網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)及應(yīng)用研究

網(wǎng)絡(luò)空間測(cè)繪是對(duì)網(wǎng)絡(luò)空間的組成要素及其關(guān)系進(jìn)行測(cè)量、分析、推斷以發(fā)現(xiàn)網(wǎng)絡(luò)空間的演變規(guī)律，并繪制全息網(wǎng)絡(luò)地圖系列方法的總和。網(wǎng)絡(luò)空間測(cè)繪作為一項(xiàng)十分重要的基礎(chǔ)性工作，是網(wǎng)絡(luò)空間國(guó)防能力建設(shè)的重要部分，是大國(guó)博弈背景下，網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)邊疆的重要體現(xiàn)，對(duì)于推動(dòng)國(guó)民經(jīng)濟(jì)和保障國(guó)家安全都具有十分重要的理論意義和應(yīng)用價(jià)值。與傳統(tǒng)地理測(cè)繪學(xué)相比，網(wǎng)絡(luò)空間測(cè)繪研究的對(duì)象和范圍均超越了一般的認(rèn)知范圍。首先，網(wǎng)絡(luò)空間是由海量異構(gòu)的虛實(shí)資源組成，需要用各種監(jiān)測(cè)方法和裝置對(duì)其進(jìn)行探測(cè)；其次，網(wǎng)絡(luò)空間是人類(lèi)創(chuàng)造的數(shù)字世界，很多特征難以通過(guò)物理數(shù)據(jù)進(jìn)行直觀反映；第三，網(wǎng)絡(luò)空間中的信息傳輸具有瞬時(shí)可達(dá)的特性，這使得網(wǎng)絡(luò)空間中的距離、方位等特征不像在傳統(tǒng)地理空間那么重要，而對(duì)外提供的服務(wù)、接口、操作版本等特征在網(wǎng)絡(luò)空間中卻更重要。經(jīng)過(guò)近十年發(fā)展，在網(wǎng)絡(luò)空間探測(cè)與發(fā)現(xiàn)、網(wǎng)絡(luò)身份關(guān)聯(lián)與映射、網(wǎng)絡(luò)實(shí)體定位等方面已經(jīng)取得了較多的研究進(jìn)展，隨著網(wǎng)絡(luò)空間應(yīng)用的不斷深化和發(fā)展，使得對(duì)網(wǎng)絡(luò)空間地圖的統(tǒng)一構(gòu)建和測(cè)繪需求日益迫切，成為當(dāng)前產(chǎn)業(yè)界和學(xué)術(shù)界研究的熱點(diǎn)。1國(guó)內(nèi)外研究綜述1.1國(guó)外現(xiàn)狀1.1.1測(cè)繪系統(tǒng)計(jì)劃美國(guó)是最早推動(dòng)網(wǎng)絡(luò)空間測(cè)繪應(yīng)用的國(guó)家,目前已形成了較為完整的網(wǎng)絡(luò)空間探測(cè)基礎(chǔ)設(shè)施和體系。最具代表性的有美國(guó)國(guó)家安全局（NationalSecurityAgency，NSA）的藏寶圖計(jì)劃，美國(guó)國(guó)防部先進(jìn)研究項(xiàng)目局（DefenseAdvancedResearchProjectsAgency，DRAPA）的X計(jì)劃以及美國(guó)國(guó)土資源部（UnitedStatesDepartmentofHomelandSecurity，DHS）的SHINE計(jì)劃。如表1所示。表1美國(guó)網(wǎng)絡(luò)空間測(cè)繪相關(guān)計(jì)劃列表藏寶圖計(jì)劃旨在提升本國(guó)情報(bào)生產(chǎn)能力，通過(guò)對(duì)網(wǎng)絡(luò)空間多層（地理層、物理層、邏輯層以及社交層）數(shù)據(jù)的捕獲及快速分析，從而形成大規(guī)模的情報(bào)生產(chǎn)能力，并為其“五眼情報(bào)聯(lián)盟”（包括美國(guó)、英國(guó)、加拿大、澳大利亞和新西蘭）的合作伙伴提供情報(bào)支持。該計(jì)劃十分龐大，持續(xù)繪制整個(gè)網(wǎng)絡(luò)空間地圖，包括整個(gè)IPv4和部分IPv6，關(guān)注邏輯層（路由等），但也涉及物理層、數(shù)據(jù)鏈路層、應(yīng)用層。X計(jì)劃旨在提升美軍網(wǎng)絡(luò)空間作戰(zhàn)能力，通過(guò)對(duì)網(wǎng)絡(luò)戰(zhàn)場(chǎng)地圖的快速描繪，輔助生成作戰(zhàn)計(jì)劃，并促進(jìn)網(wǎng)絡(luò)作戰(zhàn)任務(wù)高效推進(jìn)。美國(guó)DRAPA認(rèn)為，開(kāi)發(fā)直觀的視圖和整體用戶體驗(yàn)，未來(lái)如果網(wǎng)絡(luò)戰(zhàn)爭(zhēng)變得極為尋常，那么就有必要讓網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的打法就像操作iPhone那么簡(jiǎn)單。SHINE計(jì)劃旨在監(jiān)控美國(guó)本土關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源安全狀態(tài)，通過(guò)網(wǎng)絡(luò)空間掃描引擎（Shodan）對(duì)本土網(wǎng)絡(luò)空間地址列表進(jìn)行安全態(tài)勢(shì)感知，并由工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)組（IndustrialControlSystemsCyberEmergencyResponseTea，ICS-CERT）定期向其所有者推送安全通告，保證關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。除了Shodan以外，比較出名的還有由密歇根大學(xué)和Rapid7公司共同合作完成的Censys搜索引擎平臺(tái)，它不僅掃描了IPv4地址，還對(duì)域名和證書(shū)進(jìn)行掃描。1.1.2拓?fù)涮綔y(cè)互聯(lián)網(wǎng)拓?fù)涫怯捎?domain)構(gòu)成的層次結(jié)構(gòu)[1]，一個(gè)自治系統(tǒng)(AS,AutonomousSystem)為一個(gè)域，由一個(gè)或多個(gè)IP地址前綴的子網(wǎng)構(gòu)成。各自治域內(nèi)可以運(yùn)行一種或幾種不同的內(nèi)部網(wǎng)關(guān)協(xié)議，如OSPF協(xié)議、RIP協(xié)議、靜態(tài)路由和缺省路由來(lái)負(fù)責(zé)域內(nèi)的路由選擇。各域之間的路由主要是通過(guò)BGP協(xié)議來(lái)完成。因此，根據(jù)發(fā)現(xiàn)的不同層次來(lái)分可將現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)大致分為接口級(jí)、路由器級(jí)、PoP（PointofPresence）級(jí)和AS（AutonomousSystem，自治系統(tǒng)）級(jí)。在接口級(jí)拓?fù)渲校總€(gè)節(jié)點(diǎn)表示路由器或主機(jī)上的IP地址，節(jié)點(diǎn)與IP地址一一對(duì)應(yīng)，節(jié)點(diǎn)之間的連線表示在網(wǎng)絡(luò)層上的兩個(gè)IP直接連接。路由器級(jí)拓?fù)涫窃诮涌诩?jí)拓?fù)涞幕A(chǔ)上，將同屬于一個(gè)路由器的IP地址進(jìn)行歸并后形成的網(wǎng)絡(luò)拓?fù)?，每個(gè)節(jié)點(diǎn)表示具有一個(gè)或多個(gè)接口的主機(jī)或路由器等網(wǎng)絡(luò)設(shè)備，兩個(gè)節(jié)點(diǎn)之間的邊表示兩個(gè)設(shè)備具有位于同一個(gè)IP廣播域中的接口。PoP級(jí)網(wǎng)絡(luò)拓?fù)涫峭瑢儆谝粋€(gè)AS的多個(gè)路由器的集合，PoP在一個(gè)AS內(nèi)部形成骨干網(wǎng)絡(luò)，同時(shí)與其他AS內(nèi)的PoP連接，并對(duì)用戶提供網(wǎng)絡(luò)接入服務(wù)，此時(shí)網(wǎng)絡(luò)拓?fù)鋱D中的每個(gè)點(diǎn)表示一個(gè)PoP，兩個(gè)節(jié)點(diǎn)之間的連線表示兩個(gè)PoP之間有相互連接的路由器。在AS級(jí)的網(wǎng)絡(luò)拓?fù)渲?，每個(gè)節(jié)點(diǎn)表示一個(gè)AS，節(jié)點(diǎn)間的邊表示兩個(gè)AS之間存在業(yè)務(wù)關(guān)系，一個(gè)AS通?？筛采w一整個(gè)地理區(qū)域，該區(qū)域內(nèi)的主要城市內(nèi)具有不同的PoP。由于接口級(jí)、路由器級(jí)以及PoP級(jí)網(wǎng)絡(luò)拓?fù)淅碚撋峡捎成涞椒秶^小的地理位置，而AS級(jí)網(wǎng)絡(luò)拓?fù)涓呌谶壿嬌系母拍?，單個(gè)AS的覆蓋區(qū)域通常較大，相比之下，接口級(jí)、路由器級(jí)以及PoP級(jí)網(wǎng)絡(luò)拓?fù)涓菀妆焕斫?，因此?duì)接口級(jí)、路由器級(jí)和PoP級(jí)網(wǎng)絡(luò)拓?fù)溲芯康帽容^多。1.1.3網(wǎng)絡(luò)資產(chǎn)探測(cè)1997年，發(fā)表文章《TheArtofPortScanning》，并發(fā)布Nmap（NetworkMapper）的第一個(gè)版本，標(biāo)志著網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)開(kāi)始。ShahS提出了通過(guò)服務(wù)標(biāo)識(shí)（Banner）來(lái)識(shí)別Web服務(wù)器軟件的方法。由于部分終端設(shè)備的HTTP返回包中并不含有Banner信息，并且Banner信息可以被偽造，因此該方法在識(shí)別終端設(shè)備時(shí)具有一定的局限性。后來(lái)，提出一種不依賴(lài)Banner信息的識(shí)別方法，即通過(guò)返回的某些短語(yǔ)差異和超長(zhǎng)URL處理方式差異來(lái)識(shí)別，但該種方法可能會(huì)增加終端設(shè)備的處理負(fù)擔(dān)，造成拒絕服務(wù)，或被防火墻等設(shè)備判定為攻擊行為，引發(fā)報(bào)警。在協(xié)議識(shí)別方面，最早研究的協(xié)議識(shí)別技術(shù)是基于端口的協(xié)議識(shí)別技術(shù)，基于測(cè)度識(shí)別協(xié)議的技術(shù)等，但這些協(xié)議識(shí)別技術(shù)的適用范圍窄，靈活性較差，根據(jù)近幾年美國(guó)Ellacoya網(wǎng)絡(luò)研究公司的關(guān)于網(wǎng)絡(luò)流量狀況的調(diào)查統(tǒng)計(jì)顯示，基于P2P應(yīng)用協(xié)議的流量超過(guò)50%，而基于HTTP協(xié)議的互聯(lián)網(wǎng)流量占據(jù)全部流量的大約1/4，因此對(duì)應(yīng)用層協(xié)議的識(shí)別成為當(dāng)前研究的重點(diǎn)。1.2國(guó)內(nèi)現(xiàn)狀1.2.1網(wǎng)絡(luò)測(cè)繪系統(tǒng)在國(guó)家科技部重點(diǎn)研發(fā)、總裝備部預(yù)先研究等項(xiàng)目的支持下，國(guó)內(nèi)中科院信工所、中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司、中國(guó)電子、清華大學(xué)等科研院所和高校分別圍繞網(wǎng)絡(luò)空間資源探測(cè)、網(wǎng)絡(luò)拓?fù)錅y(cè)量等技術(shù)開(kāi)展了關(guān)鍵技術(shù)攻關(guān)，形成了豐富的研究成果。在系統(tǒng)設(shè)計(jì)方面，中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司研制了網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)，具備對(duì)網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)資產(chǎn)、關(guān)鍵人物的探測(cè)、分析和展示能力；知道創(chuàng)宇的ZoomEye可對(duì)全球的路由設(shè)備、工業(yè)聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)設(shè)備以及攝像頭等基礎(chǔ)設(shè)施進(jìn)行探測(cè)；華順信安的FOEYE在網(wǎng)絡(luò)資產(chǎn)全面測(cè)繪的基礎(chǔ)上,以漏洞為切入點(diǎn)，重新定義了安全事件處理和漏洞掃描形式,形成集資產(chǎn)探測(cè)管理、安全事件驗(yàn)證、智能統(tǒng)計(jì)分析、安全態(tài)勢(shì)感知、持續(xù)安全監(jiān)控為一體的全方位安全體系。1.2.2網(wǎng)絡(luò)拓?fù)錅y(cè)量國(guó)內(nèi)學(xué)者在互聯(lián)網(wǎng)出現(xiàn)早期就已經(jīng)開(kāi)始對(duì)網(wǎng)絡(luò)拓?fù)涞臏y(cè)量展開(kāi)研究，并取得了一系列研究成果。但總體而言，這些研究依然遵循AS、PoP、路由器、IP接口級(jí)的層次進(jìn)行，從降低探測(cè)成本和提升探測(cè)收益的角度提出了一系列創(chuàng)新性的方法，表2總結(jié)了其中較具代表性的工作。表2國(guó)內(nèi)網(wǎng)絡(luò)拓?fù)涮綔y(cè)研究機(jī)構(gòu)情況1.2.3

網(wǎng)絡(luò)資產(chǎn)探測(cè)目前，國(guó)內(nèi)在工業(yè)控制服務(wù)探測(cè)方面，已經(jīng)初步形成了以網(wǎng)絡(luò)主動(dòng)探測(cè)技術(shù)為基礎(chǔ)的對(duì)部分重要工業(yè)控制系統(tǒng)的在線監(jiān)測(cè)能力，能夠支持對(duì)SCADA、PLC等典型工業(yè)控制系統(tǒng)（設(shè)備），MODBUS等部分工業(yè)控制協(xié)議，以及工業(yè)控制有關(guān)的通用網(wǎng)絡(luò)服務(wù)進(jìn)行探測(cè)和識(shí)別。但和國(guó)外相比，還存在支持工業(yè)控制設(shè)備/協(xié)議等服務(wù)數(shù)量不足、感知深度不夠等問(wèn)題。2網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)的體系架構(gòu)如圖1所示，系統(tǒng)自底向上分為全維探測(cè)、引接匯聚、融合分析和綜合呈現(xiàn)四層。全維探測(cè)層實(shí)現(xiàn)多維度采集目標(biāo)數(shù)據(jù)和自動(dòng)化管理任務(wù)和載荷?；谌蚍植际教綔y(cè)任務(wù)管理平臺(tái)通過(guò)對(duì)任務(wù)的分解，操作員可以從載荷庫(kù)選取滿足任務(wù)要求的載荷對(duì)目標(biāo)實(shí)施主、被動(dòng)探測(cè)和采集，平臺(tái)通過(guò)動(dòng)態(tài)載荷加載實(shí)現(xiàn)對(duì)目標(biāo)不同維度數(shù)據(jù)的獲取。引接匯聚層接入探測(cè)層的數(shù)據(jù)和其他來(lái)源數(shù)據(jù)，對(duì)其進(jìn)行標(biāo)準(zhǔn)化、數(shù)據(jù)校驗(yàn)，形成可供進(jìn)一步分析的標(biāo)準(zhǔn)化數(shù)據(jù)。融合分析層通過(guò)關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等多種技術(shù)手段從數(shù)據(jù)中挖掘高價(jià)值信息，分別從網(wǎng)絡(luò)拓?fù)洹①Y產(chǎn)屬性、目標(biāo)畫(huà)像三個(gè)層次開(kāi)展分析，形成對(duì)目標(biāo)空間的深刻理解和體系化認(rèn)識(shí)。綜合呈現(xiàn)層提供地圖可視化和數(shù)據(jù)服務(wù)，其中可視化具有多個(gè)層級(jí)，可根據(jù)用戶需求進(jìn)行縮放或布局，各個(gè)實(shí)體目標(biāo)采用可配置的規(guī)范圖標(biāo)進(jìn)行呈現(xiàn)。綜合管理為系統(tǒng)提供用戶管理、安全運(yùn)維、地圖標(biāo)準(zhǔn)及比例尺、數(shù)據(jù)導(dǎo)入導(dǎo)出等功能，確保系統(tǒng)能夠獨(dú)立運(yùn)作，且能為其他業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐。圖1網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)體系架構(gòu)網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)的主要功能如下：（1）全維探測(cè)。依托全球分布式探測(cè)管理平臺(tái)集成網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)資產(chǎn)、網(wǎng)絡(luò)爬蟲(chóng)、流量采集等各種主、被動(dòng)探測(cè)工具和輔助工具，既包括對(duì)網(wǎng)絡(luò)空間進(jìn)行全網(wǎng)普查性端口掃描探測(cè)工具，也包括專(zhuān)用協(xié)議和場(chǎng)景的探測(cè)工具，從而形成對(duì)全球互聯(lián)網(wǎng)IPv4/v6地址空間進(jìn)行多個(gè)指定端口快速探測(cè)的能力，并支持基于端口的自定義探測(cè)。（2）拓?fù)浒l(fā)現(xiàn)。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)基于拓?fù)涮綔y(cè)得到的基礎(chǔ)數(shù)據(jù)和被動(dòng)采集到的多源數(shù)據(jù)，通過(guò)數(shù)據(jù)融合生成相應(yīng)的路由器級(jí)、PoP級(jí)和AS級(jí)；同時(shí)，基于構(gòu)建的多層次網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)重點(diǎn)目標(biāo)網(wǎng)絡(luò)進(jìn)行節(jié)點(diǎn)屬性和鏈路屬性深度分析，獲取目標(biāo)網(wǎng)絡(luò)物理和邏輯鏈路屬性，并識(shí)別網(wǎng)絡(luò)拓?fù)潢P(guān)鍵節(jié)點(diǎn)和關(guān)鍵路徑，對(duì)網(wǎng)絡(luò)空間拓?fù)涞慕Y(jié)構(gòu)特征進(jìn)行分析，獲取網(wǎng)絡(luò)空間的形成規(guī)律、演化趨勢(shì)。（3）資產(chǎn)分析。重要網(wǎng)絡(luò)資產(chǎn)識(shí)別基于分布式平臺(tái)主、被動(dòng)探測(cè)獲取的數(shù)據(jù)開(kāi)展基于知識(shí)圖譜、關(guān)聯(lián)分析、相似目標(biāo)聚類(lèi)等多手段相結(jié)合的方法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間資產(chǎn)的發(fā)現(xiàn)、識(shí)別、分類(lèi)，并建立資產(chǎn)特征庫(kù)，構(gòu)建網(wǎng)絡(luò)空間與物理空間關(guān)系圖譜，獲取網(wǎng)絡(luò)資產(chǎn)的詳情，如組織架構(gòu)、關(guān)鍵人物、IP地址、設(shè)備詳情、開(kāi)放端口/服務(wù)詳情、漏洞信息等。（4）智能檢索。智能檢索面向用戶對(duì)全球網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)的精確、快速搜索的需求，設(shè)計(jì)基于“MongoDB+Kafka+ElasticSearch”的海量數(shù)據(jù)快速搜索方案，提供按組件、服務(wù)、設(shè)備、端口、IP、網(wǎng)段、時(shí)間范圍和地理位置等關(guān)鍵詞的檢索，以及自定義的全球網(wǎng)絡(luò)資產(chǎn)快速檢索和關(guān)聯(lián)能力，為網(wǎng)絡(luò)溯源、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御等提供基礎(chǔ)數(shù)據(jù)與安全情報(bào)支撐。網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)基于采集、分析和檢索方面的能力，目前已向多個(gè)行業(yè)的用戶提供豐富的測(cè)繪應(yīng)用服務(wù)，如探測(cè)服務(wù)、數(shù)據(jù)服務(wù)和數(shù)據(jù)分析服務(wù)等。3結(jié)語(yǔ)網(wǎng)絡(luò)空間測(cè)繪的最終目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間的準(zhǔn)確刻畫(huà)與描述，形成一張“網(wǎng)絡(luò)地圖”，為網(wǎng)絡(luò)空間安全提供“導(dǎo)航”。當(dāng)前