文丨中国工商银行数据中心 王佳音

网络空间测绘,即通过对网络空间中的各种资源进行实时监测和分析,实现对网络空间的态势感知,助力识别网络威胁、检测网络攻击,从而提高网络安全防御和应急响应能力,保障网络空间的安全稳定运行。本文从网络空间测绘的概念出发,从设备资产、域名空间、网络拓扑、数字证书等方面对网络空间测绘的实践情况进行介绍和分析,并对网络空间测绘技术应用的发展进行展望。

一、网络空间测绘的基本概念

2001年美国发布的《信息系统保护国家计划》首次提出网络空间(Cyberspace)的概念:Cyberspace是信息环境中的一个整体域,由独立且互相依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统。

我国首次相对系统性地提出“网络空间测绘”一词是在2016年。解放军信息工程大学罗向阳等人认为构建网络空间地图的技术即网络空间测绘。他们提出的三层三空间映射的网络空间测绘理论体系框架,把网络空间测绘分为探测层、映射层、绘制层,强调把网络空间的实体资源向地理空间映射,把虚拟资源向社会空间映射。2018年,他们进一步将网络空间与地理空间信息放在一个统一的时空框架下进行无缝融合和数据挖掘与应用,提出了高度结合地理空间的网络空间测绘理论体系框架。

二、网络空间测绘的应用实践

从构建网络空间全息地图的角度,可以把网络空间资源分为基础设施资源和具体服务内容。其中,基础设施资源主要指提供关键互联网服务的重要基础资源,包括物理传输介质(设备资产)、命名和编号系统(域名空间)、网络路由信息(IP地址、网络拓扑)、安全和身份保护认证(数字证书)及其服务系统和支撑系统的底层基础设施;具体服务内容一般是指在基础设施资源之上运行、操作的各种服务和应用。

在实际应用中,网络空间测绘通常以基础设施资源为主,因此,本文着重介绍在设备资产、域名空间、网络拓扑、数字证书方面的网络空间测绘应用。

1.设备资产测绘

设备资产是网络空间的基础硬件设施。识别IP地址背后的设备类型和厂商版本信息,有助于组织机构进行资产管理。当发现设备版本漏洞时,可及时了解漏洞影响范围,启动网络安全应急响应预案。

对设备资产进行测绘的主要思路如下:首先,扫描全网或特定网络的可访问IP地址,构建设备资产指纹库,识别对应的设备类型、厂商、版本等信息;其次,通过分析标记和运营迭代,持续发现已知和未知的设备资产,同时监测设备的生命周期,发现存活、新增、消亡的设备;最后,构建一个面向全网或专网的设备资产动态变化数据库,为特定地域或组织机构提供设备资产地形图。

设备资产地形图的展示形式主要为物理域分布视图,例如,可通过扫描并识别公网暴露IP地址背后的摄像头设备资产,利用IP地理定位展示各地区的设备资产数量及分布情况。

2.域名空间测绘

域名空间用来标识网络空间资源,将机器可读的IP地址转换为人类可读性高的字符串,在IP地址基础之上提供更多网络服务位置,并标识网络服务入口。同时,域名空间可以通过域名标记识别资产所属责任主体,有助于将网络资源映射关联到社会域,从而为组织机构进行资产风险预警。

对域名空间进行测绘的主要思路如下:首先,通过公开的域名排名获取重点关注的域名种子列表;其次,获取域名注册信息、解析响应结果等属性,评估域名提供服务的重要性等指标;最后,针对关键基础设施组织机构、行业的域名等进行分析绘制展示。

域名空间地形图的展示形式主要是物理域和社会域分布视图,如抽取部分特定国家顶级域后缀域名,利用其解析IP地址并进行地理位置定位,从而得到特定国家域名在地理位置上的分布信息。

以部分美国域名解析IP地址的地理位置分布为例,基于第三方IP地理定位库,虽然绝大多数域名解析IP地址集中在美国境内,但仍有少部分涉及加拿大、巴西、日本、澳大利亚等其他地理位置,这一方面可能是由于IP地理定位库定位准确度有限,另一方面可能因为各地区域名服务的实现特点有所不同。

3.网络拓扑测绘

网络拓扑建立网络连通路径,体现网络空间资产本质关联,隐含社会域组织机构信息。网络拓扑通过获取IP地址间的网络连通关系,挖掘网络空间资源,乃至组织机构之间的网络连通依赖关系,有助于对重点国家和地区的网络拓扑进行管理。

对网络拓扑进行测绘的主要思路如下:首先,利用公开数据源和全球网络探针获取IP级、路由器级、PoP级和AS级等基本网络拓扑数据;其次,通过构建网络连通图模型,推断各级拓扑相关属性,如关键节点、关键路径;最后,针对重点场景如特定国家和地区、关键基础设施组织机构的网络拓扑进行分析绘制展示。这也是网络拓扑地形图的展示形式。

4.数字证书测绘

数字证书可保障可信网络资源,通过对数据进行加密和签名,确保数据传输的安全性、完整性和真实性。数字证书广泛应用于互联网通信、电子商务、在线支付、身份认证等领域。基于证书透明度机制、证书授权依赖和共享证书使用规则,数字证书成为关联网络空间与社会空间的重要纽带。

对数字证书进行测绘的主要思路如下:首先,通过IP、域名和第三方等多源证书种子,迭代获取证书链上所有原始证书文件;其次,对证书进行解析、处理、验证等操作,挖掘证书之间、证书颁发机构和颁发对象之间的关联依赖关系;最后,针对特定区域和组织机构使用证书的关联情况进行绘制展示。

数字证书地形图的展示形式结合社会域和信息域视图,通过分析数字证书中组织机构间的层级依赖关系,了解某地区各层级组织机构使用共享证书的情况,并采用逻辑上的关联关系进行表示,重点关注特定组织机构使用证书资源的覆盖面。图1为某地区各层级组织机构使用共享证书情况。

图1 某地区各层级组织机构使用共享证书情况

综上所述,通过网络空间测绘,可以展现网络空间的IP地址、域名空间、网络拓扑等主要属性,同时还可以揭示其社会关系、地理分布等隐藏属性。

三、网络空间测绘技术应用展望

攻击者往往需要通过网络空间测绘的各种手段搜集攻击目标的各种信息,以找出目标网络的突破口,其中最常用到的就是各种网络空间搜索引擎。攻击者通过搜索引擎定期、持续地对全网IP地址和端口进行扫描,分析其硬件设备以及承载的协议、服务内容等信息,构建一个包含各种资源属性的网络资产数据库。攻击者利用这些数据库,从一个IP、一个域名开始,逐步扩展深挖,发现攻击目标网络的突破口,完成攻击前置工作。防守者希望对自身在网络空间中暴露的可访问资源形成的攻击面进行防护,需要利用网络空间测绘的各种手段对自身网络空间资产进行梳理,特别是需要对对外接口进行更多的防护和检查。

未来的网络空间测绘将面临越来越丰富和复杂的数据源,需要将多源多态数据进行整合,达到更全面、更准确的测绘效果;同时,随着机器学习、深度学习、大语言模型等人工智能技术的发展,安全攻防团队、安全分析人员需要探索对大规模数据进行自动处理、分析和挖掘,以提高测绘效率和精度,从而支持更智能化的测绘应用需求。

网络空间测绘涉及大量的数据采集、处理和传输工作,对网络安全和隐私保护也提出了新的挑战,业内人士需要在网络安全和隐私保护方面加强技术研究和应用实践,确保测绘过程中和测绘结果的数据安全和隐私得到有效的保障。同时,网络空间是一个动态、复杂的生态系统,网络拓扑结构、网络流量特征等可能随时发生变化,需要相关人员实时获取、处理和分析大量的网络数据,积极应对网络的动态性和复杂性。

此外,从网络空间防护体系的视角来看,安全攻防技术的快速发展对网络空间测绘提出了更高要求。攻防博弈永不停歇,网络空间测绘技术将在攻与防的反复较量中不断优化、提升。

本文刊于《中国金融电脑》2023年第12期

声明:本文来自中国金融电脑+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。