第十一章 脆弱性.pptx

第十一章脆弱性,十个主要知识点1）证明存在最佳攻击策略并且它直接与网络拓扑结构相关。2）网络风险值定义为，威胁t=攻击的概率，脆弱性v=企图攻击成功的概率，后果c=一个攻击成功后发生的后果或损害。函数是优化目标函数，g是网络中顶点度，这使网络的拓扑结构和风险,属性关联起来。3）降低网络脆弱性的方法：1、网络风险的策略与资源分配策略相当，通过优化资源分配“买断”风险。2、通过各种保护措施使节点/链路的风险降低。我们在这俩种情况下求解网络的最佳资源分配问题：线性成本和指数成本。4）关键节点/链路是具有最高值的资产，其中对链路g=1,对节点g=degree（v）C=后果；脆弱性降低成本(maxDA)=删除大部分或全部脆弱性需要的资源。证明了最优分,配策略服从由gC/maxDA建立的排序属性，与脆弱性和资源分配DA之间的关系无关。5）关键节点和链路是具有最高gC/maxDA值的节点/链路。最好的资源分配策略会为关键节点/链路分配更多的资源。6）A-L的攻击-防御模型，显示出攻击者与防御者资源分配在直径上截然相反，攻击者应该为不关键的节点/链路分配比关键节点和链路更多的资源，防御者应将大部分资源分配到关键节点和链路上。这里假定攻击者和防御者了解对方的策略和资源分配。7）证明对于不了解攻击者分配策略的防御者,而言线性分配策略使防御者风险最小化，指数分配策略使攻击者风险最大化。8）链路弹性：将网络分成单独的组件必须删除的链路部分。我们说明删除更少的链路就会使无标度网络分隔成组件，而随机或小世界网络不会。9）流弹性：当链路阻塞或删除时有向网络所支持的最大流量的分数。这里我们研究一种启发式优化分配，分配资源保护流网络不会由于沿着关键路径上的链路的删除而产生故障，根据有效的度量minCi/Dai排序。10）删除一个或多个关键链路会使基尔霍夫网,络。关键链路是指删除后会导致基尔霍夫网络不稳定的链路，这种基尔霍夫网络是无法稳定的，除非其反馈回路（反馈循环）的长度相对都是质数。因为删除关键链路后会更改反馈回路的长度，即删除了一个长度相对于另外一个循环来说是质数的循环。稳定性弹性：对稳定性不关键的链路部分。,11.1网络风险,网络可以模拟几乎所有可以分解成节点及它们之间的链路的系统。在一般情况下，摧毁或禁用一个或多个其节点或链路来中断网络，相反，可以通过保护或强化节点或链路来保护网络，或两者兼而有之。我们通过制定和求解一系列资源优化方程式，找出现有预算约束下的最佳分配来尽可能强化节点和链路。,首先，探讨基于节点的网络保护问题产生关键节点分析，然后通过保护其链路来保护网络的问题产生关键链路分析，最后介绍网络脆弱性的新概念在基尔霍夫网络中删除链路会造成不稳定。假设脆弱性和威胁以概率形式表示，风险为由于威胁和脆弱性的预期损失。下面的公式通用于本章：T=威胁：发生一次攻击的概率(取决于攻击的性质)V=脆弱性：一次成功攻击的概率（依赖于攻击的性质）,C=后果：一次成功攻击所造成的损失R=风险：预期损失，R=TVC这是应用于概率风险分析（PRA）中的工程和财务分析定义。简单的PRA的定义必须扩展以便计算系统中的风险，因为系统故障也是节点的相互依赖性的函数，即当计算风险时就与网络的连通性有关。,11.1.1将节点作为目标,考虑风险和受损节点相关。系统的损失是网络连通性的损失及单一节点本身价值损失的结合。一个节点的目标价值包括其内在价值和它对整个网络的价值。PRA风险定义的一个简单的合乎逻辑的扩展是将节点的目标价值定义为，其中g是节点的度，C是与节点内在价值相关联的后果。,网络层叠：从一个单一节点/链路故障开始像传染病一样传播到连接的节点的一系列故障。L等人用负载和偏差参数模拟了节点的目标值。参数可被视为一个冗余因素，当主节点故障时就会提供冗余容量。节点故障后果与它的负载和冗余参数有关：L等人说明最关键的节点是具有最高负载的节点，网络由于高负荷节点故障而向其他（邻近）节点传播所增加的负荷更为困难所造成的。即从节点到节点负载差异较大时，网络对故障就更加脆弱且会随着不均匀性增,加而增加。随着链路数的增加，节点上的负荷也会增加，当网络变得无标度时，L等人的模型会变得更像A-L模型。A和B称hub为网络死穴，因为它们在网络破坏方面是最重要的节点，即对整体网络的风险贡献更大，因为删除hub也会禁用大部分链路。L通过仿真显示由于层叠而导致整个网络彻底故障的概率会随着目标节点度的增加而显著增加。当网络是匀质的且防御者资源有限时最好的策略是保护最高度的节点，而异构网络的防御依赖于后果和强化节点的费用及度序列。,当网络的所有节点都具有同样价值时，随机选择节点目标，均匀的无标度网络要比随机网络更有容忍性，但目标针对hub时结果相反。但将任一高价值的节点作为目标时，必须考虑节点连通性和后果值。,11.1.2将链路作为目标,L等人研究了对具有相等目标价值的完整小世界和无标度网络中的链路的删除效应，发现最重负载的链路比轻负载的更为重要并且在无标度网络中短程链路比远程链路更易受到攻击是由于短程链路承担了最大负载，即拥有更高目标价值的链路更关键。,11.2关键节点分析,关键节点分析：同时考虑节点/链路目标价值和网络拓扑结构的静态技术。假设将网络风险定义为拓扑结构、节点/链路后果和强化每个节点/链路的费用。关键节点的分配问题：B：固定预算DAi：节点/链路i=1,2,(n+m)的投资量：组件i的脆弱性，作为投资的函数,MaxDAi：使vi（DA）减少到最低限度的投资量Ci：成功攻击节点/链路i的后果约束：以下三个策略为网络防御者导出最优资源的配置：1）定义一个表示异构节点和链路、网络连通性的目标函数，并将其最小化。2）通过买断脆弱性减少风险。即买断v3）通过最大限度地减少目标函数，在约束内求解节点/链路分配DAi。,11.2.1杠铃模型,1、目标函数定义为在预算约束条件下所有杠铃风险的总和，ri为杠铃j相关风险，其中m为链路数量。2、如图11-1b所示的故障树代表了系统可能失效的所有方式。,3）构建函数：L节点：失败的概率Vl链路k:没有失败的概率（1-Vk）R节点：失败的概率Vr这里两个节点故障后果就是它们后果的总和。目标函数定义为这里目标函数是节点加权风险加上链路风险的总和。,11.2.2网络风险最小化,1、脆弱性成本的减少maxDA，强化最关键的节点成本高。因此高价值的节点的资源利用率偏低。2、风险减少是降低后果、脆弱性或同时降低两者的过程。资源优化是从有限的资源中获取最大化的过程。3、线性成本模型,L和A证明，节点和链路的资源最佳分配模式使用简单的排序。根据乘积从高到低，通过分配Dak单位到最高排序资产直到Bd耗尽为止，一边完全消除脆弱性。,11.2.3指数成本模型,1、脆弱性减少会受到收益递减的影响，所以指数成本模型更可取。2、指数成本模型：3、区别于线性成本模型：1）实际分配DA是不同的；2）由于无限的投资才能完全消除脆弱性，所以网络风险会更高。,11.2.4攻击者-防御者模型,1、A和L从两方面扩展了线性成本模型：1）指数成本模型替代了线性成本模型；2）以攻击者的形式增加了一个对手。2、攻击者-防御者模型：AA=攻击者的分配向量，DA=防御者的分配向量。,11.3博弈论的考虑,1、在简单的博弈中，假定防御者和攻击者知道对方的策略的某些内容，在实际中，有关对手的假设可讷讷个是错误的，然而一旦采用策略，就存在一场博弈，我们使用规范化的网络风险定义：,11.4一般的攻击者防御者网络风险问题,1、网络攻击者防御者问题是不对称的。攻击者问题：不受攻击内容、攻击时间以及攻击手段约束，但受到攻击成本约束。防御者问题：受到防御内容、防御时间以及防御方式，维护节点和链路的费用的限制。,2、攻击者防御者目标函数：,11.5关键链路分析,1、链路弹性：为了使网络分成各个组件所必须予以删除的链路的百分比：t=损坏或删除的链路数，m=初始的链路数。链路弹性值越高，就越难以分隔，小世界网络最有弹性，随机网络其次，无标度网络最小。,2、稳定性弹性：当删除链路时网络稳定的链路分数：；s=如果删除，造成网络不稳定的链路的数量，m=链路总数。由于删除链路会产生一个不稳定的网络，我们可以强化关键链路或者添加冗余替代链路。,11.5.1链路弹性,1、随机删除链路将网络分成两个或两个以上的部分，则一般情况下需要删除多少链路才能将任意一个网络分成两部分？渗流：添加链路直到形成一个巨大的连通组件位置的过程。分隔成不同组件所需删除的链路数取决于去渗流产生的链路弹性的估计值。,11.5.2链路弹性模型,我们通过两种方式使用纯粹的泊松过程建立隔离模型：1、设是一个常数，描述去渗流网络中度序列的均匀性偏差：。2、设隔离概率为删除每条链路的两端的stub所产生的结果，通过改变删除链路的两端的度序列分布来改变度序列分布。3、删除t条链路后，使平均度和选择属于删,除链路的节点的概率分别如下：m=原始链路数；n=节点的数目；t=删除的链路数；a=将要确定的依赖于度序列的常数；p=选择平均度为的节点的概率。,11.5.3流弹性,1、如果网络表明了从源到接收节点的流，说明源节点非常重要，应该被保护，而忽略它们的度或者费用。,11.5.5网络流资源分