網(wǎng)絡(luò)空間資產(chǎn)探測(cè)與分析技術(shù)研究

朱龍

摘要：如今，網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，通過對(duì)網(wǎng)絡(luò)環(huán)境空間資產(chǎn)探測(cè)與分析技術(shù)的深入研究，能夠及時(shí)發(fā)現(xiàn)潛藏的網(wǎng)絡(luò)危機(jī)，防止不法之徒入侵。文章從構(gòu)筑網(wǎng)絡(luò)生態(tài)命運(yùn)共同體、建設(shè)新時(shí)期網(wǎng)絡(luò)安全戰(zhàn)略地圖、開展網(wǎng)絡(luò)環(huán)境空間資產(chǎn)探測(cè)與分技術(shù)研究3個(gè)角度，分析網(wǎng)絡(luò)空間測(cè)繪的技術(shù)原理、價(jià)值，對(duì)網(wǎng)絡(luò)空間測(cè)繪技術(shù)的闡釋及現(xiàn)狀做了介紹，研究網(wǎng)絡(luò)空間資產(chǎn)探測(cè)與分析技術(shù)，給相關(guān)工作者提供研究參考。

關(guān)鍵詞：網(wǎng)絡(luò)空間；資產(chǎn)探測(cè)與分析技術(shù)；應(yīng)用實(shí)踐

中圖分類號(hào)：TP393.2? 文獻(xiàn)標(biāo)志碼：A

0 引言

互聯(lián)網(wǎng)空間結(jié)構(gòu)是人們一起共享的精神活動(dòng)空間。當(dāng)前，隨著互聯(lián)網(wǎng)、虛擬現(xiàn)實(shí)、物聯(lián)網(wǎng)、新一代人工智能、區(qū)塊鏈等新型技術(shù)的日益凸顯，人類社會(huì)正快速地步入新數(shù)字經(jīng)濟(jì)時(shí)期，在網(wǎng)絡(luò)中運(yùn)行的數(shù)據(jù)成為全球科技和產(chǎn)業(yè)競(jìng)爭(zhēng)的重要制高點(diǎn)，數(shù)據(jù)資源及其物理載體是網(wǎng)絡(luò)空間資產(chǎn)管理的主要對(duì)象，網(wǎng)絡(luò)空間資產(chǎn)管理的安全性直接決定了數(shù)據(jù)資源的安全性，其作用對(duì)網(wǎng)絡(luò)空間資產(chǎn)探測(cè)與分析技術(shù)的研究舉足輕重。

1 構(gòu)筑互聯(lián)網(wǎng)空間網(wǎng)絡(luò)生態(tài)命運(yùn)共同體的重大意義

面對(duì)信息科技產(chǎn)業(yè)發(fā)展的危機(jī)、互聯(lián)網(wǎng)生態(tài)建設(shè)的亂象，建設(shè)“網(wǎng)絡(luò)空間命運(yùn)共同體”、培養(yǎng)“發(fā)展新動(dòng)力”、開拓“數(shù)字聯(lián)合新局面”、營造“安全新格局”，圍繞互聯(lián)網(wǎng)技術(shù)建設(shè)全社會(huì)利益共同體、安全共同體、發(fā)展共同體、效益共同體，實(shí)現(xiàn)經(jīng)濟(jì)發(fā)展共同推動(dòng)、網(wǎng)絡(luò)安全共同保障、社會(huì)管理共同負(fù)責(zé)、效益成果共同享受，具有重大意義［1］。

2 基于網(wǎng)絡(luò)空間測(cè)繪技術(shù)構(gòu)建安全態(tài)勢(shì)感知體系

伴隨著網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，網(wǎng)絡(luò)已被稱為人類的“第五空間” ［2］。如何有效管控網(wǎng)絡(luò)空間、及時(shí)發(fā)現(xiàn)并識(shí)別網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施、合理分配資源并做好安全檢測(cè)防護(hù)，儼然是當(dāng)下網(wǎng)絡(luò)空間安全治理工作的重中之重，“網(wǎng)絡(luò)空間測(cè)繪”研究計(jì)劃應(yīng)運(yùn)而生。該項(xiàng)技術(shù)如同一張網(wǎng)絡(luò)空間信息的“作戰(zhàn)地圖”，采用網(wǎng)絡(luò)探測(cè)、采集、分析、處理等方式，把互聯(lián)網(wǎng)空中基礎(chǔ)設(shè)施及其網(wǎng)絡(luò)資源中的有關(guān)屬性信息，用邏輯關(guān)系圖形和地理信息圖像的表現(xiàn)形式加以描繪和表達(dá)，從而直觀形象地表現(xiàn)互聯(lián)網(wǎng)空中資源屬性狀況和變化趨勢(shì)［3］。

2.1 網(wǎng)絡(luò)空間測(cè)繪技術(shù)原理

網(wǎng)絡(luò)空間測(cè)繪技術(shù)，是通過SaaS服務(wù)的方式解決互聯(lián)網(wǎng)端資產(chǎn)探測(cè)問題。該項(xiàng)技術(shù)主要通過多維度資產(chǎn)挖掘、資產(chǎn)搜索從而形成一套完整的網(wǎng)絡(luò)空間數(shù)據(jù)資源庫。

（1）資產(chǎn)挖掘。通過已知IP、域名、資產(chǎn)關(guān)鍵字（一般是企業(yè)全稱或網(wǎng)站名稱）結(jié)合地域范圍，進(jìn)行網(wǎng)絡(luò)資產(chǎn)挖掘，找到全互聯(lián)網(wǎng)暴露面的資產(chǎn)。

（2）資產(chǎn)搜索。該技術(shù)能夠通過已知的檢索條件，對(duì)特定的資產(chǎn)信息進(jìn)行搜索。輸入任意字符，會(huì)自動(dòng)匹配多個(gè)或一個(gè)資產(chǎn)屬性：?jiǎn)我籌P、IP段、地區(qū)（省、市、縣）、域名、單位名稱、端口號(hào)、某類型的軟件、OS等信息。

（3）資產(chǎn)詳細(xì)信息。包括IP主體、域名主體的資產(chǎn)概述、具體端口屬性等信息。

（4）網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)資源庫。包括漏洞規(guī)則庫用于進(jìn)行脆弱性識(shí)別，顯示探測(cè)的所有資產(chǎn)，通過脆弱性風(fēng)險(xiǎn)名稱搜索存在該風(fēng)險(xiǎn)的資產(chǎn)，對(duì)搜索結(jié)果統(tǒng)計(jì)分析進(jìn)行漏洞檢測(cè)及威脅預(yù)警。

（5）引擎指紋庫。指紋識(shí)別是將某個(gè)端口上運(yùn)行業(yè)務(wù)、操作系統(tǒng)的一段特征代碼翻譯成中文和英文標(biāo)示的過程，指紋由系統(tǒng)規(guī)則升級(jí)包升級(jí)。

2.2 網(wǎng)絡(luò)空間測(cè)繪技術(shù)的價(jià)值

網(wǎng)絡(luò)空間測(cè)繪技術(shù)就網(wǎng)絡(luò)空間上的資產(chǎn)狀態(tài)（如移動(dòng)服務(wù)器和設(shè)備的接口、協(xié)議、使用以及漏洞等）實(shí)施縱深監(jiān)測(cè)，并形成分布情況和網(wǎng)絡(luò)關(guān)聯(lián)索引，對(duì)資產(chǎn)安全狀態(tài)進(jìn)行建模解析和圖像刻畫。相比于實(shí)際常用的地圖，通過各種測(cè)量手段描繪和標(biāo)示企業(yè)地理位置，網(wǎng)絡(luò)空間測(cè)繪技術(shù)正是通過主動(dòng)加被動(dòng)監(jiān)測(cè)的手段，根據(jù)行業(yè)特征對(duì)企業(yè)重要程度、業(yè)務(wù)安全性需求等進(jìn)行歸集，發(fā)掘網(wǎng)絡(luò)資產(chǎn)披露面、不明財(cái)產(chǎn)種類等重要安全性內(nèi)容，從而達(dá)到對(duì)互聯(lián)網(wǎng)企業(yè)的可查、可定位、業(yè)務(wù)安全性需求進(jìn)行歸集，并以此克服未知信息識(shí)別與保護(hù)所存在的問題。

3 網(wǎng)絡(luò)空間資產(chǎn)探測(cè)與分析關(guān)鍵技術(shù)研究

3.1 網(wǎng)絡(luò)空間測(cè)繪技術(shù)的闡釋

網(wǎng)絡(luò)空間測(cè)繪技術(shù)已涵蓋了網(wǎng)絡(luò)檢測(cè)、協(xié)議解析、規(guī)則匹配、拓?fù)浣馕觥⒋髷?shù)據(jù)處理、應(yīng)用安全、可視化表達(dá)等多個(gè)應(yīng)用領(lǐng)域。

3.2 網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪技術(shù)研究現(xiàn)狀

我國也是最早發(fā)展網(wǎng)絡(luò)空間測(cè)繪技術(shù)與應(yīng)用的發(fā)展中國家。2008年，美國政府為進(jìn)一步完善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)功能，發(fā)揮自己的偵察能力和戰(zhàn)略反應(yīng)、作戰(zhàn)能力，陸續(xù)提出了3項(xiàng)重量級(jí)規(guī)劃：美國國土資源部（DHS）的SHINE規(guī)劃、美國國立安全管理局（NSA）的藏寶圖（TreasureMap）規(guī)劃、美國軍事部高級(jí)研發(fā)項(xiàng)目管理局（DRAPA）的X規(guī)劃［4］。

我國在網(wǎng)絡(luò)安全環(huán)境檢測(cè)領(lǐng)域也已開展了相應(yīng)的部署與探索。由公安部第一研究院設(shè)計(jì)開發(fā)的“網(wǎng)絡(luò)安全資產(chǎn)測(cè)繪分析系統(tǒng)”（簡(jiǎn)稱網(wǎng)探D01），通過采集網(wǎng)絡(luò)資源信息和指紋，進(jìn)行互聯(lián)網(wǎng)空間資源查詢、分類、監(jiān)測(cè)，結(jié)合漏洞、廠商信息和威脅資料，進(jìn)行漏洞數(shù)據(jù)分析等，力求為我國關(guān)鍵領(lǐng)域企業(yè)、單位提供完整的互聯(lián)網(wǎng)信息保護(hù)態(tài)勢(shì)，使其更有效地處理危害重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊情況。

3.3 網(wǎng)絡(luò)空間資產(chǎn)探測(cè)技術(shù)研究

網(wǎng)絡(luò)空間資產(chǎn)探測(cè)是指通過使用特定方法獲取目標(biāo)服務(wù)器上的系統(tǒng)屬性數(shù)據(jù)和應(yīng)用屬性數(shù)據(jù)，一般包括IP存活性監(jiān)測(cè)、客戶端/服務(wù)監(jiān)測(cè)、操作系統(tǒng)檢測(cè)、流量統(tǒng)計(jì)、別名分析、DNS監(jiān)測(cè)、應(yīng)用服務(wù)監(jiān)測(cè)等內(nèi)容。IP存活性測(cè)試是通過ARP，ICMP，TCP等國際標(biāo)準(zhǔn)識(shí)別在線服務(wù)器，接口/業(yè)務(wù)測(cè)試則是通過端口掃描法檢測(cè)出目標(biāo)上網(wǎng)服務(wù)器的開放接口，并收集目標(biāo)主機(jī)的功能數(shù)據(jù)、版本信息以及操作系統(tǒng)數(shù)據(jù)。常規(guī)的大數(shù)據(jù)檢測(cè)模塊有Nmap，Zmap，Masscan等，常規(guī)的端口掃描能力有SYN掃描、Connect掃描、UDP掃描、TCP FIN掃描、NULL掃描和Xmas Tree掃描等。在實(shí)際測(cè)試的下發(fā)流程中，通常要根據(jù)檢測(cè)資源分配、探測(cè)源配置、設(shè)備使用情況等因素制定最佳的檢測(cè)方案。別名解析法是指根據(jù)同一條網(wǎng)絡(luò)路由器具有多個(gè)IP地址的特殊情形，判斷IP地址和網(wǎng)絡(luò)路由器間的互相映射關(guān)系，是建立計(jì)算機(jī)網(wǎng)絡(luò)和路由器拓?fù)浣Y(jié)構(gòu)的關(guān)鍵，常用的別名分析方法有Midar，Iffinder，Kapar等。而DNS探測(cè)則是利用對(duì)IP地址反向分析確定IP地址與域名間的相對(duì)關(guān)聯(lián)關(guān)系，是資產(chǎn)屬性確定的重要基礎(chǔ)。

3.4 網(wǎng)絡(luò)空間資產(chǎn)分析技術(shù)研究

計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)錁?gòu)建和還原是指通過對(duì)IP網(wǎng)絡(luò)的路由信息、網(wǎng)絡(luò)路由器分配文檔、BGP路由表等基礎(chǔ)數(shù)據(jù)分析，還原得出計(jì)算機(jī)網(wǎng)絡(luò)的IP級(jí)別、網(wǎng)絡(luò)路由器級(jí)別、PoP級(jí)別和AS級(jí)別信息的拓?fù)浣Y(jié)構(gòu)，用于判斷計(jì)算機(jī)網(wǎng)絡(luò)中關(guān)鍵節(jié)點(diǎn)、推斷節(jié)點(diǎn)間的隱含關(guān)系，發(fā)現(xiàn)拓?fù)浣Y(jié)構(gòu)的薄弱環(huán)節(jié)。IP級(jí)網(wǎng)絡(luò)的拓?fù)錁?gòu)造還原是指將目標(biāo)網(wǎng)絡(luò)的所有IP通路都還原成拓?fù)鋱D上的方式，在IP級(jí)別拓?fù)鋱D上的節(jié)點(diǎn)代表IP地址，節(jié)點(diǎn)中間的連邊代表兩個(gè)與IP地址中間具有直連的鏈路。Traceroute是目前使用最為普遍的IP路由測(cè)量方法，一個(gè)完整的Traceroute檢測(cè)系統(tǒng)能夠分析出從探測(cè)源至目標(biāo)節(jié)點(diǎn)中間的一條路線途徑，但是想要獲取整個(gè)網(wǎng)絡(luò)的整體拓?fù)洌捅仨氂卸鄠€(gè)檢測(cè)源同時(shí)對(duì)多個(gè)目標(biāo)節(jié)點(diǎn)進(jìn)行Traceroute檢測(cè)。因此，面對(duì)數(shù)量龐大的目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)，提升檢測(cè)質(zhì)量以及整體的拓?fù)浼軜?gòu)完整性，變成了對(duì)IP級(jí)別目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)回歸的重要工作及探索目標(biāo)。路由器的網(wǎng)絡(luò)拓?fù)錁?gòu)造，一般都是通過路由別名的解析技術(shù)得出IP網(wǎng)址和路由器之間連接的相對(duì)位置后，再對(duì)IP別級(jí)拓?fù)錁?gòu)造進(jìn)行整合得出，拓?fù)浣Y(jié)構(gòu)的節(jié)點(diǎn)一般代表了路由器，而節(jié)點(diǎn)之間的連接邊代表了兩個(gè)路由器之間直接連通，根據(jù)這種算法對(duì)路由別名解析的準(zhǔn)確率和覆蓋率要求較高。自治域（AS）是由幾個(gè)實(shí)施相同路由策略的網(wǎng)絡(luò)組成，而自治區(qū)域網(wǎng)絡(luò)的入站點(diǎn)也能夠和其他自治區(qū)域進(jìn)行連接，所以在PoP的拓?fù)鋱D中，節(jié)點(diǎn)表示網(wǎng)絡(luò)的中心網(wǎng)點(diǎn)，節(jié)點(diǎn)中間的連線表示兩個(gè)進(jìn)入站點(diǎn)間存在物理聯(lián)系。PoP級(jí)拓?fù)淇梢酝ㄟ^對(duì)路由器的拓?fù)湫畔⒄系玫?，?jié)點(diǎn)代表網(wǎng)絡(luò)入網(wǎng)點(diǎn)，節(jié)點(diǎn)之間的連邊代表兩個(gè)入網(wǎng)點(diǎn)之間存在物理連接。節(jié)點(diǎn)代表網(wǎng)絡(luò)的站點(diǎn)，而節(jié)點(diǎn)連接相互之間的鏈接則說明兩個(gè)進(jìn)入點(diǎn)相互之間有著物理連接。初PoP級(jí)拓?fù)鋽?shù)據(jù)信息可通過對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)鋽?shù)據(jù)進(jìn)行整理來獲取，目前比較常見的方式是利用DNS命名方式或IP定位技術(shù)，在獲取了IP地址/路徑器的位置數(shù)據(jù)信息之后，再將擁有同樣地域數(shù)據(jù)信息的IP節(jié)點(diǎn)聚合成接入網(wǎng)節(jié)點(diǎn)。PoP的網(wǎng)絡(luò)拓?fù)溆兄诖_定并驗(yàn)證系統(tǒng)中關(guān)鍵節(jié)點(diǎn)的重要性。整個(gè)網(wǎng)絡(luò)系統(tǒng)由數(shù)萬個(gè)AS構(gòu)成，AS間利用邊界網(wǎng)關(guān)技術(shù)（BGP）傳遞路由數(shù)據(jù)，所以每一個(gè)網(wǎng)絡(luò)都被視為一張AS的拓?fù)鋱D。而AS路由信息則可以通過美國的RouteViews項(xiàng)目，至于AS路由信息，則可以經(jīng)由在美洲的RouteViews項(xiàng)目以及由歐盟的網(wǎng)絡(luò)注冊(cè)管理中心RIPE-RIS所提交的BGP路由表獲得。AS的拓?fù)鋱D中節(jié)點(diǎn)代表AS，而連邊則代表著兩個(gè)AS的邏輯聯(lián)系，之間并沒有物理連接，這也是一方面自治域之間的物理連接常常發(fā)生在不同地方；另一方面，各種AS也可以構(gòu)成一種實(shí)體結(jié)構(gòu)，AS之間的連邊也表明相關(guān)的企業(yè)組織間具有一種業(yè)務(wù)聯(lián)系，比如對(duì)等關(guān)系（P2P）、服務(wù)提供者—客戶（P2C）等。

4 結(jié)語

網(wǎng)絡(luò)空間資產(chǎn)探測(cè)與分析技術(shù)從根本上既是服務(wù)于網(wǎng)絡(luò)空間安全問題的，也是在與安全事件的斗爭(zhēng)中不斷發(fā)展壯大的。近年來，網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪領(lǐng)域提出并不斷推廣“動(dòng)態(tài)測(cè)繪”思想，目標(biāo)在于充分發(fā)揮網(wǎng)絡(luò)測(cè)繪平臺(tái)的網(wǎng)絡(luò)資產(chǎn)測(cè)繪數(shù)據(jù)能力，在實(shí)戰(zhàn)對(duì)抗中不斷豐富攻擊者和攻擊行為的測(cè)繪指紋特征，進(jìn)一步形成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)預(yù)警能力，提升網(wǎng)絡(luò)安全前置防御能力。

“十四五”期間，我國物聯(lián)網(wǎng)、智能終端、互聯(lián)網(wǎng)等迎來發(fā)展爆發(fā)期。在網(wǎng)絡(luò)空間防御系統(tǒng)中，網(wǎng)絡(luò)空間測(cè)繪技術(shù)通過大數(shù)據(jù)分析整合多源情報(bào)信息，測(cè)繪網(wǎng)絡(luò)空間的高精度版圖，將為全時(shí)、全維、疆域志的現(xiàn)實(shí)世界網(wǎng)絡(luò)系統(tǒng)環(huán)境安全狀況帶來強(qiáng)大保障。堅(jiān)信經(jīng)過持續(xù)奮斗，尤其是計(jì)算機(jī)網(wǎng)絡(luò)空間環(huán)境測(cè)繪應(yīng)用的持續(xù)研究和實(shí)踐，網(wǎng)絡(luò)系統(tǒng)環(huán)境測(cè)繪的應(yīng)用成果必將作為未來聯(lián)系虛擬網(wǎng)絡(luò)空間與真實(shí)物理世界的重要紐帶，為我國網(wǎng)絡(luò)安全保障、經(jīng)濟(jì)社會(huì)健康發(fā)展、數(shù)字經(jīng)濟(jì)與社會(huì)發(fā)展以及人類幸福生存做出新的貢獻(xiàn)。

參考文獻(xiàn)

［1］高春東，郭啟全，江東，等.網(wǎng)絡(luò)空間地理學(xué)的理論基礎(chǔ)與技術(shù)路徑［J］.地理學(xué)報(bào)，2019（9）：5-18.

［2］沈逸，江天驕.網(wǎng)絡(luò)空間的攻防平衡與網(wǎng)絡(luò)威懾的構(gòu)建［J］.世界經(jīng)濟(jì)與政治，2018（2）：49-70，157.

［3］郭莉，曹亞男，蘇馬婧，等.網(wǎng)絡(luò)空間資源測(cè)繪：概念與技術(shù)［J］.信息安全學(xué)報(bào)，2018（4）：1-14.

［4］安全內(nèi)參.網(wǎng)絡(luò)空間測(cè)繪在網(wǎng)絡(luò)國防中的重大意義和作用［EB/OL］.（2019-01-03）［2023-01-20］.https：//www.secrss.com/articles/7551.

（編輯 沈 強(qiáng)）

Research on detection and analysis technology of cyberspace assets

Zhu? Long

（Guangan Vocational and Technical College， Guangan 638000， China）

Abstract： Today， the network environment is more and more complex， through the network environment space assets detection and analysis of in-depth research technology， can timely find the hidden network crisis， to prevent illegal invasion based on this， this paper from building a network ecological destiny community to build a new era of network security strategy map In network environment space assets detection and three points technology research perspective， analyzes the technology principle of value network space mapping， surveying and mapping technology to network space of interpretation and the present situation is presented， research network space assets detection and analysis technique， and provides research reference for relevant workers.

Key words： cyberspace; asset detection and analysis technology; application practice