網(wǎng)絡(luò)空間測繪系統(tǒng)及應(yīng)用研究

網(wǎng)絡(luò)空間測繪是對網(wǎng)絡(luò)空間的組成要素及其關(guān)系進(jìn)行測量、分析、推斷以發(fā)現(xiàn)網(wǎng)絡(luò)空間的演變規(guī)律，并繪制全息網(wǎng)絡(luò)地圖系列方法的總和。網(wǎng)絡(luò)空間測繪作為一項十分重要的基礎(chǔ)性工作，是網(wǎng)絡(luò)空間國防能力建設(shè)的重要部分，是大國博弈背景下，網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)邊疆的重要體現(xiàn)，對于推動國民經(jīng)濟和保障國家安全都具有十分重要的理論意義和應(yīng)用價值。與傳統(tǒng)地理測繪學(xué)相比，網(wǎng)絡(luò)空間測繪研究的對象和范圍均超越了一般的認(rèn)知范圍。首先，網(wǎng)絡(luò)空間是由海量異構(gòu)的虛實資源組成，需要用各種監(jiān)測方法和裝置對其進(jìn)行探測；其次，網(wǎng)絡(luò)空間是人類創(chuàng)造的數(shù)字世界，很多特征難以通過物理數(shù)據(jù)進(jìn)行直觀反映；第三，網(wǎng)絡(luò)空間中的信息傳輸具有瞬時可達(dá)的特性，這使得網(wǎng)絡(luò)空間中的距離、方位等特征不像在傳統(tǒng)地理空間那么重要，而對外提供的服務(wù)、接口、操作版本等特征在網(wǎng)絡(luò)空間中卻更重要。經(jīng)過近十年發(fā)展，在網(wǎng)絡(luò)空間探測與發(fā)現(xiàn)、網(wǎng)絡(luò)身份關(guān)聯(lián)與映射、網(wǎng)絡(luò)實體定位等方面已經(jīng)取得了較多的研究進(jìn)展，隨著網(wǎng)絡(luò)空間應(yīng)用的不斷深化和發(fā)展，使得對網(wǎng)絡(luò)空間地圖的統(tǒng)一構(gòu)建和測繪需求日益迫切，成為當(dāng)前產(chǎn)業(yè)界和學(xué)術(shù)界研究的熱點。1國內(nèi)外研究綜述1.1國外現(xiàn)狀1.1.1測繪系統(tǒng)計劃美國是最早推動網(wǎng)絡(luò)空間測繪應(yīng)用的國家,目前已形成了較為完整的網(wǎng)絡(luò)空間探測基礎(chǔ)設(shè)施和體系。最具代表性的有美國國家安全局（NationalSecurityAgency，NSA）的藏寶圖計劃，美國國防部先進(jìn)研究項目局（DefenseAdvancedResearchProjectsAgency，DRAPA）的X計劃以及美國國土資源部（UnitedStatesDepartmentofHomelandSecurity，DHS）的SHINE計劃。如表1所示。表1美國網(wǎng)絡(luò)空間測繪相關(guān)計劃列表藏寶圖計劃旨在提升本國情報生產(chǎn)能力，通過對網(wǎng)絡(luò)空間多層（地理層、物理層、邏輯層以及社交層）數(shù)據(jù)的捕獲及快速分析，從而形成大規(guī)模的情報生產(chǎn)能力，并為其“五眼情報聯(lián)盟”（包括美國、英國、加拿大、澳大利亞和新西蘭）的合作伙伴提供情報支持。該計劃十分龐大，持續(xù)繪制整個網(wǎng)絡(luò)空間地圖，包括整個IPv4和部分IPv6，關(guān)注邏輯層（路由等），但也涉及物理層、數(shù)據(jù)鏈路層、應(yīng)用層。X計劃旨在提升美軍網(wǎng)絡(luò)空間作戰(zhàn)能力，通過對網(wǎng)絡(luò)戰(zhàn)場地圖的快速描繪，輔助生成作戰(zhàn)計劃，并促進(jìn)網(wǎng)絡(luò)作戰(zhàn)任務(wù)高效推進(jìn)。美國DRAPA認(rèn)為，開發(fā)直觀的視圖和整體用戶體驗，未來如果網(wǎng)絡(luò)戰(zhàn)爭變得極為尋常，那么就有必要讓網(wǎng)絡(luò)戰(zhàn)爭的打法就像操作iPhone那么簡單。SHINE計劃旨在監(jiān)控美國本土關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源安全狀態(tài)，通過網(wǎng)絡(luò)空間掃描引擎（Shodan）對本土網(wǎng)絡(luò)空間地址列表進(jìn)行安全態(tài)勢感知，并由工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)組（IndustrialControlSystemsCyberEmergencyResponseTea，ICS-CERT）定期向其所有者推送安全通告，保證關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。除了Shodan以外，比較出名的還有由密歇根大學(xué)和Rapid7公司共同合作完成的Censys搜索引擎平臺，它不僅掃描了IPv4地址，還對域名和證書進(jìn)行掃描。1.1.2拓?fù)涮綔y互聯(lián)網(wǎng)拓?fù)涫怯捎?domain)構(gòu)成的層次結(jié)構(gòu)[1]，一個自治系統(tǒng)(AS,AutonomousSystem)為一個域，由一個或多個IP地址前綴的子網(wǎng)構(gòu)成。各自治域內(nèi)可以運行一種或幾種不同的內(nèi)部網(wǎng)關(guān)協(xié)議，如OSPF協(xié)議、RIP協(xié)議、靜態(tài)路由和缺省路由來負(fù)責(zé)域內(nèi)的路由選擇。各域之間的路由主要是通過BGP協(xié)議來完成。因此，根據(jù)發(fā)現(xiàn)的不同層次來分可將現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)大致分為接口級、路由器級、PoP（PointofPresence）級和AS（AutonomousSystem，自治系統(tǒng)）級。在接口級拓?fù)渲?，每個節(jié)點表示路由器或主機上的IP地址，節(jié)點與IP地址一一對應(yīng)，節(jié)點之間的連線表示在網(wǎng)絡(luò)層上的兩個IP直接連接。路由器級拓?fù)涫窃诮涌诩壨負(fù)涞幕A(chǔ)上，將同屬于一個路由器的IP地址進(jìn)行歸并后形成的網(wǎng)絡(luò)拓?fù)?，每個節(jié)點表示具有一個或多個接口的主機或路由器等網(wǎng)絡(luò)設(shè)備，兩個節(jié)點之間的邊表示兩個設(shè)備具有位于同一個IP廣播域中的接口。PoP級網(wǎng)絡(luò)拓?fù)涫峭瑢儆谝粋€AS的多個路由器的集合，PoP在一個AS內(nèi)部形成骨干網(wǎng)絡(luò)，同時與其他AS內(nèi)的PoP連接，并對用戶提供網(wǎng)絡(luò)接入服務(wù)，此時網(wǎng)絡(luò)拓?fù)鋱D中的每個點表示一個PoP，兩個節(jié)點之間的連線表示兩個PoP之間有相互連接的路由器。在AS級的網(wǎng)絡(luò)拓?fù)渲?，每個節(jié)點表示一個AS，節(jié)點間的邊表示兩個AS之間存在業(yè)務(wù)關(guān)系，一個AS通常可覆蓋一整個地理區(qū)域，該區(qū)域內(nèi)的主要城市內(nèi)具有不同的PoP。由于接口級、路由器級以及PoP級網(wǎng)絡(luò)拓?fù)淅碚撋峡捎成涞椒秶^小的地理位置，而AS級網(wǎng)絡(luò)拓?fù)涓呌谶壿嬌系母拍睿瑔蝹€AS的覆蓋區(qū)域通常較大，相比之下，接口級、路由器級以及PoP級網(wǎng)絡(luò)拓?fù)涓菀妆焕斫?，因此對接口級、路由器級和PoP級網(wǎng)絡(luò)拓?fù)溲芯康帽容^多。1.1.3網(wǎng)絡(luò)資產(chǎn)探測1997年，發(fā)表文章《TheArtofPortScanning》，并發(fā)布Nmap（NetworkMapper）的第一個版本，標(biāo)志著網(wǎng)絡(luò)資產(chǎn)探測技術(shù)開始。ShahS提出了通過服務(wù)標(biāo)識（Banner）來識別Web服務(wù)器軟件的方法。由于部分終端設(shè)備的HTTP返回包中并不含有Banner信息，并且Banner信息可以被偽造，因此該方法在識別終端設(shè)備時具有一定的局限性。后來，提出一種不依賴Banner信息的識別方法，即通過返回的某些短語差異和超長URL處理方式差異來識別，但該種方法可能會增加終端設(shè)備的處理負(fù)擔(dān)，造成拒絕服務(wù)，或被防火墻等設(shè)備判定為攻擊行為，引發(fā)報警。在協(xié)議識別方面，最早研究的協(xié)議識別技術(shù)是基于端口的協(xié)議識別技術(shù)，基于測度識別協(xié)議的技術(shù)等，但這些協(xié)議識別技術(shù)的適用范圍窄，靈活性較差，根據(jù)近幾年美國Ellacoya網(wǎng)絡(luò)研究公司的關(guān)于網(wǎng)絡(luò)流量狀況的調(diào)查統(tǒng)計顯示，基于P2P應(yīng)用協(xié)議的流量超過50%，而基于HTTP協(xié)議的互聯(lián)網(wǎng)流量占據(jù)全部流量的大約1/4，因此對應(yīng)用層協(xié)議的識別成為當(dāng)前研究的重點。1.2國內(nèi)現(xiàn)狀1.2.1網(wǎng)絡(luò)測繪系統(tǒng)在國家科技部重點研發(fā)、總裝備部預(yù)先研究等項目的支持下，國內(nèi)中科院信工所、中國電子科技網(wǎng)絡(luò)信息安全有限公司、中國電子、清華大學(xué)等科研院所和高校分別圍繞網(wǎng)絡(luò)空間資源探測、網(wǎng)絡(luò)拓?fù)錅y量等技術(shù)開展了關(guān)鍵技術(shù)攻關(guān)，形成了豐富的研究成果。在系統(tǒng)設(shè)計方面，中國電子科技網(wǎng)絡(luò)信息安全有限公司研制了網(wǎng)絡(luò)空間測繪系統(tǒng)，具備對網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)資產(chǎn)、關(guān)鍵人物的探測、分析和展示能力；知道創(chuàng)宇的ZoomEye可對全球的路由設(shè)備、工業(yè)聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)設(shè)備以及攝像頭等基礎(chǔ)設(shè)施進(jìn)行探測；華順信安的FOEYE在網(wǎng)絡(luò)資產(chǎn)全面測繪的基礎(chǔ)上,以漏洞為切入點，重新定義了安全事件處理和漏洞掃描形式,形成集資產(chǎn)探測管理、安全事件驗證、智能統(tǒng)計分析、安全態(tài)勢感知、持續(xù)安全監(jiān)控為一體的全方位安全體系。1.2.2網(wǎng)絡(luò)拓?fù)錅y量國內(nèi)學(xué)者在互聯(lián)網(wǎng)出現(xiàn)早期就已經(jīng)開始對網(wǎng)絡(luò)拓?fù)涞臏y量展開研究，并取得了一系列研究成果。但總體而言，這些研究依然遵循AS、PoP、路由器、IP接口級的層次進(jìn)行，從降低探測成本和提升探測收益的角度提出了一系列創(chuàng)新性的方法，表2總結(jié)了其中較具代表性的工作。表2國內(nèi)網(wǎng)絡(luò)拓?fù)涮綔y研究機構(gòu)情況1.2.3

網(wǎng)絡(luò)資產(chǎn)探測目前，國內(nèi)在工業(yè)控制服務(wù)探測方面，已經(jīng)初步形成了以網(wǎng)絡(luò)主動探測技術(shù)為基礎(chǔ)的對部分重要工業(yè)控制系統(tǒng)的在線監(jiān)測能力，能夠支持對SCADA、PLC等典型工業(yè)控制系統(tǒng)（設(shè)備），MODBUS等部分工業(yè)控制協(xié)議，以及工業(yè)控制有關(guān)的通用網(wǎng)絡(luò)服務(wù)進(jìn)行探測和識別。但和國外相比，還存在支持工業(yè)控制設(shè)備/協(xié)議等服務(wù)數(shù)量不足、感知深度不夠等問題。2網(wǎng)絡(luò)空間測繪系統(tǒng)網(wǎng)絡(luò)空間測繪系統(tǒng)的體系架構(gòu)如圖1所示，系統(tǒng)自底向上分為全維探測、引接匯聚、融合分析和綜合呈現(xiàn)四層。全維探測層實現(xiàn)多維度采集目標(biāo)數(shù)據(jù)和自動化管理任務(wù)和載荷?；谌蚍植际教綔y任務(wù)管理平臺通過對任務(wù)的分解，操作員可以從載荷庫選取滿足任務(wù)要求的載荷對目標(biāo)實施主、被動探測和采集，平臺通過動態(tài)載荷加載實現(xiàn)對目標(biāo)不同維度數(shù)據(jù)的獲取。引接匯聚層接入探測層的數(shù)據(jù)和其他來源數(shù)據(jù)，對其進(jìn)行標(biāo)準(zhǔn)化、數(shù)據(jù)校驗，形成可供進(jìn)一步分析的標(biāo)準(zhǔn)化數(shù)據(jù)。融合分析層通過關(guān)聯(lián)分析、機器學(xué)習(xí)等多種技術(shù)手段從數(shù)據(jù)中挖掘高價值信息，分別從網(wǎng)絡(luò)拓?fù)?、資產(chǎn)屬性、目標(biāo)畫像三個層次開展分析，形成對目標(biāo)空間的深刻理解和體系化認(rèn)識。綜合呈現(xiàn)層提供地圖可視化和數(shù)據(jù)服務(wù)，其中可視化具有多個層級，可根據(jù)用戶需求進(jìn)行縮放或布局，各個實體目標(biāo)采用可配置的規(guī)范圖標(biāo)進(jìn)行呈現(xiàn)。綜合管理為系統(tǒng)提供用戶管理、安全運維、地圖標(biāo)準(zhǔn)及比例尺、數(shù)據(jù)導(dǎo)入導(dǎo)出等功能，確保系統(tǒng)能夠獨立運作，且能為其他業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐。圖1網(wǎng)絡(luò)空間測繪系統(tǒng)體系架構(gòu)網(wǎng)絡(luò)空間測繪系統(tǒng)的主要功能如下：（1）全維探測。依托全球分布式探測管理平臺集成網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)資產(chǎn)、網(wǎng)絡(luò)爬蟲、流量采集等各種主、被動探測工具和輔助工具，既包括對網(wǎng)絡(luò)空間進(jìn)行全網(wǎng)普查性端口掃描探測工具，也包括專用協(xié)議和場景的探測工具，從而形成對全球互聯(lián)網(wǎng)IPv4/v6地址空間進(jìn)行多個指定端口快速探測的能力，并支持基于端口的自定義探測。（2）拓?fù)浒l(fā)現(xiàn)。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)基于拓?fù)涮綔y得到的基礎(chǔ)數(shù)據(jù)和被動采集到的多源數(shù)據(jù)，通過數(shù)據(jù)融合生成相應(yīng)的路由器級、PoP級和AS級；同時，基于構(gòu)建的多層次網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對重點目標(biāo)網(wǎng)絡(luò)進(jìn)行節(jié)點屬性和鏈路屬性深度分析，獲取目標(biāo)網(wǎng)絡(luò)物理和邏輯鏈路屬性，并識別網(wǎng)絡(luò)拓?fù)潢P(guān)鍵節(jié)點和關(guān)鍵路徑，對網(wǎng)絡(luò)空間拓?fù)涞慕Y(jié)構(gòu)特征進(jìn)行分析，獲取網(wǎng)絡(luò)空間的形成規(guī)律、演化趨勢。（3）資產(chǎn)分析。重要網(wǎng)絡(luò)資產(chǎn)識別基于分布式平臺主、被動探測獲取的數(shù)據(jù)開展基于知識圖譜、關(guān)聯(lián)分析、相似目標(biāo)聚類等多手段相結(jié)合的方法，實現(xiàn)對網(wǎng)絡(luò)空間資產(chǎn)的發(fā)現(xiàn)、識別、分類，并建立資產(chǎn)特征庫，構(gòu)建網(wǎng)絡(luò)空間與物理空間關(guān)系圖譜，獲取網(wǎng)絡(luò)資產(chǎn)的詳情，如組織架構(gòu)、關(guān)鍵人物、IP地址、設(shè)備詳情、開放端口/服務(wù)詳情、漏洞信息等。（4）智能檢索。智能檢索面向用戶對全球網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)的精確、快速搜索的需求，設(shè)計基于“MongoDB+Kafka+ElasticSearch”的海量數(shù)據(jù)快速搜索方案，提供按組件、服務(wù)、設(shè)備、端口、IP、網(wǎng)段、時間范圍和地理位置等關(guān)鍵詞的檢索，以及自定義的全球網(wǎng)絡(luò)資產(chǎn)快速檢索和關(guān)聯(lián)能力，為網(wǎng)絡(luò)溯源、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御等提供基礎(chǔ)數(shù)據(jù)與安全情報支撐。網(wǎng)絡(luò)空間測繪系統(tǒng)基于采集、分析和檢索方面的能力，目前已向多個行業(yè)的用戶提供豐富的測繪應(yīng)用服務(wù)，如探測服務(wù)、數(shù)據(jù)服務(wù)和數(shù)據(jù)分析服務(wù)等。3結(jié)語網(wǎng)絡(luò)空間測繪的最終目標(biāo)是實現(xiàn)對網(wǎng)絡(luò)空間的準(zhǔn)確刻畫與描述，形成一張“網(wǎng)絡(luò)地圖”，為網(wǎng)絡(luò)空間安全提供“導(dǎo)航”。當(dāng)前