不吹不黑!理性看待網(wǎng)絡空間測繪技術(shù)的價值與應用挑戰(zhàn)

發(fā)布時間 2022-03-24

“不可見,無安全”的防護理念已經(jīng)成為行業(yè)共識,也讓新興的網(wǎng)絡空間測繪技術(shù)受到了更多企業(yè)關注,它被認為能夠?qū)崿F(xiàn)對網(wǎng)絡空間各類資源的全面掌握和全景展示,構(gòu)筑起聯(lián)通網(wǎng)絡空間與現(xiàn)實世界的全息地圖,對于掌握全球網(wǎng)絡安全態(tài)勢、提升網(wǎng)絡空間社會治理能力具有十分重要的意義。從實際應用角度,我們應該如何評價網(wǎng)絡空間測繪技術(shù)的價值?其未來發(fā)展又會面臨哪些挑戰(zhàn)?

1、網(wǎng)絡空間測繪技術(shù)概述

網(wǎng)絡空間測繪技術(shù)是指以網(wǎng)絡空間資源為對象,基于計算機科學、網(wǎng)絡科學、測繪科學、信息科學,采用網(wǎng)絡探測、網(wǎng)絡分析、實體定位、地理測繪和地理信息系統(tǒng)等技術(shù),通過探測、采集、處理、分析和展示等手段,獲得網(wǎng)絡空間實體資源和虛擬資源在網(wǎng)絡空間的位置、屬性和拓撲結(jié)構(gòu),并將其映射至地理空間,以地圖形式或其他可視化形式繪制出其坐標、拓撲、周邊環(huán)境等信息并展現(xiàn)相關態(tài)勢,據(jù)此進行空間分析與應用的理論與技術(shù)。

網(wǎng)絡空間測繪技術(shù)體系主要包括探測技術(shù)、分析技術(shù)、定位技術(shù)、驗證技術(shù)、繪制技術(shù)和應用技術(shù)。該體系是一個“探測、分析/定位、繪制、應用”的循環(huán)過程,對各種網(wǎng)絡空間資源進行協(xié)同探測,對探測到的數(shù)據(jù)進行融合分析和多域映射,形成網(wǎng)絡空間資源知識庫。在此基礎上,通過多域疊加和綜合繪制來構(gòu)建網(wǎng)絡空間資源全息地圖,并根據(jù)不同的場景目標按需應用全息地圖,通過迭代演進使得測繪能力不斷提升。

image-140.png

網(wǎng)絡空間測繪技術(shù)體系

根據(jù)網(wǎng)絡空間資源內(nèi)容,網(wǎng)絡空間測繪技術(shù)的發(fā)展大體分為三個階段:

image-141-1024x546.png

第一階段:IP+設備資源階段。在網(wǎng)絡空間測繪技術(shù)發(fā)展的第一階段,網(wǎng)絡空間資源主要包括IP和設備,以及互聯(lián)網(wǎng)暴露面存在的硬件屬性、業(yè)務屬性。網(wǎng)絡空間資源分為物理層、網(wǎng)絡層、傳輸層、應用層。其中,物理層在實現(xiàn)模型中對應的是硬件層,網(wǎng)絡層和傳輸層在實現(xiàn)模型中對應的是操作系統(tǒng),應用層在實現(xiàn)模型中對應的是應用程序、應用框架、中間件和數(shù)據(jù)庫。

網(wǎng)絡空間測繪平臺通過掃描IP地址,探測到開放的端口和指紋信息,通過指紋信息判斷硬件類型、廠家、品牌、型號以及操作系統(tǒng)、服務、應用及版本。通過這種方式探測IP地址的硬件屬性、業(yè)務屬性。該階段主要是通過掃描IP地址的指紋信息,匹配已知的漏洞,掌握IP地址面臨的風險,進而提前對整個網(wǎng)絡空間的風險做出預警。

第二階段:IP+設備+位置資源階段。該階段實現(xiàn)了網(wǎng)絡空間資源的定位,以及資產(chǎn)地理屬性、網(wǎng)絡屬性、通聯(lián)屬性的聯(lián)動。地理屬性是指所屬國家、區(qū)縣和街區(qū)、以及經(jīng)緯度等的位置信息。通過IP地址信息定位到具體地理位置和對應到企業(yè),獲悉到企業(yè)類型,如金融公司、安全公司,或者是獲得國家關鍵基礎設施的相關信息,如水利、銀行、交通、電廠等,通過關鍵基礎設施的性質(zhì)得知應用場景。

第三階段:網(wǎng)絡空間資源體系階段。該階段的網(wǎng)絡空間資源被劃分為地理環(huán)境、網(wǎng)絡環(huán)境、行為主體和業(yè)務環(huán)境4個層次,它們之間相互聯(lián)系、相互影響,共同構(gòu)成網(wǎng)絡空間資源體系。

image-142.png

?  地理環(huán)境層。主要是網(wǎng)絡空間資源的地理屬性,如網(wǎng)絡基礎設施和網(wǎng)絡行為主體的地理位置、空間分布和特性,涉及距離、尺度、邊界、空間映射等概念。

?  網(wǎng)絡環(huán)境層。主要是各類網(wǎng)絡空間資源形成的節(jié)點和鏈路,即邏輯拓撲關系,又可分為物理環(huán)境和邏輯環(huán)境,包含各種網(wǎng)絡設備、網(wǎng)絡應用、軟件、數(shù)據(jù)、IP、協(xié)議等。

 行為主體層。包含實體角色和虛擬角色,關注網(wǎng)絡行為主體(即實體角色或虛擬角色)的交互行為及其社會關系,包括信息流動、虛擬社區(qū)、公共活動空間等。

?  業(yè)務環(huán)境層。主要包括業(yè)務部門重點關注的各類網(wǎng)絡安全事件(案件)、網(wǎng)絡安全服務主體、網(wǎng)絡安全保護對象等。

2、網(wǎng)絡空間測繪技術(shù)的價值

網(wǎng)絡空間測繪技術(shù)的優(yōu)勢

?  更多的數(shù)據(jù)支撐。網(wǎng)絡空間資源地理數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)、行為主體數(shù)據(jù)、相關業(yè)務數(shù)據(jù)的映射與融合,為網(wǎng)絡空間大數(shù)據(jù)挖掘與應用提供更多的數(shù)據(jù)支撐。

?  全息地圖展示。網(wǎng)絡空間資源全息地圖全面描述和展示網(wǎng)絡空間信息。

?  態(tài)勢感知及信息管控,在統(tǒng)一的時空框架中,對網(wǎng)絡空間測繪成果與地理空間信息等進行無縫融合和數(shù)據(jù)挖掘與應用,實現(xiàn)網(wǎng)絡空間態(tài)勢感知及信息管控。

?  涉網(wǎng)事件監(jiān)控預警,通過對網(wǎng)絡空間資源與事件的綜合分析,提高事件預警和處理能力的智能化、自動化、可視化。

網(wǎng)絡空間測繪技術(shù)的不足

?  缺乏統(tǒng)一的標準規(guī)范。比如尚未形成較為系統(tǒng)的網(wǎng)絡空間要素分類體系、網(wǎng)絡空間地圖符號的設計與表達尚處于空白。

?  網(wǎng)絡測量技術(shù)不成熟,僅能實現(xiàn)對網(wǎng)絡空間基礎設施和邏輯拓撲的探測和分析,無法準確探測覆蓋網(wǎng)絡空間的全部資源,全譜探測難度大、探測能力水平不足、對云計算網(wǎng)絡的探測難度增大,精準性較低。

?  繪制技術(shù)不成熟,對高維、動態(tài)的虛擬資源投影到地理空間進行繪制缺乏系統(tǒng)和成熟的技術(shù)思路。

?  可視化技術(shù)不成熟。網(wǎng)絡空間可視化表達的發(fā)展前期面臨理論基礎薄弱、技術(shù)不成熟等問題。

3、網(wǎng)絡空間測繪技術(shù)的應用

網(wǎng)絡空間測繪技術(shù)其實質(zhì)就是可視化表達網(wǎng)絡空間,以網(wǎng)絡空間地圖的形式全面展示網(wǎng)絡信息,實現(xiàn)網(wǎng)絡空間的具象化與數(shù)字化,從而為決策者提供直觀、有價值的信息,以提高決策的準確性。網(wǎng)絡空間測繪技術(shù)主要應用于資產(chǎn)發(fā)現(xiàn)\識別和風控、網(wǎng)絡空間服務評估和網(wǎng)絡安全事件可視化分析三大應用場景。

應用場景一:資產(chǎn)發(fā)現(xiàn)、識別和風控

通過網(wǎng)絡空間測繪技術(shù),對網(wǎng)絡資產(chǎn)進行識別和控制,可以更好地保護個人和組織的數(shù)據(jù),防范已經(jīng)存在和可能存在的風險。

具體功能如下:

(1) 資產(chǎn)發(fā)現(xiàn)和識別:通過主動掃描、流量監(jiān)控等方式,自動獲取資產(chǎn),對關注的資產(chǎn)進行分析與統(tǒng)計,便于了解和掌控重要信息系統(tǒng)資產(chǎn)、物聯(lián)網(wǎng)設備資產(chǎn)等。

(2)監(jiān)測由漏洞引起的業(yè)務風險:根據(jù)系統(tǒng)預置常見、熱門漏洞及資產(chǎn)組件特征判斷漏洞影響的資產(chǎn)數(shù)量;基于對資產(chǎn)和漏洞的統(tǒng)計分析,對資產(chǎn)數(shù)量、分布、組件應用以及漏洞、威脅資產(chǎn)進行態(tài)勢感知及告警,實現(xiàn)資產(chǎn)、漏洞的安全監(jiān)測。

(3)預警違規(guī)外聯(lián)、數(shù)據(jù)泄密隱患:自動發(fā)現(xiàn)和管理同時連接內(nèi)網(wǎng)和互聯(lián)網(wǎng)的設備,上報設備內(nèi)網(wǎng)IP地址、互聯(lián)網(wǎng)出口IP地址、外聯(lián)時間及訪問的網(wǎng)址。自動發(fā)現(xiàn)內(nèi)網(wǎng)環(huán)境下連通互聯(lián)網(wǎng)的風險設備點,上報設備信息,及時預警。

(4)資產(chǎn)評估與管理:監(jiān)控資產(chǎn)設備使用規(guī)范性;發(fā)現(xiàn)企業(yè)內(nèi)部的違規(guī)性行為;精準推送資產(chǎn)漏洞并結(jié)合特制漏洞專掃、弱口令專掃等,實現(xiàn)內(nèi)網(wǎng)資產(chǎn)合規(guī)性、違規(guī)性、存活性、脆弱性的綜合檢測與評估。

(5)網(wǎng)絡空間反欺詐:繪制網(wǎng)絡空間上設備的網(wǎng)絡節(jié)點和網(wǎng)絡連接關系圖,給各設備畫像;結(jié)合風控理論,在反欺詐和黑灰產(chǎn)發(fā)現(xiàn)的實踐中,為電商、支付、在線信貸等行業(yè)提供精準的身份識別。

image-143-1024x367.png

資產(chǎn)評估框架

應用場景二:網(wǎng)絡空間服務評估

網(wǎng)絡空間服務是指網(wǎng)絡空間中的各種泛在應用服務(如網(wǎng)站服務)。網(wǎng)絡空間服務測繪的目標是利用主被動協(xié)同探測和智能分析手段,發(fā)現(xiàn)動態(tài)、時變、隱匿的服務屬性和關系,通過“地圖”的方式對其進行可視化展示,以支撐網(wǎng)絡空間安全的各種應用。

image-144-1024x367.png

網(wǎng)絡空間服務評估框架

具體功能如下:

(1) 發(fā)現(xiàn)和識別特定服務:通過主動掃描、流量監(jiān)控等多種探測方式,獲取特定服務的信息,對關注的特定服務進行分析與統(tǒng)計,便于了解特定服務。

(2)評估服務狀態(tài):繪制網(wǎng)絡空間上服務影響范圍狀態(tài)圖,在網(wǎng)絡攻防實踐中,為網(wǎng)絡靶場等應用提供精準的攻擊效果評估。

(3)特定服務的用戶分析:繪制網(wǎng)絡空間上服務和用戶的連接關系圖,對特定服務的用戶以及潛在用戶進行群體分析。

(4)特定用戶的服務推薦:繪制網(wǎng)絡空間上服務和服務的連接關系圖,對特定用戶進行服務推薦。

應用場景三:網(wǎng)絡安全事件可視化分析

網(wǎng)絡安全事件可視化分析,是根據(jù)行為主體、客體和影響等因素的變化,對復雜、動態(tài)的網(wǎng)絡安全事件進行可視化分析,分析網(wǎng)絡安全事件發(fā)生的驅(qū)動因素及內(nèi)部機理,實現(xiàn)對網(wǎng)絡安全事件的態(tài)勢感知和預警預報,并在網(wǎng)絡空間地圖上進行畫像和過程展示。

image-146-1024x471.png

網(wǎng)絡安全事件可視化示例

具體功能包括:網(wǎng)絡攻擊實時監(jiān)控、網(wǎng)絡安全事件追蹤溯源、網(wǎng)絡安全態(tài)勢感知、通報預警、應急處置、偵查打擊、指揮調(diào)度等。

通過空間圖、網(wǎng)絡圖的形式集中展示網(wǎng)絡安全事件分析的全過程;結(jié)合人工智能和大數(shù)據(jù)分析技術(shù),對攻擊事件及攻擊者、攻擊手段等進行畫像;對網(wǎng)絡空間要素、模型運算和應急處置進行全生命周期的場景展示。

4、網(wǎng)絡空間測繪技術(shù)的發(fā)展與挑戰(zhàn)

雖然網(wǎng)絡空間測繪技術(shù)的相關理念已經(jīng)得到學術(shù)界和產(chǎn)業(yè)界的廣泛認可,但是網(wǎng)絡空間測繪技術(shù)相關標準、規(guī)范等仍然存在概念不明晰、定義不統(tǒng)一等問題,同時,伴隨IPv6、物聯(lián)網(wǎng)、云計算、4G/5G等新興技術(shù)的快速推廣和普及,網(wǎng)絡空間越來越龐大和復雜,給網(wǎng)絡空間測繪也帶來巨大挑戰(zhàn)。

具體來說,面臨的挑戰(zhàn)在于:

(1)網(wǎng)絡空間資源測繪技術(shù)的相關研究還處于起步階段,業(yè)內(nèi)對網(wǎng)絡空間資源測繪技術(shù)尚未形成統(tǒng)一認知 ,缺乏對網(wǎng)絡空間資源測繪技術(shù)體系的頂層設計等;在繪制技術(shù)方面,對于如何繪制高維、動態(tài)的虛擬資源,如何將網(wǎng)絡空間中的多類資源投影到地理空間并進行繪制缺乏系統(tǒng)和成熟的技術(shù)思路;在網(wǎng)絡空間要素方面,當前尚未形成較為系統(tǒng)的網(wǎng)絡空間要素分類體系。

(2)隨著IPv6、物聯(lián)網(wǎng)、云計算、4G/5G等新興技術(shù)的快速推廣應用,網(wǎng)絡空間越來越龐大和復雜,給網(wǎng)絡空間測繪帶來巨大挑戰(zhàn)。例如,IPv6的廣泛普及,增加了全譜探測的困難度。理論上講IPv6地址空間可以達2的128次方,幾乎無窮大,而且IPv6地址空間具有稀疏性特征,使得面向IPv4的探測識別技術(shù)無法應用,全譜探測難度非常大。

物聯(lián)網(wǎng)設備的劇增,增加了物聯(lián)網(wǎng)設備的探測能力需求。目前大量物聯(lián)網(wǎng)設備分布于企業(yè)、家庭和個人,其相對薄弱的安全性容易導致DDoS等規(guī)?;?。這意味著對物聯(lián)網(wǎng)設備的規(guī)模化探測能力也需快速提升。計算模式云端化,大量服務遷移至云網(wǎng)絡,計算資源進一步集中化、規(guī)?;?。虛擬化、彈性計算和云防護等特性,顛覆了傳統(tǒng)網(wǎng)絡模式并快速衍化,使得安全人員對云計算網(wǎng)絡的探測難度增大,精準性下降。

(3)大量設備為防止探測,去除了產(chǎn)品特征,減少了暴露面,使得準確識別設備屬性越來越困難,同時基于國家特性的流量監(jiān)控也造成了大量節(jié)點難以觸達。

鑒于此,網(wǎng)絡空間資產(chǎn)測繪技術(shù)真正走向落地,需要在以下方面快速提升:建立統(tǒng)一的地圖符號標準、統(tǒng)一的要素分類體系、提高測繪技術(shù)水平、提高可視化技術(shù)水平。

具體包括:

(1)建立統(tǒng)一的地圖符號標準。網(wǎng)絡空間地圖符號的設計與表達尚處于空白,亟需一套成熟且完整、能應用于網(wǎng)絡地圖可視化表達的網(wǎng)絡空間資源可視化符號標準,以促進網(wǎng)絡空間資源測繪成果的進一步應用。應在深入研究網(wǎng)絡空間測繪資源的種類和層次結(jié)構(gòu)劃分的基礎上,參考地圖符號設計,結(jié)合網(wǎng)絡空間中各種虛擬與實體資源要素的屬性、等級、實際用途等因素,形成完備、合理、針對性、可擴展的符號表達規(guī)范,為網(wǎng)絡空間資源多維度可視化表達提供依據(jù)與標準。

(2)建立統(tǒng)一的要素分類體系。網(wǎng)絡空間要素的可視化表達是網(wǎng)絡空間可視化表達的基礎,但當前尚未形成較為系統(tǒng)的網(wǎng)絡空間要素分類體系,應參考地理空間時空數(shù)據(jù)模型的理論、方法和技術(shù)手段,根據(jù)網(wǎng)絡空間要素自身的結(jié)構(gòu)和特點,結(jié)合網(wǎng)絡安全業(yè)務需求,建立能有效表達網(wǎng)絡空間要素的時空語義統(tǒng)一的網(wǎng)絡空間要素標準體系,從而實現(xiàn)對各類網(wǎng)絡空間要素的統(tǒng)一描述和有效應用。

(3)提高測繪技術(shù)水平。在繪制技術(shù)方面,國內(nèi)外研究團隊雖然提出了一些準則,如網(wǎng)絡空間地理學圖像的電信網(wǎng)絡分析方法、網(wǎng)絡空間景觀制圖的若干法則、拓撲可視化等。但是已有研究主要基于地理空間對實體設備和拓撲關系的可視化,在如何繪制高維、動態(tài)的虛擬資源,如何將網(wǎng)絡空間中的多類資源投影到地理空間并進行繪制缺乏系統(tǒng)和成熟的技術(shù)思路。應結(jié)合可視化、圖形學、人工智能、機器學習、數(shù)據(jù)挖掘理論與方法等,研究新的網(wǎng)絡空間資源測繪理論模型。

(4)提高可視化技術(shù)水平。網(wǎng)絡空間可視化表達的發(fā)展前期面臨理論基礎薄弱、技術(shù)不成熟等問題。應建立多方面協(xié)同、多學科交叉融合的機制,來滿足網(wǎng)絡空間可視化表達的業(yè)務應用需求。