网络空间测绘国内外发展及现状

网络空间测绘将网络空间准确刻画与描述,形成一张 " 网络地图 "。网络空间测绘系统基于采集、分析和检索方面的能力,目前已向多个行业的用户提供丰富的测绘应用服务,如探测服务、数据服务和数据分析服务等。网络空间测绘的概念还在不断发展,测绘广度由区域、国家视角不断拓展至全球,测绘深度也将由网络空间物理域、逻辑域拓展至认知域、社会域。

网络空间测绘作为一项十分重要的基础性工作,是网络空间国防能力建设的重要部分,是大国博弈背景下,网络主权、网络边疆的重要体现,美国 " 智库 " 兰德公司也曾断言:工业时代的战略战是核战争,信息时代的战略战主要是网络战。网络空间测绘对推动国民经济和保障国家安全都具有十分重要的理论意义和应用价值。

在网络空间测绘领域的起步阶段,主要集中于理论和概念的研究 , 结合网络测量技术和地 理测绘知识 , 在资产探测、拓扑测量、IP 定位层面逐步发展 。现阶段更注重的是在海量多 源异构数据的基础上进行信息同化和融合分析,根据不同应用场景和需求,应用可视化术 , 结合人工智能 , 对所有信息分门别类地进行展示。


在进行全网资产探测的同时,实现对网络空间的态势感知、规律探寻,致力将网络空间、地 理空间和社会空间进行相互映射,将虚拟、动态的网络空间测绘成一份动态、实时、可靠、有效的网络空间数据地图,支撑监管机构、网络安全部门、关键基础设施行业、互联网金融行业及互联网广告等典型行业应用 。简单来说,网络空间测绘通过拓扑探测与网络资产探测两种相结合的方式,最终绘制出一份 " 网络空间地图 "。


关于拓扑探测

互联网拓扑是由域 ( domain ) 构成的层次结构,一个自治系统 ( AS, Autonomous System ) 为一个域,由一个或多个 IP 地址前缀的子网构成。各自治域内可以运行一种或几种不同的内部网关协议,如 OSPF 协议、RIP 协议、静态路由和缺省路由来负责域内的路由选择。各域之间的路由主要是通过 BGP 协议来完成。因此,根据发现的不同层次来分,可将现有的网络拓扑结构大致分为接口级、路由器级、PoP(Point of Presence)级和 AS(Autonomous System,自治系统)级。

在接口级拓扑中,每个节点表示路由器或主机上的 IP 地址,节点与 IP 地址一一对应,节点之间的连线表示在网络层上的两个 IP 直接连接。路由器级拓扑是在接口级拓扑的基础上,将同属于一个路由器的 IP 地址进行归并后形成的网络拓扑,每个节点表示具有一个或多个接口的主机或路由器等网络设备,两个节点之间的边表示两个设备具有位于同一个 IP 广播域中的接口。PoP 级网络拓扑是同属于一个 AS 的多个路由器的集合 ,PoP 在一个 AS 内部形成骨干网络,同时与其他 AS 内的 PoP 连接,并对用户提供网络接入服务,此时网络拓扑图中的每个点表示一个 PoP,两个节点之间的连线表示两个 PoP 之间有相互连接的路由器。在 AS 级的网络拓扑中,每个节点表示一个 AS,节点间的边表示两个 AS 之间存在业务关系,一个 AS 通常可覆盖一整个地理区域,该区域内的主要城市内具有不同的 PoP。由于接口级、路由器级以及 PoP 级网络拓扑理论上可映射到范围较小的地理位置,而 AS 级网络拓扑更趋于逻辑上的概念,单个 AS 的覆盖区域通常较大,相比之下,接口级、路由器级以及 PoP 级网络拓扑更容易被理解,因此对接口级、路由器级和 PoP 级网络拓扑研究得比较多。



关于网络资产探测

1997 年,Fyodor 发表文章《The Art of Port Scanning》,并发布 Nmap(Network Mapper)的第一个版本,标志着网络资产探测技术开始。Shah S 提出了通过服务标识(Banner)来识别 Web 服务器软件的方法。由于部分终端设备的 HTTP 返回包中并不含有 Banner 信息,并且 Banner 信息可以被伪造,因此该方法在识别终端设备时具有一定的局限性。后来,Lee D, Rowe J 等人提出一种不依赖 Banner 信息的识别方法,即通过返回的某些短语差异和超长 URL 处理方式差异来识别,但该种方法可能会增加终端设备的处理负担,造成拒绝服务,或被防火墙等设备判定为攻击行为,引发报警。在协议识别方面,最早研究的协议识别技术是基于端口的协议识别技术,基于测度识别协议的技术等,但这些协议识别技术的适用范围窄,灵活性较差,根据近几年美国 Ellacoya 网络研究公司的关于网络流量状况的调查统计显示,基于 P2P 应用协议的流量超过 50%,而基于 HTTP 协议的互联网流量占据全部流量的大约 1/4,因此对应用层协议的识别成为当前研究的重点。



国外网络测绘现状

测绘系统计划美国是最早推应用的国家 , 目前已形成了较为完整的网络空间探测基础设施和体系。最具代表性的有美国国家安全局(National Security Agency,NSA)的藏宝图计划,美国国防部先进研究项目局(Defense Advanced Research Projects Agency,DRAPA)的 X 计划以及美国国土资源部(United States Department of Homeland Security,DHS)的 SHINE 计划。

藏宝图计划旨在提升本国情报生产能力,通过对网络空间多层(地理层、物理层、逻辑层以及社交层)数据的捕获及快速分析,从而形成大规模的情报生产能力,并为其 " 五眼情报联盟 "(包括美国、英国、加拿大、澳大利亚和新西兰)的合作伙伴提供情报支持。

该计划十分庞大,持续绘制整个网络空间地图,包括整个 IPv4 和部分 IPv6,关注逻辑层(路由等),但也涉及物理层、数据链路层、应用层。

X 计划旨在提升美军网络空间作战能力,通过对网络战场地图的快速描绘,辅助生成作战计划,并促进网络作战任务高效推进。美国 DRAPA 认为,开发直观的视图和整体用户体验,未来如果网络战争变得极为寻常,那么就有必要让网络战争的打法就像操作 iPhone 那么简单。

SHINE 计划旨在监控美国本土关键基础设施网络资源安全状态,通过网络空间扫描引擎。


(Shodan)对本土网络空间地址列表进行安全态势感知,并由工业控制系统网络应急响应组(Industrial Control Systems Cyber Emergency Response Tea,ICSCERT)定期向其所有者推送安全通告,保证关键基础设施网络安全。除了 Shodan 以外,比较出名的还有由密歇根大学和 Rapid7 公司共同合作完成 的 Censys 搜索引擎平台,它不仅扫描了 IPv4 地址,还对域名和证书进行扫描。


国内网络测绘现状

在国家科技部重点研发、总装备部预先研究等项目的支持下,国内中科院信工所、中国电子科技网络信息安全有限公司、中国电子、清华大学等科研院所和高校分别围绕网络空间资源探测、网络拓扑测量等技术开展了关键技术攻关,形成了丰富的研究成果。

在系统设计方面,中国电子科技网络信息安全有限公司研制了网络空间测绘系统(简称网探 D01),具备对网络拓扑、网络资产、关键人物的探测、分析和展示能力;知道创宇的 ZoomEye 可对全球的路由设备、工业联网设备、物联网设备以及摄像头等基础设施进行探测;华顺信安的 FOEYE 在网络资产全面测绘的基础上,以漏洞为切入点,重新定义了安全事件处理和漏洞扫描形式。

国内网络拓扑测量的研究

国内学者在互联网出现早期就已经开始对网络拓扑的测量展开研究 ,并取得了一系列研究成果。但总体而言,这些研究依然遵循 AS、PoP、路由器、IP 接口级的层次进行,从降低探测成本和提升探测收益的角度提出了一系列创新性的方法。例如解放军信息工程大学的路由器级网络拓扑发现、国防科技大学计算机学院的多报文组合探测、埃文科技的全球网络拓扑测绘系统擎天神支持全球 68904 个 AS 域,近 43 亿全量 IP。


国内网络资产探测


目前,国内在工业控制服务探测方面,已经初步形成了以网络主动探测技术为基础的对部。

分重要工业控制系统的在线监测能力,能够支持对 SCADA、PLC 等典型工业控制系统(设备),MODBUS 等部分工业控制协议,以及工业控制有关的通用网络服务进行探测和识别。但和国外相比,还存在支持工业控制设备 / 协议等服务数量不足、感知深度不够等问题。