陈 涛,程丽君,李明桂,张宇光
(1.北京市1711 信箱2 号信息中心,北京 100017;2.网络空间安全四川省重点实验室,四川 成都 610041;3.中国电子科技网络信息安全有限公司,四川 成都 610041)
网络空间测绘是对网络空间的组成要素及其关系进行测量、分析、推断以发现网络空间的演变规律,并绘制全息网络地图系列方法的总和。网络空间测绘作为一项十分重要的基础性工作,是网络空间国防能力建设的重要部分,是大国博弈背景下,网络主权、网络边疆的重要体现,对于推动国民经济和保障国家安全都具有十分重要的理论意义和应用价值。
与传统地理测绘学相比,网络空间测绘研究的对象和范围均超越了一般的认知范围。首先,网络空间是由海量异构的虚实资源组成,需要用各种监测方法和装置对其进行探测;其次,网络空间是人类创造的数字世界,很多特征难以通过物理数据进行直观反映;第三,网络空间中的信息传输具有瞬时可达的特性,这使得网络空间中的距离、方位等特征不像在传统地理空间那么重要,而对外提供的服务、接口、操作版本等特征在网络空间中却更重要。经过近十年发展,在网络空间探测与发现、网络身份关联与映射、网络实体定位等方面已经取得了较多的研究进展,随着网络空间应用的不断深化和发展,使得对网络空间地图的统一构建和测绘需求日益迫切,成为当前产业界和学术界研究的热点。
1.1.1 测绘系统计划
美国是最早推动网络空间测绘应用的国家,目前已形成了较为完整的网络空间探测基础设施和体系。最具代表性的有美国国家安全局(National Security Agency,NSA)的藏宝图计划,美国国防部先进研究项目局(Defense Advanced Research Projects Agency,DRAPA)的X 计划以及美国国土资源部(United States Department of Homeland Security,DHS)的SHINE 计划。如表1 所示。
表1 美国网络空间测绘相关计划列表
藏宝图计划旨在提升本国情报生产能力,通过对网络空间多层(地理层、物理层、逻辑层以及社交层)数据的捕获及快速分析,从而形成大规模的情报生产能力,并为其“五眼情报联盟”(包括美国、英国、加拿大、澳大利亚和新西兰)的合作伙伴提供情报支持。该计划十分庞大,持续绘制整个网络空间地图,包括整个IPv4 和部分IPv6,关注逻辑层(路由等),但也涉及物理层、数据链路层、应用层。
X 计划旨在提升美军网络空间作战能力,通过对网络战场地图的快速描绘,辅助生成作战计划,并促进网络作战任务高效推进。美国DRAPA 认为,开发直观的视图和整体用户体验,未来如果网络战争变得极为寻常,那么就有必要让网络战争的打法就像操作iPhone 那么简单。
SHINE 计划旨在监控美国本土关键基础设施网络资源安全状态,通过网络空间扫描引擎(Shodan)对本土网络空间地址列表进行安全态势感知,并由工业控制系统网络应急响应组(Industrial Control Systems Cyber Emergency Response Tea,ICSCERT)定期向其所有者推送安全通告,保证关键基础设施网络安全。除了Shodan 以外,比较出名的还有由密歇根大学和Rapid7 公司共同合作完成的Censys 搜索引擎平台,它不仅扫描了IPv4 地址,还对域名和证书进行扫描。
1.1.2 拓扑探测
互联网拓扑是由域(domain)构成的层次结构[1],一个自治系统(AS,Autonomous System)为一个域,由一个或多个IP 地址前缀的子网构成。各自治域内可以运行一种或几种不同的内部网关协议,如OSPF 协议、RIP 协议、静态路由和缺省路由来负责域内的路由选择。各域之间的路由主要是通过BGP 协议来完成。因此,根据发现的不同层次来分可将现有的网络拓扑结构大致分为接口级、路由器级、PoP(Point of Presence)级和AS(Autonomous System,自治系统)级。
在接口级拓扑中,每个节点表示路由器或主机上的IP 地址,节点与IP 地址一一对应,节点之间的连线表示在网络层上的两个IP 直接连接。路由器级拓扑是在接口级拓扑的基础上,将同属于一个路由器的IP 地址进行归并后形成的网络拓扑,每个节点表示具有一个或多个接口的主机或路由器等网络设备,两个节点之间的边表示两个设备具有位于同一个IP 广播域中的接口。PoP 级网络拓扑是同属于一个AS 的多个路由器的集合,PoP 在一个AS内部形成骨干网络,同时与其他AS 内的PoP 连接,并对用户提供网络接入服务,此时网络拓扑图中的每个点表示一个PoP,两个节点之间的连线表示两个PoP 之间有相互连接的路由器。在AS 级的网络拓扑中,每个节点表示一个AS,节点间的边表示两个AS 之间存在业务关系,一个AS 通常可覆盖一整个地理区域,该区域内的主要城市内具有不同的PoP。由于接口级、路由器级以及PoP 级网络拓扑理论上可映射到范围较小的地理位置,而AS 级网络拓扑更趋于逻辑上的概念,单个AS 的覆盖区域通常较大,相比之下,接口级、路由器级以及PoP级网络拓扑更容易被理解,因此对接口级、路由器级和PoP 级网络拓扑研究得比较多。
1.1.3 网络资产探测
1997 年,Fyodor[2]发表文章《The Art of Port Scanning》,并发布Nmap(Network Mapper)的第一个版本,标志着网络资产探测技术开始。Shah S提出了通过服务标识(Banner)来识别Web 服务器软件的方法。由于部分终端设备的HTTP 返回包中并不含有Banner信息,并且Banner信息可以被伪造,因此该方法在识别终端设备时具有一定的局限性。后来,Lee D,Rowe J[3]等人提出一种不依赖Banner信息的识别方法,即通过返回的某些短语差异和超长URL 处理方式差异来识别,但该种方法可能会增加终端设备的处理负担,造成拒绝服务,或被防火墙等设备判定为攻击行为,引发报警。在协议识别方面,最早研究的协议识别技术是基于端口的协议识别技术,基于测度识别协议的技术等,但这些协议识别技术的适用范围窄,灵活性较差,根据近几年美国Ellacoya 网络研究公司的关于网络流量状况的调查统计显示,基于P2P 应用协议的流量超过50%,而基于HTTP 协议的互联网流量占据全部流量的大约1/4,因此对应用层协议的识别成为当前研究的重点。
1.2.1 网络测绘系统
在国家科技部重点研发、总装备部预先研究等项目的支持下,国内中科院信工所、中国电子科技网络信息安全有限公司、中国电子、清华大学等科研院所和高校分别围绕网络空间资源探测、网络拓扑测量等技术开展了关键技术攻关,形成了丰富的研究成果。在系统设计方面,中国电子科技网络信息安全有限公司研制了网络空间测绘系统,具备对网络拓扑、网络资产、关键人物的探测、分析和展示能力;知道创宇的ZoomEye 可对全球的路由设备、工业联网设备、物联网设备以及摄像头等基础设施进行探测;华顺信安的FOEYE 在网络资产全面测绘的基础上,以漏洞为切入点,重新定义了安全事件处理和漏洞扫描形式,形成集资产探测管理、安全事件验证、智能统计分析、安全态势感知、持续安全监控为一体的全方位安全体系。
1.2.2 网络拓扑测量
国内学者在互联网出现早期就已经开始对网络拓扑的测量展开研究[4-10],并取得了一系列研究成果。但总体而言,这些研究依然遵循AS、PoP、路由器、IP 接口级的层次进行,从降低探测成本和提升探测收益的角度提出了一系列创新性的方法,表2 总结了其中较具代表性的工作。
1.2.3 网络资产探测
目前,国内在工业控制服务探测方面,已经初步形成了以网络主动探测技术为基础的对部分重要工业控制系统的在线监测能力,能够支持对SCADA、PLC 等典型工业控制系统(设备),MODBUS 等部分工业控制协议,以及工业控制有关的通用网络服务进行探测和识别。但和国外相比,还存在支持工业控制设备/协议等服务数量不足、感知深度不够等问题。
网络空间测绘系统的体系架构如图1 所示,系统自底向上分为全维探测、引接汇聚、融合分析和综合呈现四层。
全维探测层实现多维度采集目标数据和自动化管理任务和载荷。基于全球分布式探测任务管理平台通过对任务的分解,操作员可以从载荷库选取满足任务要求的载荷对目标实施主、被动探测和采集,平台通过动态载荷加载实现对目标不同维度数据的获取。引接汇聚层接入探测层的数据和其他来源数据,对其进行标准化、数据校验,形成可供进一步分析的标准化数据。融合分析层通过关联分析、机器学习等多种技术手段从数据中挖掘高价值信息,分别从网络拓扑、资产属性、目标画像三个层次开展分析,形成对目标空间的深刻理解和体系化认识。综合呈现层提供地图可视化和数据服务,其中可视化具有多个层级,可根据用户需求进行缩放或布局,各个实体目标采用可配置的规范图标进行呈现。综合管理为系统提供用户管理、安全运维、地图标准及比例尺、数据导入导出等功能,确保系统能够独立运作,且能为其他业务系统提供数据支撑。
表2 国内网络拓扑探测研究机构情况
网络空间测绘系统的主要功能如下:
(1)全维探测。依托全球分布式探测管理平台集成网络拓扑、网络资产、网络爬虫、流量采集等各种主、被动探测工具和辅助工具,既包括对网络空间进行全网普查性端口扫描探测工具,也包括专用协议和场景的探测工具,从而形成对全球互联网IPv4/v6 地址空间进行多个指定端口快速探测的能力,并支持基于端口的自定义探测。
(2)拓扑发现。网络拓扑发现基于拓扑探测得到的基础数据和被动采集到的多源数据,通过数据融合生成相应的路由器级、PoP 级和AS 级;同时,基于构建的多层次网络拓扑结构对重点目标网络进行节点属性和链路属性深度分析,获取目标网络物理和逻辑链路属性,并识别网络拓扑关键节点和关键路径,对网络空间拓扑的结构特征进行分析,获取网络空间的形成规律、演化趋势。
(3)资产分析。重要网络资产识别基于分布式平台主、被动探测获取的数据开展基于知识图谱、关联分析、相似目标聚类等多手段相结合的方法,实现对网络空间资产的发现、识别、分类,并建立资产特征库,构建网络空间与物理空间关系图谱,获取网络资产的详情,如组织架构、关键人物、IP地址、设备详情、开放端口/服务详情、漏洞信息等。
(4)智能检索。智能检索面向用户对全球网络资产和网络拓扑数据的精确、快速搜索的需求,设计基于“MongoDB+Kafka+ElasticSearch”的海量数据快速搜索方案,提供按组件、服务、设备、端口、IP、网段、时间范围和地理位置等关键词的检索,以及自定义的全球网络资产快速检索和关联能力,为网络溯源、网络攻击、网络防御等提供基础数据与安全情报支撑。
网络空间测绘系统基于采集、分析和检索方面的能力,目前已向多个行业的用户提供丰富的测绘应用服务,如探测服务、数据服务和数据分析服务等。
图1 网络空间测绘系统体系架构
网络空间测绘的最终目标是实现对网络空间的准确刻画与描述,形成一张“网络地图”,为网络空间安全提供“导航”。当前,测绘的概念还在不断发展,测绘广度由区域、国家视角不断拓展至全球;测绘深度由网络空间物理域、逻辑域拓展至认知域、社会域。在系统实现方面也面临实时性、完备性和可验证性等诸多挑战。未来研究将主要集中在以下几个方向:
(1)解决数据一致性差的问题,为多源异构测绘数据融合提供新的解决思路。
(2)完善现有测绘工具,在多种网络场景下,提升现有工具的有效性和可靠性。
(3)利用云计算、大数据、知识图谱技术,解决网络空间测绘数据爆炸的问题,对获得的数据进行高效管理,充分发挥其效能。