網(wǎng)絡(luò)空間測繪系統(tǒng)分類及應(yīng)用綜述

劉 紅，姚旺君，孫 徹，劉旭東，包正晶，賈召鵬

(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所，北京102209)

0 引言

隨著計算機網(wǎng)絡(luò)及通信技術(shù)的發(fā)展，世界即將進入萬物互聯(lián)的時代，新興互聯(lián)網(wǎng)通信技術(shù)方興未艾，聯(lián)網(wǎng)設(shè)備種類和數(shù)量都呈現(xiàn)爆發(fā)式增長，網(wǎng)民規(guī)模與日俱增，據(jù) CNNIC 發(fā)布的第 47 期《中國互聯(lián)網(wǎng)發(fā)展統(tǒng)計報告》，截至 2020 年 12 月，中國互聯(lián)網(wǎng)用戶數(shù)達到9.89 億，占總?cè)丝诘?70.7%，網(wǎng)絡(luò)空間已成為億萬民眾的精神家園。為推進網(wǎng)絡(luò)空間治理，就需要摸清網(wǎng)絡(luò)空間的“家底”。 網(wǎng)絡(luò)空間測繪是對網(wǎng)絡(luò)空間中的各類資源進行探測，獲取網(wǎng)絡(luò)空間資源的基本屬性、應(yīng)用屬性和擴展屬性，將獲取到的各類數(shù)據(jù)進行融合處理、關(guān)聯(lián)分析，繪制形成一張網(wǎng)絡(luò)空間資源的地圖，以全面掌握網(wǎng)絡(luò)空間基本特性及其分布特征，為網(wǎng)絡(luò)空間治理、網(wǎng)絡(luò)安全風(fēng)險防御提供參考和依據(jù)。

本文從網(wǎng)絡(luò)空間測繪的發(fā)展歷程、相關(guān)概念出發(fā)，按網(wǎng)絡(luò)空間資源類型、探測方法、行業(yè)應(yīng)用等方向?qū)W(wǎng)絡(luò)空間測繪進行分類，并提出網(wǎng)絡(luò)空間測繪系統(tǒng)評價體系以及發(fā)展趨勢，為網(wǎng)絡(luò)空間測繪體系理論和技術(shù)研究貢獻力量。

1 發(fā)展歷程

互聯(lián)網(wǎng)，始于 1969 年的美國，它的興起給人們的工作、生活、社交、娛樂、消費帶來了諸多便利。起初為了解決網(wǎng)絡(luò)中存在的問題，更好地利用網(wǎng)絡(luò)，研究者們更多關(guān)注的是網(wǎng)絡(luò)性能，通過研究網(wǎng)絡(luò)測量與分析技術(shù)[1]，周期性、連續(xù)地測量網(wǎng)絡(luò)的性能參數(shù)，包括丟包率、RTT、流量、路徑的平均跳數(shù)等，通過對一系列參數(shù)的量化，來考察網(wǎng)絡(luò)的穩(wěn)定性、可達性、可靠性及網(wǎng)絡(luò)服務(wù)質(zhì)量等。 隨著互聯(lián)網(wǎng)技術(shù)的成熟以及應(yīng)用的普及，互聯(lián)網(wǎng)不再僅僅作為實驗室技術(shù)研究對象存在，而是越來越成為人們生產(chǎn)生活中的“第二類空間”[2]存在。

2001 年美國《保護信息系統(tǒng)的國家計劃》首次提出“網(wǎng)絡(luò)空間”(cyberspace)概念，隨著美國國家安全局(National Security Agency，NSA)的藏寶圖計劃、美國國防部先進研究項目局(Defense Advanced Research Projects Agency，DARPA)的 X 計劃以及美國國土資源部(United States Department of Homeland Security，DHS)的 SHINE 計劃[3]的披露，進一步推動了網(wǎng)絡(luò)空間測繪及其應(yīng)用的發(fā)展。 2016 年 12 月 27 日，中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，將網(wǎng)絡(luò)空間安全提升到一個重要的層次，加快推動了我國網(wǎng)絡(luò)空間測繪工作的發(fā)展。

在網(wǎng)絡(luò)空間測繪領(lǐng)域的起步階段，主要集中于理論和概念的研究，結(jié)合網(wǎng)絡(luò)測量技術(shù)和地理測繪知識，在資產(chǎn)探測、拓撲測量、IP 定位層面逐步發(fā)展。 現(xiàn)階段更注重的是在海量多源異構(gòu)數(shù)據(jù)的基礎(chǔ)上進行信息同化和融合分析，根據(jù)不同應(yīng)用場景和需求，應(yīng)用可視化技術(shù)，結(jié)合人工智能，對所有信息分門別類地進行展示。 在進行全網(wǎng)資產(chǎn)探測的同時，實現(xiàn)對網(wǎng)絡(luò)空間的態(tài)勢感知、規(guī)律探尋，致力于將網(wǎng)絡(luò)空間、地理空間和社會空間進行相互映射，將虛擬、動態(tài)的網(wǎng)絡(luò)空間測繪成一份動態(tài)、實時、可靠、有效的網(wǎng)絡(luò)空間數(shù)據(jù)地圖，支撐監(jiān)管機構(gòu)、網(wǎng)絡(luò)安全部門、關(guān)鍵基礎(chǔ)設(shè)施行業(yè)、互聯(lián)網(wǎng)金融行業(yè)及互聯(lián)網(wǎng)廣告等典型行業(yè)應(yīng)用。 網(wǎng)絡(luò)空間測繪系統(tǒng)發(fā)展歷程如圖1 所示。

圖1 網(wǎng)絡(luò)空間測繪系統(tǒng)發(fā)展歷程

2 相關(guān)概念

目前，國內(nèi)研究主要從狹義和廣義兩個角度闡述網(wǎng)絡(luò)空間測繪的基本內(nèi)涵[2-4]，狹義的網(wǎng)絡(luò)空間是指覆蓋互聯(lián)網(wǎng)，建立于各類基礎(chǔ)設(shè)施、設(shè)備及軟硬件基礎(chǔ)上的一個抽象、虛擬、數(shù)字化的空間；廣義的網(wǎng)絡(luò)空間是指不僅覆蓋互聯(lián)網(wǎng)，還有電信網(wǎng)、工業(yè)控制網(wǎng)等，將傳統(tǒng)物理空間中的各對象，以及其關(guān)聯(lián)的信息(即社會空間信息)映像到網(wǎng)絡(luò)空間中。本文所探討的是廣義的網(wǎng)絡(luò)空間。

方濱興院士將網(wǎng)絡(luò)空間組成要素分為4 種類型[5]：載體、信息、主體和操作，基于此 4 要素網(wǎng)絡(luò)空間測繪的目的是獲取網(wǎng)絡(luò)空間中各個要素的全面完整信息，具體包括網(wǎng)絡(luò)空間目標軟硬件資產(chǎn)屬性信息、網(wǎng)絡(luò)拓撲地圖繪制、目標地理位置信息、目標賬號信息以及各個要素之間的信息融合和關(guān)聯(lián)分析。

網(wǎng)絡(luò)空間目標軟硬件資產(chǎn)屬性信息包括目標設(shè)備、目標軟件及其屬性信息，如識別目標為路由器、交換機、安全防護設(shè)備、服務(wù)器、終端、物聯(lián)網(wǎng)設(shè)備等，進一步包括目標設(shè)備的型號、廠商等；另外，目標軟件信息包括目標系統(tǒng)軟件、應(yīng)用軟件、中間件等，進一步包括目標軟件的名稱、版本號、網(wǎng)絡(luò)協(xié)議及版本；目標資產(chǎn)屬性信息包括目標IP 地址、MAC地址、主機名稱、域名、端口開放情況、服務(wù)組件、行業(yè)屬性、脆弱性匹配情況等。

網(wǎng)絡(luò)拓撲地圖繪制包含全球級別、國家級別、AS 級別(AS 域內(nèi)和 AS 域間)和 IP 級別的繪制，分析全球網(wǎng)絡(luò)連接情況。 從物理拓撲和邏輯拓撲兩個層面對指定地區(qū)下AS 域內(nèi)拓撲，返回路由器連接關(guān)系、路由器接口IP 和路由器詳細信息(如路由器位置、在網(wǎng)絡(luò)中的角色及帶寬等)。

目標IP 地理位置信息包括地理位置、應(yīng)用場景、所屬運營商、定位精度、定位方式、定位準確度和一致性。

目標賬號信息包括社交媒體賬號基本信息、賬號好友關(guān)系、賬號發(fā)文信息，以及消息的點贊、轉(zhuǎn)發(fā)、評論等。

網(wǎng)絡(luò)空間測繪重在“測”與“繪”，以地理空間為基礎(chǔ)，繪出網(wǎng)絡(luò)空間中所有資產(chǎn)的位置，展示資產(chǎn)的屬性特征，以資產(chǎn)為載體，向上擴展到社會空間，呈現(xiàn)所有資產(chǎn)的社會屬性。 地理空間是現(xiàn)實世界中可以看到的，如山川、河流、土地、城市、道路等；網(wǎng)絡(luò)空間是構(gòu)建在信息通信技術(shù)基礎(chǔ)設(shè)施之上的人造空間，用以支撐人們在該空間中開展各類信息通信技術(shù)相關(guān)的活動[3]；社會空間原本是社會活動和社會組織所占據(jù)的空間，而基于網(wǎng)絡(luò)空間所形成的社會空間是指虛擬的行為空間、社區(qū)、生活圈等。

本文主要從“測”的角度，通過不同的分類方法描述網(wǎng)絡(luò)空間測繪系統(tǒng)，如圖2 所示；然后介紹目前網(wǎng)絡(luò)空間測繪相關(guān)產(chǎn)品，并從不同維度總結(jié)其評價指標體系，提出對網(wǎng)絡(luò)空間測繪技術(shù)的幾點思考及其存在的難點、問題；最后闡述了網(wǎng)絡(luò)空間測繪的發(fā)展趨勢。

圖2 網(wǎng)絡(luò)空間測繪系統(tǒng)分類

3 網(wǎng)絡(luò)空間測繪系統(tǒng)分類

3.1 按資源類型分類

廣義的網(wǎng)絡(luò)空間資源是網(wǎng)絡(luò)空間中 “載體”、“信息”、“主體”等各類要素的總和，不僅覆蓋通信基礎(chǔ)設(shè)施、IP 網(wǎng)絡(luò)、覆蓋網(wǎng)絡(luò)、應(yīng)用支撐系統(tǒng)等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實體資源，而且覆蓋承載在實體設(shè)施之上的信息內(nèi)容、用戶等虛擬資源[6-7]，如圖3 所示。

圖3 網(wǎng)絡(luò)空間資源分類圖

(1)實體資源

所謂實體性是指網(wǎng)絡(luò)的組成及其在網(wǎng)絡(luò)中能夠?qū)嶋H體驗的，即“看得見摸得到”的，它以網(wǎng)絡(luò)本身為基礎(chǔ)，是網(wǎng)絡(luò)產(chǎn)生后才隨之產(chǎn)生的。 網(wǎng)絡(luò)空間的實體資源[8]分為硬件和軟件，硬件即能連上網(wǎng)絡(luò)的設(shè)備，它們占據(jù)了虛擬網(wǎng)絡(luò)空間中的某一位置，一旦設(shè)備掉電，就脫離網(wǎng)絡(luò)空間，所以實體資源是動態(tài)變化的，如服務(wù)器、路由交換設(shè)備、物聯(lián)網(wǎng)設(shè)備、終端設(shè)備、區(qū)塊鏈等；軟件即以硬件為載體以求達到某種目的的一系列代碼，如操作系統(tǒng)、中間件、數(shù)據(jù)庫、安全軟件等。

對實體資源的“測”，主要是對實體資源屬性信息的獲取、地理位置的識別及其與其他實體資源的關(guān)聯(lián)拓撲關(guān)系的獲取。 將實體資源的地理位置向地理空間映射，明確目標地址；拓撲關(guān)系向網(wǎng)絡(luò)空間映射，繪制出目標網(wǎng)絡(luò)的連接情況；實體資源的行業(yè)屬性、組織結(jié)構(gòu)等向社會空間映射，得到資源的社會屬性分類和地域分布情況[9]。

(2)虛擬資源

所謂虛擬性是指網(wǎng)絡(luò)世界的存在形態(tài)是無形的，它以圖像、聲音、信息等電子文本作為自己的存在形式。 網(wǎng)絡(luò)空間中的虛擬資源，劃分到社會空間中，是由虛擬人(如各種社交賬號等)、虛擬內(nèi)容(如網(wǎng)頁信息、聊天記錄、視頻等)構(gòu)成的不同社區(qū)、不同群體組成的。 在網(wǎng)絡(luò)中人們可以用匿名或虛擬身份進行交流，不同于現(xiàn)實世界，網(wǎng)絡(luò)空間中不存在身體屬性、階級屬性以及地域?qū)傩运斐傻母鞣N溝壑。

對虛擬資源的“測”主要是對目標賬號及內(nèi)容信息的獲取，例如對微信公眾號、微博等社交媒體賬號基本信息，賬號好友關(guān)系和賬號發(fā)文信息，以及關(guān)注的網(wǎng)站內(nèi)容數(shù)據(jù)的提取，并在提取的數(shù)據(jù)基礎(chǔ)上進一步關(guān)聯(lián)分析，進行可視化繪制。

3.2 按方法分類

對網(wǎng)絡(luò)空間資產(chǎn)進行摸底，基于網(wǎng)絡(luò)傳輸技術(shù)可以應(yīng)用多種手段，來獲取網(wǎng)絡(luò)空間資源的屬性、地理位置、拓撲關(guān)系、社交內(nèi)容等信息。

(1)主動探測

主動探測[10]是指通過主動向目標網(wǎng)絡(luò)資產(chǎn)發(fā)出探測信號，包括端口掃描、指紋服務(wù)掃描、路由跟蹤技術(shù)、Spider 爬蟲[11]等探測網(wǎng)絡(luò)的服務(wù)協(xié)議類型、IP 存活、社交媒體內(nèi)容、網(wǎng)站內(nèi)容等信息，從返回數(shù)據(jù)包的相關(guān)信息(包括各層協(xié)議內(nèi)容、包重傳時間等)中分類提取目標指紋或內(nèi)容信息，將指紋與指紋庫中的指紋進行比對，來實現(xiàn)對開放端口、操作系統(tǒng)、服務(wù)、應(yīng)用類型、端到端間的網(wǎng)絡(luò)性能信息、 網(wǎng)絡(luò)的路徑分布及路由信息的探測；Spider 爬蟲搜集目標網(wǎng)站域名或社交通道的諸如漏洞信息、開放服務(wù)信息、作者公司、關(guān)聯(lián)關(guān)系、文本內(nèi)容資產(chǎn)等信息[12]。 主動探測方法相比于傳統(tǒng)方法便捷且高效，其通過目標網(wǎng)絡(luò)內(nèi)的一個節(jié)點進行探測數(shù)據(jù)包的收發(fā)和響應(yīng)分析實現(xiàn)，不需要在所有網(wǎng)絡(luò)資產(chǎn)上安裝客戶端。 但同時也存在不足之處，例如大量非正常通信的網(wǎng)絡(luò)流量噪聲易對正在運行的系統(tǒng)造成影響等。

(2)被動探測

被動探測是采用監(jiān)聽的方式，被動地接收當前網(wǎng)絡(luò)中的流量包[13]，通過對數(shù)據(jù)包的分析和處理，獲取資產(chǎn)信息。 這種方法對網(wǎng)絡(luò)當前狀態(tài)影響較小，沒有增加網(wǎng)絡(luò)的負載，但不足之處是需要進行大量的分析工作，因為在所有流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包中，可能只有部分具有分析價值，所以針對大規(guī)模網(wǎng)絡(luò)，采用被動監(jiān)聽的方式效率較低。 另一方面，對于在線但不工作的網(wǎng)絡(luò)設(shè)備，無法監(jiān)聽其流量，此時采用主動探測方式比較有效。

(3)主被動自適應(yīng)探測

主被動自適應(yīng)探測顧名思義是依據(jù)目標類型和狀態(tài)，將主動探測和被動探測兩種方式自動進行優(yōu)劣勢互補，針對不主動產(chǎn)生流量的目標節(jié)點，自動采用主動探測方式，獲取所需信息，針對網(wǎng)絡(luò)性能要求較高且敏感的網(wǎng)絡(luò)，自動采用被動探測方式采集、解析流量包，或者先通過被動方式初步判斷目標節(jié)點的情況后，再自適應(yīng)利用主動探測方式進一步深入地探索和分析。 總之，主被動自適應(yīng)探測的目的是在不影響網(wǎng)絡(luò)性能、不增加網(wǎng)絡(luò)負載的前提下，盡可能全面準確獲取網(wǎng)絡(luò)空間資源屬性信息。

(4)基于多源數(shù)據(jù)的融合

網(wǎng)絡(luò)空間資源屬性多源數(shù)據(jù)融合分析方法包括：開源網(wǎng)絡(luò)情報(OSINT)，即通過對公開的信息或其他開源工具進行收集、分析后所得到的情報，如公共記錄數(shù)據(jù)庫、政府報告、文件、網(wǎng)站、大眾媒體、暗網(wǎng)等公共信息；專業(yè)網(wǎng)絡(luò)空間資產(chǎn)測繪產(chǎn)品提供的 源 數(shù) 據(jù) ， 包 括 FOFA、Shodan、ZoomEye、RaySpace、360 Quake、BinaryEdge、Sumap、全球鷹等；專用數(shù)據(jù)資源庫，如 Maxmind、Whois、pDNS、高精度 IP 地理位置庫、漏洞庫、指紋庫、資產(chǎn)信息庫、行業(yè)屬性關(guān)系庫、社工庫；威脅情報類服務(wù)商，如 FireEye、Infoblox、LookingGlass、McAfee、RSA、SecureWorks、Symantec 和Verisign 等。

多源網(wǎng)絡(luò)空間資源屬性數(shù)據(jù)覆蓋面廣、碎片化、數(shù)據(jù)異構(gòu)、數(shù)據(jù)量大，需要經(jīng)驗豐富的大數(shù)據(jù)處理分析師以及高效的智能分析處理算法，融合分析出網(wǎng)絡(luò)空間測繪所需要的數(shù)據(jù)。 此方法為純粹的數(shù)據(jù)分析繪制可視化技術(shù)，不主動地針對目標進行探測獲取數(shù)據(jù)，需要非常明確的應(yīng)用場景需求進行支撐，才能形成有針對性有特色的專業(yè)網(wǎng)絡(luò)空間測繪系統(tǒng)。

(5)基于探針代理的探測

基于探針代理的探測主要針對于可協(xié)作的專網(wǎng)(私網(wǎng))應(yīng)用場景的網(wǎng)絡(luò)空間資產(chǎn)的測繪。 運營商或者大型企業(yè)為了更好地實現(xiàn)自身網(wǎng)絡(luò)或者設(shè)備的監(jiān)管能力，通過安全數(shù)據(jù)分析、可視化監(jiān)管和精細化運營管理，掌握運營狀況，快速監(jiān)控節(jié)點狀態(tài)、排查節(jié)點故障。 一般會將探針部署在相關(guān)的網(wǎng)絡(luò)節(jié)點中或者ISP&IDC 出口，通過探針主動傳回目標節(jié)點網(wǎng)絡(luò)層及應(yīng)用層的屬性信息到服務(wù)器，服務(wù)器進行分析展示監(jiān)控。

基于探針代理的探測方法也是網(wǎng)絡(luò)空間測繪應(yīng)用的一類場景需求，結(jié)合國內(nèi)外各類開源威脅情報庫，對于私網(wǎng)資產(chǎn)的精細化運營管理、實時監(jiān)控、異常報警、未知威脅發(fā)現(xiàn)有現(xiàn)實應(yīng)用價值。

3.3 按應(yīng)用場景分類

研究網(wǎng)絡(luò)空間測繪系統(tǒng)，了解空間資產(chǎn)分布、屬性、脆弱性信息，歸根結(jié)底是基于攻擊與防御的目的，目前各行業(yè)主要以防御為主，實時掌握自身所屬資產(chǎn)的公網(wǎng)暴露面，及時修補漏洞，進行脆弱性分析，做好主動防御，防止威脅事件的發(fā)生。

(1)威脅預(yù)警和應(yīng)急響應(yīng)

網(wǎng)絡(luò)空間測繪將資產(chǎn)數(shù)據(jù)融合與威脅風(fēng)險關(guān)聯(lián)疊加后，可以提升安全應(yīng)急響應(yīng)時效。 例如在監(jiān)管部門層面，監(jiān)管區(qū)域內(nèi)的設(shè)備眾多，分布甚廣，難以統(tǒng)一管理，利用網(wǎng)絡(luò)空間測繪系統(tǒng)梳理區(qū)域內(nèi)的資產(chǎn)，獲取資產(chǎn)位置信息，識別資產(chǎn)屬性特征及其脆弱性，進一步通過態(tài)勢的察覺、評估和預(yù)測，提前主動感知可能出現(xiàn)的威脅情況，有助于避免網(wǎng)絡(luò)威脅事件的發(fā)生，降低網(wǎng)絡(luò)威脅事件帶來的損失，特別是針對關(guān)鍵基礎(chǔ)設(shè)施的態(tài)勢預(yù)測尤為重要。 利用工具進行監(jiān)控，以工具代替人工，自動地全天候監(jiān)控與偵察，抵御外部入侵，有助于擴大監(jiān)管范圍，起到降本增效的效果。

(2)資產(chǎn)管理及其暴露面分析

網(wǎng)絡(luò)空間測繪可以應(yīng)用于梳理目標資源的暴露面，對目標進行跟蹤管理。例如在企業(yè)層面，通過資產(chǎn)探測，清晰地了解任意時段的企業(yè)內(nèi)部資產(chǎn)狀況，檢測可能被遺忘的設(shè)備，識別設(shè)備可能安裝的舊版本軟件，根據(jù)暴露出的該版本存在的漏洞情況，執(zhí)行版本升級操作，預(yù)防網(wǎng)絡(luò)威脅的發(fā)生。 同時通過資產(chǎn)探測，可了解企業(yè)產(chǎn)品的地域分布情況，結(jié)合地理位置以及用戶搜索內(nèi)容的大數(shù)據(jù)分析，可以向其推送個性化的信息，包括服務(wù)、廣告等，作為營銷策略。 通過資產(chǎn)識別，進一步對企業(yè)內(nèi)部資產(chǎn)暴露面自查，對企業(yè)外部互聯(lián)網(wǎng)資產(chǎn)暴露面自查，及時修復(fù)漏洞，加固自身，不給攻擊方可乘之機。

(3)網(wǎng)絡(luò)性能改進

當前網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，設(shè)備種類和業(yè)務(wù)系統(tǒng)較多，網(wǎng)絡(luò)拓撲及上層覆蓋網(wǎng)絡(luò)的組網(wǎng)和性能等情況，是應(yīng)用開發(fā)者和網(wǎng)絡(luò)維護者關(guān)注的重點。 通過跟蹤網(wǎng)絡(luò)資源的拓撲以及流量的變化趨勢，監(jiān)控網(wǎng)絡(luò)運行狀態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)自身問題，對網(wǎng)絡(luò)健壯性和脆弱性等進行評估，對新型網(wǎng)絡(luò)應(yīng)用等的分布情況進行摸底，了解網(wǎng)絡(luò)狀況，進而改進網(wǎng)絡(luò)性能，優(yōu)化網(wǎng)絡(luò)配置。

4 評價體系

目前全球已有眾多網(wǎng)絡(luò)空間測繪產(chǎn)品(也稱網(wǎng)絡(luò)空間搜索引擎)，如美國的 Shodan[14]，它主要針對服務(wù)器、網(wǎng)絡(luò)攝像頭等網(wǎng)絡(luò)基礎(chǔ)設(shè)備進行掃描識別，且具有豐富的支持多種編程語言的API 接口代碼庫；Censys[15]是密歇根大學(xué)的研究者開發(fā)的，它采用自研的掃描工具 ZMap，收集 IP、證書、網(wǎng)站的詳細信息，幫助用戶梳理所屬組織的攻擊暴露面；BinaryEdge是瑞士一家公司的產(chǎn)品，它進行全網(wǎng)范圍內(nèi)的掃描，將近50 億設(shè)備的因特網(wǎng)攻擊暴露面與1 500 萬個商業(yè)團體進行映射，致力于為企業(yè)組織提供實時威脅情報信息以降低它們被攻擊的風(fēng)險。

國內(nèi)的網(wǎng)絡(luò)空間測繪產(chǎn)品也相繼產(chǎn)生，包括知道創(chuàng)宇公司的Zoomeye，其通過兩大探測引擎：Xmap和Wmap，分別針對網(wǎng)絡(luò)空間中的設(shè)備及網(wǎng)站，每天24 小時不間斷地探測、識別，標識出互聯(lián)網(wǎng)設(shè)備及網(wǎng)站所使用的服務(wù)及組件，除了設(shè)備指紋的掃描外，相比Shodan 它增加了對域名和Web 服務(wù)器的指紋掃描。華順信安的網(wǎng)絡(luò)空間搜索引擎FOFA，其資產(chǎn)數(shù)據(jù)按照host:port 的方式進行存儲，對資產(chǎn)特征收集比較完善，具備支持圖標搜索、蜜罐識別等功能。360 網(wǎng)絡(luò)安全響應(yīng)中心自主研發(fā)設(shè)計的全網(wǎng)空間測繪系統(tǒng) Quake，使用自研的 Quake Vscan 掃描引擎，支持5 個不同層面，數(shù) 10 萬種產(chǎn)品識別、產(chǎn)品類型識別，數(shù)百種常見網(wǎng)絡(luò)協(xié)議識別，具備全網(wǎng)資產(chǎn)設(shè)備發(fā)現(xiàn)識別能力。 盛邦安全的 RaySpace 平臺，應(yīng)用自主研發(fā)的安全操作系統(tǒng)RayOS，支持全球IPv4、IPv6 雙協(xié)議棧，使探測的范圍更廣更全面。 安數(shù)網(wǎng)絡(luò)的Oshadan 網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，專為網(wǎng)絡(luò)安全監(jiān)管人員設(shè)計開發(fā)，用于監(jiān)測關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險。 威努特做為國內(nèi)工控安全領(lǐng)域的領(lǐng)軍者，提供防護和檢測兩大類完善的產(chǎn)品線和多行業(yè)解決方案，包括工業(yè)安全態(tài)勢感知平臺、工業(yè)互聯(lián)網(wǎng)雷達、漏洞庫平臺等進行工業(yè)互聯(lián)網(wǎng)的資產(chǎn)探測及威脅預(yù)警。 東北大學(xué)研發(fā)的諦聽(ditecting)，側(cè)重搜尋暴露的工控聯(lián)網(wǎng)設(shè)備，定位其位置，捕捉開放端口，發(fā)現(xiàn)安全漏洞，展示全球工控安全形勢。

面對眾多的網(wǎng)絡(luò)空間測繪產(chǎn)品，目前國內(nèi)沒有統(tǒng)一的評價標準來定量評價各產(chǎn)品的優(yōu)劣勢，本文提出從以下不同維度進行評價，如表1 所示。

表1 不同維度的評價體系

當然，產(chǎn)品相關(guān)的參數(shù)不止上述所列出的維度，不同測繪產(chǎn)品的側(cè)重點也不盡相同，后續(xù)可在此基礎(chǔ)上進行擴充。

5 存在的問題和難點

網(wǎng)絡(luò)空間測繪面臨的問題和難點主要如下：

(1)網(wǎng)絡(luò)空間的資產(chǎn)分布廣，數(shù)量大且種類多，需要分析所有在網(wǎng)設(shè)備的特征、協(xié)議信息，才能達到全面探測識別的程度。

(2)受虛假識別、網(wǎng)絡(luò)防護等影響，易造成設(shè)備識別不準確，同樣設(shè)備位置準確性、威脅準確性均有待提高。

(3)網(wǎng)絡(luò)中的資產(chǎn)是動態(tài)的、瞬時變化的，當前看到的數(shù)據(jù)結(jié)果不一定就是設(shè)備的實際狀態(tài)，存在偏差，要達到實時跟蹤效果有待技術(shù)的提高。

(4)如何將實體資源向地理空間映射，如何在地理空間中描繪出不同形態(tài)的實體資源及其拓撲關(guān)系，如何將虛擬資源向社會空間映射，均存在一定難度。 對虛擬資源的關(guān)聯(lián)分析也有待研究和實現(xiàn)。

(5)網(wǎng)絡(luò)空間測繪沒有特定行業(yè)標準規(guī)范和資質(zhì)種類規(guī)范要求，領(lǐng)域內(nèi)缺少統(tǒng)一的網(wǎng)絡(luò)空間資產(chǎn)數(shù)據(jù)表示方法、展示方法、資產(chǎn)分類分級的標準，導(dǎo)致不同產(chǎn)品的數(shù)據(jù)連通性差，也缺少測繪產(chǎn)品的評價標準來指導(dǎo)各單位測繪產(chǎn)品的開發(fā)。

(6)支持工業(yè)控制設(shè)備/協(xié)議等服務(wù)數(shù)量不足、感知深度不夠。 因工控設(shè)備攜帶的更多的是私有協(xié)議，且種類多，所以需要大量的分析成本和技術(shù)積累。

(7)目前各國加大 IPv6 推廣力度，不同于對IPv4地址的探測，對IPv6 地址探測用輪詢的方法是不可能的，如何安全地、準確定位并識別 IPv6 資產(chǎn)，有待進一步研究。

(8)對新一代網(wǎng)絡(luò)的探測技術(shù)，需與時俱進，如SDN 網(wǎng)絡(luò)、云網(wǎng)絡(luò)、加密網(wǎng)絡(luò)等。

(9)需加強對網(wǎng)絡(luò)蜜罐的識別技術(shù)，防范探測目標的網(wǎng)絡(luò)誘捕行為。

6 結(jié)論

現(xiàn)階段國內(nèi)網(wǎng)絡(luò)空間測繪領(lǐng)域?qū)W(wǎng)絡(luò)空間資產(chǎn)的“摸底”已初具規(guī)模，覆蓋了全網(wǎng)大部分設(shè)備，積累了大量資產(chǎn)數(shù)據(jù)，但相比國外網(wǎng)絡(luò)空間測繪系統(tǒng)，從技術(shù)和應(yīng)用方面均有較大的差距。據(jù)預(yù)計，到2025 年全球連接到互聯(lián)網(wǎng)的設(shè)備將達到416 億臺，由此可見對網(wǎng)絡(luò)空間的探索任重道遠。 未來需要做的一是在探測方面，要精益求精，對未知的協(xié)議資產(chǎn)進一步分析、探索，提高資產(chǎn)覆蓋率、準確率，在提高探測速度的同時，引入高效的人工智能算法技術(shù)，注重探測的安全性、無感知、無影響、無風(fēng)險、防溯源；二是在探測數(shù)據(jù)的基礎(chǔ)上，將實體和虛擬資源數(shù)據(jù)進行融合分析，基于地理地圖，將網(wǎng)絡(luò)設(shè)備的地理位置、所屬組織、拓撲關(guān)系、設(shè)備屬性、網(wǎng)絡(luò)人的屬性等進行多維度繪制，形成面向設(shè)備/域名、面向關(guān)鍵基礎(chǔ)服務(wù)、面向內(nèi)容和服務(wù)、面向網(wǎng)絡(luò)人和社會人映射的畫像，形成高度集成的網(wǎng)絡(luò)空間全產(chǎn)業(yè)生態(tài)鏈的畫像。 同時期待國內(nèi)多家網(wǎng)絡(luò)空間測繪領(lǐng)域的企業(yè)，可共享資源、共享補丁、高效協(xié)同、強強聯(lián)合、合作共贏，為國家安全戰(zhàn)略同奮斗。