“不可见,无安全”的防护理念已经成为行业共识,也让新兴的网络空间测绘技术受到了更多企业关注,它被认为能够实现对网络空间各类资源的全面掌握和全景展示,构筑起联通网络空间与现实世界的全息地图,对于掌握全球网络安全态势、提升网络空间社会治理能力具有十分重要的意义。从实际应用角度,我们应该如何评价网络空间测绘技术的价值?其未来发展又会面临哪些挑战?
01 网络空间测绘技术概述
网络空间测绘技术是指以网络空间资源为对象,基于计算机科学、网络科学、测绘科学、信息科学,采用网络探测、网络分析、实体定位、地理测绘和地理信息系统等技术,通过探测、采集、处理、分析和展示等手段,获得网络空间实体资源和虚拟资源在网络空间的位置、属性和拓扑结构,并将其映射至地理空间,以地图形式或其他可视化形式绘制出其坐标、拓扑、周边环境等信息并展现相关态势,据此进行空间分析与应用的理论与技术。
网络空间测绘技术体系主要包括探测技术、分析技术、定位技术、验证技术、绘制技术和应用技术。该体系是一个“探测、分析/定位、绘制、应用”的循环过程,对各种网络空间资源进行协同探测,对探测到的数据进行融合分析和多域映射,形成网络空间资源知识库。在此基础上,通过多域叠加和综合绘制来构建网络空间资源全息地图,并根据不同的场景目标按需应用全息地图,通过迭代演进使得测绘能力不断提升。
网络空间测绘技术体系
根据网络空间资源内容,网络空间测绘技术的发展大体分为三个阶段:
网络空间测绘技术发展的三个阶段
第一阶段:IP+设备资源阶段。在网络空间测绘技术发展的第一阶段,网络空间资源主要包括IP和设备,以及互联网暴露面存在的硬件属性、业务属性。网络空间资源分为物理层、网络层、传输层、应用层。其中,物理层在实现模型中对应的是硬件层,网络层和传输层在实现模型中对应的是操作系统,应用层在实现模型中对应的是应用程序、应用框架、中间件和数据库。
网络空间测绘平台通过扫描IP地址,探测到开放的端口和指纹信息,通过指纹信息判断硬件类型、厂家、品牌、型号以及操作系统、服务、应用及版本。通过这种方式探测IP地址的硬件属性、业务属性。该阶段主要是通过扫描IP地址的指纹信息,匹配已知的漏洞,掌握IP地址面临的风险,进而提前对整个网络空间的风险做出预警。
第二阶段:IP+设备+位置资源阶段。该阶段实现了网络空间资源的定位,以及资产地理属性、网络属性、通联属性的联动。地理属性是指所属国家、区县和街区、以及经纬度等的位置信息。通过IP地址信息定位到具体地理位置和对应到企业,获悉到企业类型,如金融公司、安全公司,或者是获得国家关键基础设施的相关信息,如水利、银行、交通、电厂等,通过关键基础设施的性质得知应用场景。
第三阶段:网络空间资源体系阶段。该阶段的网络空间资源被划分为地理环境、网络环境、行为主体和业务环境4个层次,它们之间相互联系、相互影响,共同构成网络空间资源体系。
网络空间资源体系
• 地理环境层。主要是网络空间资源的地理属性,如网络基础设施和网络行为主体的地理位置、空间分布和特性,涉及距离、尺度、边界、空间映射等概念。
• 网络环境层。主要是各类网络空间资源形成的节点和链路,即逻辑拓扑关系,又可分为物理环境和逻辑环境,包含各种网络设备、网络应用、软件、数据、IP、协议等。
• 行为主体层。包含实体角色和虚拟角色,关注网络行为主体(即实体角色或虚拟角色)的交互行为及其社会关系,包括信息流动、虚拟社区、公共活动空间等。
• 业务环境层。主要包括业务部门重点关注的各类网络安全事件(案件)、网络安全服务主体、网络安全保护对象等。
02 网络空间测绘技术的价值
网络空间测绘技术的优势
• 更多的数据支撑。网络空间资源地理数据、网络数据、行为主体数据、相关业务数据的映射与融合,为网络空间大数据挖掘与应用提供更多的数据支撑。
• 全息地图展示。网络空间资源全息地图全面描述和展示网络空间信息。
• 态势感知及信息管控,在统一的时空框架中,对网络空间测绘成果与地理空间信息等进行无缝融合和数据挖掘与应用,实现网络空间态势感知及信息管控。
• 涉网事件监控预警,通过对网络空间资源与事件的综合分析,提高事件预警和处理能力的智能化、自动化、可视化。
网络空间测绘技术的不足
• 缺乏统一的标准规范。比如尚未形成较为系统的网络空间要素分类体系、网络空间地图符号的设计与表达尚处于空白。
• 网络测量技术不成熟,仅能实现对网络空间基础设施和逻辑拓扑的探测和分析,无法准确探测覆盖网络空间的全部资源,全谱探测难度大、探测能力水平不足、对云计算网络的探测难度增大,精准性较低。
• 绘制技术不成熟,对高维、动态的虚拟资源投影到地理空间进行绘制缺乏系统和成熟的技术思路。
• 可视化技术不成熟。网络空间可视化表达的发展前期面临理论基础薄弱、技术不成熟等问题。
03 网络空间测绘技术的应用
网络空间测绘技术其实质就是可视化表达网络空间,以网络空间地图的形式全面展示网络信息,实现网络空间的具象化与数字化,从而为决策者提供直观、有价值的信息,以提高决策的准确性。网络空间测绘技术主要应用于资产发现\\识别和风控、网络空间服务评估和网络安全事件可视化分析三大应用场景。
应用场景一:资产发现、识别和风控
通过网络空间测绘技术,对网络资产进行识别和控制,可以更好地保护个人和组织的数据,防范已经存在和可能存在的风险。
具体功能如下:
(1) 资产发现和识别:通过主动扫描、流量监控等方式,自动获取资产,对关注的资产进行分析与统计,便于了解和掌控重要信息系统资产、物联网设备资产等。
(2)监测由漏洞引起的业务风险:根据系统预置常见、热门漏洞及资产组件特征判断漏洞影响的资产数量;基于对资产和漏洞的统计分析,对资产数量、分布、组件应用以及漏洞、威胁资产进行态势感知及告警,实现资产、漏洞的安全监测。
(3)预警违规外联、数据泄密隐患:自动发现和管理同时连接内网和互联网的设备,上报设备内网IP地址、互联网出口IP地址、外联时间及访问的网址。自动发现内网环境下连通互联网的风险设备点,上报设备信息,及时预警。
(4)资产评估与管理:监控资产设备使用规范性;发现企业内部的违规性行为;精准推送资产漏洞并结合特制漏洞专扫、弱口令专扫等,实现内网资产合规性、违规性、存活性、脆弱性的综合检测与评估。
(5)网络空间反欺诈:绘制网络空间上设备的网络节点和网络连接关系图,给各设备画像;结合风控理论,在反欺诈和黑灰产发现的实践中,为电商、支付、在线信贷等行业提供精准的身份识别。
资产评估框架
应用场景二:网络空间服务评估
网络空间服务是指网络空间中的各种泛在应用服务(如网站服务)。网络空间服务测绘的目标是利用主被动协同探测和智能分析手段,发现动态、时变、隐匿的服务属性和关系,通过“地图”的方式对其进行可视化展示,以支撑网络空间安全的各种应用。
网络空间服务评估框架
具体功能如下:
(1) 发现和识别特定服务:通过主动扫描、流量监控等多种探测方式,获取特定服务的信息,对关注的特定服务进行分析与统计,便于了解特定服务。
(2)评估服务状态:绘制网络空间上服务影响范围状态图,在网络攻防实践中,为网络靶场等应用提供精准的攻击效果评估。
(3)特定服务的用户分析:绘制网络空间上服务和用户的连接关系图,对特定服务的用户以及潜在用户进行群体分析。
(4)特定用户的服务推荐:绘制网络空间上服务和服务的连接关系图,对特定用户进行服务推荐。
应用场景三:网络安全事件可视化分析
网络安全事件可视化分析,是根据行为主体、客体和影响等因素的变化,对复杂、动态的网络安全事件进行可视化分析,分析网络安全事件发生的驱动因素及内部机理,实现对网络安全事件的态势感知和预警预报,并在网络空间地图上进行画像和过程展示。
网络安全事件可视化示例
具体功能包括:网络攻击实时监控、网络安全事件追踪溯源、网络安全态势感知、通报预警、应急处置、侦查打击、指挥调度等。
通过空间图、网络图的形式集中展示网络安全事件分析的全过程;结合人工智能和大数据分析技术,对攻击事件及攻击者、攻击手段等进行画像;对网络空间要素、模型运算和应急处置进行全生命周期的场景展示。
04 网络空间测绘技术的发展与挑战
虽然网络空间测绘技术的相关理念已经得到学术界和产业界的广泛认可,但是网络空间测绘技术相关标准、规范等仍然存在概念不明晰、定义不统一等问题,同时,伴随IPv6、物联网、云计算、4G/5G等新兴技术的快速推广和普及,网络空间越来越庞大和复杂,给网络空间测绘也带来巨大挑战。
具体来说,面临的挑战在于:
(1)网络空间资源测绘技术的相关研究还处于起步阶段,业内对网络空间资源测绘技术尚未形成统一认知 ,缺乏对网络空间资源测绘技术体系的顶层设计等;在绘制技术方面,对于如何绘制高维、动态的虚拟资源,如何将网络空间中的多类资源投影到地理空间并进行绘制缺乏系统和成熟的技术思路;在网络空间要素方面,当前尚未形成较为系统的网络空间要素分类体系。
(2)随着IPv6、物联网、云计算、4G/5G等新兴技术的快速推广应用,网络空间越来越庞大和复杂,给网络空间测绘带来巨大挑战。例如,IPv6的广泛普及,增加了全谱探测的困难度。理论上讲IPv6地址空间可以达2的128次方,几乎无穷大,而且IPv6地址空间具有稀疏性特征,使得面向IPv4的探测识别技术无法应用,全谱探测难度非常大。
物联网设备的剧增,增加了物联网设备的探测能力需求。目前大量物联网设备分布于企业、家庭和个人,其相对薄弱的安全性容易导致DDoS等规模化攻击。这意味着对物联网设备的规模化探测能力也需快速提升。计算模式云端化,大量服务迁移至云网络,计算资源进一步集中化、规模化。虚拟化、弹性计算和云防护等特性,颠覆了传统网络模式并快速衍化,使得安全人员对云计算网络的探测难度增大,精准性下降。
(3)大量设备为防止探测,去除了产品特征,减少了暴露面,使得准确识别设备属性越来越困难,同时基于国家特性的流量监控也造成了大量节点难以触达。
鉴于此,网络空间资产测绘技术真正走向落地,需要在以下方面快速提升:建立统一的地图符号标准、统一的要素分类体系、提高测绘技术水平、提高可视化技术水平。
具体包括:
(1)建立统一的地图符号标准。网络空间地图符号的设计与表达尚处于空白,亟需一套成熟且完整、能应用于网络地图可视化表达的网络空间资源可视化符号标准,以促进网络空间资源测绘成果的进一步应用。应在深入研究网络空间测绘资源的种类和层次结构划分的基础上,参考地图符号设计,结合网络空间中各种虚拟与实体资源要素的属性、等级、实际用途等因素,形成完备、合理、针对性、可扩展的符号表达规范,为网络空间资源多维度可视化表达提供依据与标准。
(2)建立统一的要素分类体系。网络空间要素的可视化表达是网络空间可视化表达的基础,但当前尚未形成较为系统的网络空间要素分类体系,应参考地理空间时空数据模型的理论、方法和技术手段,根据网络空间要素自身的结构和特点,结合网络安全业务需求,建立能有效表达网络空间要素的时空语义统一的网络空间要素标准体系,从而实现对各类网络空间要素的统一描述和有效应用。
(3)提高测绘技术水平。在绘制技术方面,国内外研究团队虽然提出了一些准则,如网络空间地理学图像的电信网络分析方法、网络空间景观制图的若干法则、拓扑可视化等。但是已有研究主要基于地理空间对实体设备和拓扑关系的可视化,在如何绘制高维、动态的虚拟资源,如何将网络空间中的多类资源投影到地理空间并进行绘制缺乏系统和成熟的技术思路。应结合可视化、图形学、人工智能、机器学习、数据挖掘理论与方法等,研究新的网络空间资源测绘理论模型。
(4)提高可视化技术水平。网络空间可视化表达的发展前期面临理论基础薄弱、技术不成熟等问题。应建立多方面协同、多学科交叉融合的机制,来满足网络空间可视化表达的业务应用需求。
作者简介
张奕,谷安(安全牛)研究院研究员,长期从事信息安全、企业数字化转型顶层规划和自动化运维等工作,拥有20年以上IT安全、运维服务和IT咨询经验,已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA证书。曾在某英国全球性公司北京公司担任IT负责人,以及埃森哲担任IT咨询师。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。