【摘 要】 网络空间测绘通过探测、采集、分析和处理,发现识别网络空间设施、服务和资源,同时结合地理信息、拓扑结构和逻辑关系绘制“网情地图”,为准确把握网络空间设备的安全属性、拓扑结构和安全态势提供技术支撑。本文在论述国内外相关研究成果的基础上,对网络空间测绘系统架构、网络资产探测与识别、网络拓扑结构还原与分析做重点阐释,并对网络空间测绘未来发展进行了展望,以供借鉴。
【关键词】 网络空间测绘 资产探测 网络拓扑分析
1 引言
网络空间自上而下可划分为实体人物层、虚拟角色层、逻辑网络层、物理网络层和地理层。人物层由现实空间的真实个体组成,虚拟角色层由网络使用者账户组成,物理网络层由互联网通信设备和基础设施构成,逻辑网络层用于连接物理网络层和虚拟角色层,地理层为全球网络空间的运行提供空间、物质、能量等基础支撑,网络空间测绘的主要研究对象为物理网络层。
近年来,以计算机系统为代表的通信基础设施迅速发展,网络空间成为人类生产生活的第二类生存空间,蕴含的软硬件系统、信息数据等是国家重要的战略资源,因此也被认为是继陆、海、空、天之后代表国家网络主权的“第五空间”。网络空间测绘技术通过对全网资产进行探测识别、实体定位、深度关联和层级映射,绘制“第五空间”的“底图”,旨在建立高效网络资产安全检测体系,对高效管理网络空间、快速应对突发安全事件、维护国家网络空间主权具有重要意义。
网络空间测绘技术涉及网络探测、协议分析、规则匹配、拓扑分析、大数据、应用安全、可视化表达等诸多领域。本文从网络资产探测和拓扑结构分析两个方面,对相关技术及其面临的挑战进行阐述。
2 国内外相关研究综述
美国是最早启动网络空间测绘研究与应用的国家。早在2008年,为进一步加固关键基础设施网络组件,扩展主动的探测能力和快速响应、作战能力,美国先后推出了3个重量级计划:国土资源部(DHS)的SHINE计划、国家安全局(NSA)的藏宝图(TreasureMap)计划、国防部先进研究项目局(DRAPA)的X计划。
我国在网络空间测绘方向也进行了相关部署和研究。公安部第一研究所设计研发的“网络资产测绘分析系统”(简称网探D01),通过收集互联网资产数据及指纹,实现网络空间资产检索、分析、监控,结合漏洞、厂商信息等威胁情报,开展漏洞统计分析工作,旨在为国家重点行业、部门提供全面的网络资产安全态势,使其更好地应对威胁关键信息基础设施的网络攻击事件。另外,国内网络空间测绘方面也有几款新型的网络资产搜索引擎,例如有“钟馗之眼”之称的ZoomEye,可以识别网络空间中包括路由器、交换机、网络摄像头、网络打印机、移动设备在内的30余种网络终端设备;再如Fofa,积累了包含1.6亿数据的网络空间资产基因库,覆盖网络地址、端口号、服务、操作系统、网络协议等网络组件。
3 网络空间测绘系统架构
网络空间测绘系统自底向上分为全维探测层、接引汇聚层、融合分析层和综合呈现层,如图1所示。
全维探测层由探测节点、探测载荷和探测管理模块组成,负责生成探测策略、下发探测任务,为网络空间测绘系统提供数据支撑。引接汇聚层负责对探测数据和第三方数据进行汇聚、清洗、抽取和校验,数据清洗提高了后续数据融合分析结果的可信性,数据抽取和校验使不同来源的相同对象数据符合统一标准模型,为多源异构数据融合提供保障。融合分析层负责拓扑结构还原与分析、资产属性识别和重要目标画像3个方面,是系统核心功能的实现部分。综合呈现层用于面向全球用户,对网络空间“地形地貌”进行定制化展示,同时提供数据查询和数据订阅服务。
4 网络资产探测与识别
网络空间探测根据探测方式主要分为主动探测、被动探测和基于搜索引擎的非侵入式探测。主动探测是指主动向目标主机发送数据包,目标主机收到数据后返回响应数据包,通过分析响应数据包获取目标主机信息的探测方式;被动探测是指利用网络嗅探工具获取目标网络的数据报文,通过分析报文数据得到网络资产信息;基于搜索引擎的非侵入式探测是指利用Shodan、Censys、ZoomEye等专用的网络安全搜索引擎获取网络资产信息。
4.1 网络资产探测
网络资产探测是指利用一定技术手段获取目标主机的设备属性信息和应用属性信息,包括IP存活性探测、端口/服务探测、操作系统探测、流量采集、别名解析、DNS探测、应用类型探测等方面,如图2所示。
IP存活性探测是利用ARP、ICMP、TCP等网络协议识别在线主机,端口/服务探测是通过端口扫描筛选出在线主机的开放端口,获取目标主机的服务信息、版本信息以及操作系统信息。常用的资产探测工具有Nmap、Zmap、Masscan,常用的端口扫描方式有SYN扫描、Connect扫描、UDP扫描、TCP FIN扫描、NULL扫描和Xmas Tree扫描,在实际探测任务下发过程中,还要结合探测源分布、探测源配置、应用场景等定制最优的探测策略。