆弱性是一個(gè)潛在的威脅。網(wǎng)絡(luò)的演化過程形成了網(wǎng)絡(luò)元素（獨(dú)立子網(wǎng)）之間的非線性關(guān)系，這是網(wǎng)絡(luò)復(fù)雜性的根源。網(wǎng)絡(luò)安全表現(xiàn)在宏觀的異常，而其底層是微觀運(yùn)動(dòng)，比如涌現(xiàn)就是一種微觀的集體行為。涌現(xiàn)是沒法計(jì)算，無法預(yù)測(cè)的，只有從微觀態(tài)勢(shì)感知和發(fā)現(xiàn)。網(wǎng)絡(luò)中數(shù)據(jù)傳輸是以包為單位

11、的，在傳輸中包不能再被分拆，不同的包可以循不同的路徑由源點(diǎn)送到目的，在那里按發(fā)送的順序組織成連接。連接傳達(dá)了通信雙方的信息，是網(wǎng)絡(luò)中最小的信息單元，我們可以把連接看成是網(wǎng)絡(luò)中的微觀顆粒，對(duì)網(wǎng)絡(luò)的微觀研究必定需從對(duì)連接的研究開始。這樣一種思路是我們對(duì)“態(tài)勢(shì)感知”理解的出發(fā)點(diǎn)。下面我們分四個(gè)層次來解釋：“態(tài)狀態(tài)”。為描述網(wǎng)絡(luò)這樣一個(gè)復(fù)雜系統(tǒng)，需要盡可能了解它的微觀狀態(tài)，這些狀態(tài)可以用流連接的參數(shù)描述。連接的參數(shù)可以分為有關(guān)傳輸?shù)膮?shù)（源和目的地址和端口、數(shù)據(jù)流方向等）、協(xié)議組參數(shù)（標(biāo)準(zhǔn)協(xié)議和私有協(xié)議標(biāo)志、私有協(xié)議組標(biāo)志等）、連接本身的參數(shù)（包的個(gè)數(shù)、包長(zhǎng)度、首個(gè)包的標(biāo)志等），以及連接時(shí)間和連接狀態(tài)

12、參數(shù)和有效傳輸時(shí)間參數(shù)等。這些參數(shù)還遠(yuǎn)遠(yuǎn)沒有窮盡流的全部信息，因?yàn)檫@些參數(shù)僅僅是包頭的一部分，而包的靜荷構(gòu)成的內(nèi)容還需要用更多的參數(shù)來表達(dá)，而內(nèi)容的參數(shù)表達(dá)是難以量化的，深度包分析（DPI）技術(shù)的目的就是盡量挖掘流參數(shù)。美國(guó)政府執(zhí)行的“愛因斯坦-3”計(jì)劃可以記錄13個(gè)連接參數(shù)。我們?cè)谏厦嫣岬降脑蜋C(jī)可記錄19個(gè)參數(shù)?！皠?shì)”從字面上看是“趨勢(shì)”，其物理意義是“關(guān)聯(lián)”。一個(gè)粒子在另一個(gè)粒子的作用場(chǎng)內(nèi)，就有“勢(shì)能”，代表這兩個(gè)粒子的關(guān)聯(lián)。粒子之間有相互作用才有勢(shì)。在網(wǎng)絡(luò)中，連接的關(guān)聯(lián)可以用其參數(shù)為坐標(biāo)。例如所有源地址相同的連接就從同一源發(fā)出信息。在這一組連接中，協(xié)議相同的連接表示由同個(gè)節(jié)點(diǎn)發(fā)出的使用

13、相同協(xié)議的連接。如果再把所有目的地址相同的連接相關(guān)聯(lián)，就表示由同一源、用相同協(xié)議傳輸?shù)酵荒康牡倪B接。連接的信息越精細(xì)，可以做的到的關(guān)聯(lián)就越復(fù)雜，層次也更多。因此連接的關(guān)聯(lián)就是一個(gè)多模匹配的過程。連接的多參數(shù)匹配將流分成許多層，體現(xiàn)了復(fù)雜網(wǎng)絡(luò)的分層特性?！案袡z知”。對(duì)于“勢(shì)”，必須有一種工具（算法或測(cè)度）才能檢知。例如一個(gè)容器中的氣體分子，我們無法確定單個(gè)分子的位置和動(dòng)量，只有容器中氣體的溫度、壓力等宏觀量才是能被測(cè)量的。所以“感”是從微觀到宏觀的過程。正如熱力學(xué)系統(tǒng)在外界的溫度和壓力變化時(shí)會(huì)產(chǎn)生相變一樣，復(fù)雜網(wǎng)絡(luò)在一定條件下，外界信息的輸入會(huì)產(chǎn)生突變，稱為“涌現(xiàn)”，由一個(gè)狀態(tài)變到另一個(gè)更有序

14、的狀態(tài)。系統(tǒng)的熵就是用來把微觀量表現(xiàn)為宏觀的測(cè)度的。熵有熱力學(xué)表示，也有信息學(xué)表示，它們都是相通的?！爸R(shí)”。宏觀量的檢知還不是知識(shí)，只有這些檢知出來的量以某種方式聯(lián)系起來，才能變成知識(shí)。知識(shí)是人類思考的“規(guī)則”，大家都遵守規(guī)則，才可以交流，其累積的成果就是文化?；氐骄W(wǎng)絡(luò)安全的問題，如果用熵（不管是哪種形式的熵）感知到某些異常，例如流量異?；蛐袨楫惓＃ㄔL問方式異常、協(xié)議使用異常）等，怎樣才能知道是安全還是不安全的因素呢？這就需要有事前準(zhǔn)備好的規(guī)則，用這些規(guī)則來判斷是否安全。連貫起來說，從網(wǎng)絡(luò)安全角度看，我們可以對(duì)“態(tài)勢(shì)感知” 這樣來理解：“網(wǎng)絡(luò)態(tài)勢(shì)是指網(wǎng)絡(luò)連接行為的實(shí)時(shí)狀態(tài)以及連接之間的關(guān)聯(lián)

15、，態(tài)勢(shì)感知是用可測(cè)度的宏觀量表示網(wǎng)絡(luò)狀態(tài)的突發(fā)變異，由此判斷網(wǎng)絡(luò)的安全趨勢(shì)?！卑次覀兊睦斫?，“態(tài)勢(shì)感知”是由微觀到宏觀的過程。首先，我們要得到盡可能完全的微觀信息。連接是網(wǎng)絡(luò)中信息的最小顆粒，微觀信息就是連接參數(shù)的全部。在這里我們要強(qiáng)調(diào)是全部信息，是由于復(fù)雜系統(tǒng)的變化往往是由小概率的事引起的，我們不能事先認(rèn)定哪些是“重要的”信息，哪些不是。采樣方法也是不合適的，因?yàn)槲覀儫o法用先驗(yàn)的統(tǒng)計(jì)分布之類的辦法來證明怎樣保持信息的完整性。有了完整的微觀信息才能進(jìn)行統(tǒng)計(jì)，得到可測(cè)量的宏觀量，到目前為止我們選擇了信息熵。熵是一個(gè)有廣泛意義的物理量，代表了系統(tǒng)的無序狀態(tài)，或者說是系統(tǒng)某一個(gè)參數(shù)的分布狀態(tài)，完全均

16、勻的分布代表完全無序，熵為最大值。一定的分布代表一定的有序，一個(gè)狄拉克函數(shù)型的分布代表完全有序的狀態(tài)，此時(shí)熵取其最小值。由微觀信息可以得到各種統(tǒng)計(jì)，也就是各種熵。例如IP地址的分布熵，端口的分布熵，協(xié)議的熵等等。上述的統(tǒng)計(jì)也是連接之間的關(guān)聯(lián)的一種表現(xiàn)，隨著統(tǒng)計(jì)涉及越來越多的參數(shù)，就進(jìn)入了越來越多的層次。分層是復(fù)雜系統(tǒng)的特征之一。到這里我們完成了態(tài)勢(shì)分析，下一步將是感知部分，我們要得到所選擇的宏觀量隨時(shí)間的變化，也就是說要增加時(shí)間這一維度。對(duì)網(wǎng)絡(luò)安全威脅是在時(shí)間上體現(xiàn)出來的，所以必須用動(dòng)力學(xué)方法檢知隨時(shí)可能發(fā)生的攻擊。具體來說，我們要隨時(shí)監(jiān)測(cè)熵的異常，得到了關(guān)于熵的時(shí)間信息，再根據(jù)對(duì)攻擊特性的已

17、有的知識(shí)，就有可能跟蹤并處置它。復(fù)雜系統(tǒng)研究方法早在1990年，錢學(xué)森院士等發(fā)表了“開放的復(fù)雜巨系統(tǒng)”這一科學(xué)論述，其后許多學(xué)科的深入研究證明，就其在結(jié)構(gòu)演化方面的復(fù)雜而言，互聯(lián)網(wǎng)就屬于這樣一種復(fù)雜系統(tǒng)。根據(jù)我國(guó)戴汝為院士的研究，開放的復(fù)雜巨系統(tǒng)的特性可概述為開放性、多層次性、涌現(xiàn)性和巨大性。1998年D. J. Watts和S. H. Strogatz，1999年A. L. Barabsi和R.Albert關(guān)于復(fù)雜網(wǎng)絡(luò)的開創(chuàng)性文獻(xiàn)分別發(fā)表于Nature及Science后，引起了相關(guān)研究的熱潮。上述兩篇文章的引用數(shù)已分別達(dá)到11309和8340(到2011年1月15日)。復(fù)雜網(wǎng)絡(luò)演化的特點(diǎn)是：

18、1.小世界。盡管網(wǎng)絡(luò)節(jié)點(diǎn)和邊的數(shù)量可能很大，但總能通過不多的跳數(shù)達(dá)到需要的節(jié)點(diǎn)。2.無標(biāo)度。網(wǎng)絡(luò)的連接并非是隨機(jī)的，連接數(shù)很大的節(jié)點(diǎn)仍有相當(dāng)大的數(shù)量，遵循冪律。冪律網(wǎng)絡(luò)不存在特征長(zhǎng)度，因此稱為無標(biāo)度網(wǎng)絡(luò)。3.聚類。連接到同一個(gè)節(jié)點(diǎn)的節(jié)點(diǎn)之間也是連接的可能性比平均連接數(shù)大得多。網(wǎng)絡(luò)的這些特點(diǎn)是同我們對(duì)網(wǎng)絡(luò)的直觀理解一致的。“小世界”即所謂人類社會(huì)關(guān)系中的“六度分隔”，為大家熟知。無標(biāo)度說明新的節(jié)點(diǎn)總是希望連接到資源豐富、連接數(shù)多的節(jié)點(diǎn)，因此“富者愈富”，形成了一些度數(shù)高的中心。聚類則表示“朋友的朋友也是朋友”，或“物以類聚”。廣義的網(wǎng)絡(luò)是研究復(fù)雜系統(tǒng)（如人類社會(huì)、經(jīng)濟(jì)社會(huì)、生物等）的模型。系統(tǒng)中

19、的元素相當(dāng)于網(wǎng)絡(luò)中的節(jié)點(diǎn)，元素間的相互作用相當(dāng)于連接節(jié)點(diǎn)的邊。因此，互聯(lián)網(wǎng)的研究可歸類于更一般的復(fù)雜系統(tǒng)和復(fù)雜網(wǎng)絡(luò)的研究。復(fù)雜網(wǎng)絡(luò)科學(xué)基于耗散結(jié)構(gòu)論、協(xié)同論和臨界突變理論，即所謂物理學(xué)的“新三論”。上述研究涉及網(wǎng)絡(luò)的演化模型，“小世界、無標(biāo)度、聚類”描述了復(fù)雜網(wǎng)絡(luò)的拓?fù)涮匦?，研究拓?fù)涞淖钔晟频墓ぞ呤菆D論。而網(wǎng)絡(luò)安全問題是在網(wǎng)絡(luò)現(xiàn)有拓?fù)渖系臑E用或惡意攻擊造成的。網(wǎng)絡(luò)的拓?fù)湟苍谘莼?，不是絕對(duì)靜止的，但相對(duì)于瞬息萬變的網(wǎng)絡(luò)狀態(tài)來說，是相對(duì)靜止的。網(wǎng)絡(luò)安全問題則是動(dòng)態(tài)問題。復(fù)雜網(wǎng)絡(luò)（廣義網(wǎng)絡(luò)）的一般動(dòng)力學(xué)是復(fù)雜網(wǎng)絡(luò)研究的前沿。而以互聯(lián)網(wǎng)（及萬維網(wǎng)）的安全作為明確目標(biāo)的研究者來說，首要的任務(wù)是對(duì)網(wǎng)絡(luò)安全

20、確定定量的測(cè)度。這一測(cè)度只有通過網(wǎng)絡(luò)的動(dòng)力學(xué)方程才能解析出來。研究網(wǎng)絡(luò)上信息傳輸動(dòng)力學(xué)的目的是描述用不同參數(shù)標(biāo)志的信息流（以連接的形式）在網(wǎng)絡(luò)上的分布隨時(shí)間的變化。對(duì)網(wǎng)絡(luò)安全的不同的威脅可以從動(dòng)力學(xué)過程中被分辨出來。對(duì)網(wǎng)絡(luò)安全的威脅可以是資源耗盡型的如DoS、蠕蟲等，也可以是先傳播然后在一定條件下發(fā)作的如病毒等。每一類安全威脅都有其動(dòng)力學(xué)的特征，而這又是同網(wǎng)絡(luò)的拓?fù)溆嘘P(guān)的。例如病毒的傳播，在無標(biāo)度網(wǎng)絡(luò)中，由于度分布滿足冪律分布，一個(gè)隨機(jī)選擇的節(jié)點(diǎn)傾向于連接關(guān)鍵節(jié)點(diǎn)或度大的節(jié)點(diǎn)，因此度大的節(jié)點(diǎn)就容易感染，然后作為種子去感染別的節(jié)點(diǎn)。所以，病毒在無標(biāo)度網(wǎng)中的傳播要比在均勻網(wǎng)上的傳播更快，這顯然影響傳播的動(dòng)力學(xué)特性?，F(xiàn)在還沒有看到對(duì)網(wǎng)絡(luò)動(dòng)力學(xué)的全面描述的文獻(xiàn)，但是從物理學(xué)的發(fā)展史可以推想，正像統(tǒng)計(jì)力學(xué)把熱力