網路空間測繪作為一項十分重要的基礎性工作,是網路空間國防能力建設的重要部分,是大國博弈背景下,網路主權、網路邊疆的重要體現,美國“智庫”蘭德公司也曾斷言:工業時代的戰略戰是核戰爭,資訊時代的戰略戰主要是網路戰。網路空間測繪對推動國民經濟和保障國家安全都具有十分重要的理論意義和應用價值。
在網路空間測繪領域的起步階段,主要集中於理論和概念的研究 ,結合網路測量技術和地 理測繪知識 , 在資產探測、拓撲測量、IP定位層面逐步發展 。現階段更注重的是在海量多 源異構資料的基礎上進行資訊同化和融合分析,根據不同應用場景和需求,應用視覺化術 ,結合人工智慧 ,對所有資訊分門別類地進行展示。
在進行全網資產探測的同時,實現對網路空間的態勢感知、規律探尋,致力將網路空間、地 理空間和社會空間進行相互對映,將虛擬、動態的網路空間測繪成一份動態、實時、可靠、有效的網路空間資料地圖,支撐監管機構、網路安全部門、關鍵基礎設施行業、網際網路金融行業及網際網路廣告等典型行業應用 。簡單來說,網路空間測繪透過拓撲探測與網路資產探測兩種相結合的方式,最終繪製出一份“網路空間地圖”。
關於拓撲探測
網際網路拓撲是由域 (domain) 構成的層次結構,一個自治系統 (AS, Autonomous System) 為一個域,由一個或多個IP地址字首的子網構成。各自治域內可以執行一種或幾種不同的內部閘道器協議,如OSPF協議、RIP協議、靜態路由和預設路由來負責域內的路由選擇。各域之間的路由主要是透過BGP協議來完成。因此,根據發現的不同層次來分,可將現有的網路拓撲結構大致分為介面級、路由器級、PoP(Point of Presence)級和AS(Autonomous System,自治系統)級。
在介面級拓撲中,每個節點表示路由器或主機上的IP地址,節點與IP地址一一對應,節點之間的連線表示在網路層上的兩個IP直接連線。路由器級拓撲是在介面級拓撲的基礎上,將同屬於一個路由器的IP地址進行歸併後形成的網路拓撲,每個節點表示具有一個或多個介面的主機或路由器等網路裝置,兩個節點之間的邊表示兩個裝置具有位於同一個IP廣播域中的介面。PoP級網路拓撲是同屬於一個AS的多個路由器的集合,PoP 在一個 AS 內部形成骨幹網路,同時與其他AS內的 PoP 連線,並對使用者提供網路接入服務,此時網路拓撲圖中的每個點表示一個 PoP,兩個節點之間的連線表示兩個PoP之間有相互連線的路由器。在 AS 級的網路拓撲中,每個節點表示一個AS,節點間的邊表示兩個AS之間存在業務關係,一個AS通常可覆蓋一整個地理區域,該區域內的主要城市內具有不同的PoP。由於介面級、路由器級以及PoP級網路拓撲理論上可對映到範圍較小的地理位置,而AS級網路拓撲更趨於邏輯上的概念,單個AS的覆蓋區域通常較大,相比之下,介面級、路由器級以及 PoP級網路拓撲更容易被理解,因此對介面級、路由器級和PoP級網路拓撲研究得比較多。
關於網路資產探測
1997年,Fyodor發表文章《The Art of Port Scanning》,併發布 Nmap(Network Mapper)的第一個版本,標誌著網路資產探測技術開始。Shah S提出了透過服務標識(Banner)來識別Web伺服器軟體的方法。由於部分終端裝置的 HTTP 返回包中並不含有Banner資訊,並且Banner資訊可以被偽造,因此該方法在識別終端裝置時具有一定的侷限性。後來,Lee D, Rowe J等人提出一種不依賴 Banner資訊的識別方法,即透過返回的某些短語差異和超長URL處理方式差異來識別,但該種方法可能會增加終端裝置的處理負擔,造成拒絕服務,或被防火牆等裝置判定為攻擊行為,引發報警。在協議識別方面,最早研究的協議識別技術是基於埠的協議識別技術,基於測度識別協議的技術等,但這些協議識別技術的適用範圍窄,靈活性較差,根據近幾年美國 Ellacoya 網路研究公司的關於網路流量狀況的調查統計顯示,基於 P2P 應用協議的流量超過50%,而基於 HTTP 協議的網際網路流量佔據全部流量的大約 1/4,因此對應用層協議的識別成為當前研究的重點。
國外網路測繪現狀
測繪系統計劃美國是最早推應用的國家 , 目前已形成了較為完整的網路空間探測基礎設施和體系。最具代表性的有美國國家安全域性(National Security Agency,NSA)的藏寶圖計劃,美國國防部先進研究專案局(Defense Advanced Research Projects Agency,DRAPA)的X計劃以及美國國土資源部(United States Department of Homeland Security,DHS)的 SHINE計劃。
藏寶圖計劃旨在提升本國情報生產能力,透過對網路空間多層(地理層、物理層、邏輯層以及社交層)資料的捕獲及快速分析,從而形成大規模的情報生產能力,併為其“五眼情報聯盟”(包括美國、英國、加拿大、澳大利亞和紐西蘭)的合作伙伴提供情報支援。
該計劃十分龐大,持續繪製整個網路空間地圖,包括整個 IPv4 和部分 IPv6,關注邏輯層(路由等),但也涉及物理層、資料鏈路層、應用層。
X計劃旨在提升美軍網路空間作戰能力,透過對網路戰場地圖的快速描繪,輔助生成作戰計劃,並促進網路作戰任務高效推進。美國DRAPA認為,開發直觀的檢視和整體使用者體驗,未來如果網路戰爭變得極為尋常,那麼就有必要讓網路戰爭的打法就像操作iPhone那麼簡單。
SHINE計劃旨在監控美國本土關鍵基礎設施網路資源安全狀態,透過網路空間掃描引擎(Shodan)對本土網路空間地址列表進行安全態勢感知,並由工業控制系統網路應急響應組(Industrial Control Systems Cyber Emergency Response Tea,ICSCERT)定期向其所有者推送安全通告,保證關鍵基礎設施網路安全。除了Shodan以外,比較出名的還有由密歇根大學和 Rapid7 公司共同合作完成 的 Censys 搜尋引擎平臺,它不僅掃描了 IPv4 地址,還對域名和證書進行掃描。
國內網路測繪現狀
在國家科技部重點研發、總裝備部預先研究等專案的支援下,國內中科院信工所、中國電子科技網路資訊保安有限公司、中國電子、清華大學等科研院所和高校分別圍繞網路空間資源探測、網路拓撲測量等技術開展了關鍵技術攻關,形成了豐富的研究成果。
在系統設計方面,中國電子科技網路資訊保安有限公司研製了網路空間測繪系統(簡稱網探D01),具備對網路拓撲、網路資產、關鍵人物的探測、分析和展示能力;知道創宇的 ZoomEye 可對全球的路由裝置、工業聯網裝置、物聯網裝置以及攝像頭等基礎設施進行探測;華順信安的FOEYE 在網路資產全面測繪的基礎上,以漏洞為切入點,重新定義了安全事件處理和漏洞掃描形式。
國內網路拓撲測量的研究
國內學者在網際網路出現早期就已經開始對網路拓撲的測量展開研究 ,並取得了一系列研究成果。但總體而言,這些研究依然遵循 AS、PoP、路由器、IP介面級的層次進行,從降低探測成本和提升探測收益的角度提出了一系列創新性的方法。例如解放軍資訊工程大學的路由器級網路拓撲發現、國防科技大學計算機學院的多報文組合探測、埃文科技的全球網路拓撲測繪系統擎天神支援全球 68904個AS域,近43億全量 IP。
國內網路資產探測
目前,國內在工業控制服務探測方面,已經初步形成了以網路主動探測技術為基礎的對部
分重要工業控制系統的線上監測能力,能夠支援對SCADA、PLC等典型工業控制系統(裝置),MODBUS 等部分工業控制協議,以及工業控制有關的通用網路服務進行探測和識別。但和國外相比,還存在支援工業控制裝置/協議等服務數量不足、感知深度不夠等問題。
結論:
網路空間測繪將網路空間準確刻畫與描述,形成一張“網路地圖”。網路空間測繪系統基於採集、分析和檢索方面的能力,目前已向多個行業的使用者提供豐富的測繪應用服務,如探測服務、資料服務和資料分析服務等。網路空間測繪的概念還在不斷髮展,測繪廣度由區域、國家視角不斷擴充至全球,測繪深度也將由網路空間物理域、邏輯域擴充至認知域、社會域。