别名解析是针对一个路由器拥有多个IP地址的情况,建立IP地址和路由器的映射关系,是构建网络空间路由器级拓扑结构的关键。常用的别名解析工具有Midar、Iffinder、Kapar等。DNS探测是通过IP地址反向解析建立IP地址和域名之间的对应关系,是资产属性识别的重要依据。
4.2 网络资产识别
网络资产识别主要有设备组件识别、应用组件识别、业务类型推断3个方面,常用的技术手段是资产指纹比对。网络资产在协议实现、网络应用等方面存在差异,如开放的端口/服务信息、banner信息、Web网页数据等,对这些差异进行特征提取可得到该资产的特征指纹,网络资产指纹库积累了大量网络资产指纹。资产指纹比对是将目标主机的特征指纹和指纹库进行匹配,从而实现资产属性识别。
网络设备组件识别首先获取资产的网站响应头部数据、网站文件类型、网站异常响应、服务端口、banner等数据,提取设备指纹,通过与网络设备组件指纹库进行指纹比对,识别目标主机的设备类型、设备厂商、设备品牌、设备型号等设备属性。
网络应用组件识别通过持续收集、解析目标网络的应用组件信息,如论坛程序、博客程序等,获取网站响应头部数据、HTML页面、特殊URL、开放的端口、banner等,生成应用指纹,通过比对网络应用组件指纹库来自动化识别目标主机的Web服务器软件、Web脚本语言、服务类型及相应版本型号等应用属性。
业务类型推断是基于资产探测数据,深入融合DNS信息、漏洞库、IP地理信息库等资源,建立资产多层级关联模型,推断网络资产的业务类型,实现网络资产多维度画像。业务类型推断旨在识别重要行业的重要资产,是网络空间深入态势感知的核心环节。
5 网络拓扑结构还原与分析
网络拓扑结构还原是利用IP路径信息、路由器配置文件、BGP路由表等数据还原得到网络的IP级、路由器级、PoP级和AS级的拓扑结构,旨在识别网络关键节点、推断节点间的隐含关系,发现拓扑结构的薄弱环节,如图3所示。
5.1 拓扑结构还原
IP级网络拓扑还原是指将目标网络的IP路径还原为拓扑图的形式,IP级拓扑图中的节点表示IP地址,节点之间的连边表示两个IP地址存在直连的链路。Traceroute是目前应用最广泛
的IP路径测量工具,一次完整的Traceroute探测可以解析出探测源到目标节点的一条路由路径,为了获得整个网络的完整拓扑,需要从多个探测源向一系列目标节点发起Traceroute探测。面向规模庞大的网络结构,提高探测效率和拓扑结构完整性是IP级网络拓扑还原的主要研究方向。
路由器级网络拓扑通常是利用路由别名解析技术得到IP地址和路由器的对应关系,对IP级拓扑结构进行聚合得到,拓扑结构中节点表示路由器,节点之间的连边表示两个路由器直接相连,该方法对路由别名解析的准确率和覆盖率要求较高。
自治域(AS)是由一组运行相同路由策略的路由器组成,自治域网络通过入网点与相邻自治域进行通信,在PoP级拓扑图中,节点代表网络入网点,节点之间的连边代表两个入网点之间存在物理连接。PoP级拓扑是对路由器级拓扑进一步聚合得到,常用的方法有根据DNS命名规则或IP定位手段获取IP地址/路由器的地理位置信息,将具有相同地理信息的IP节点聚类为入网点。PoP级网络拓扑对于发现和验证网络关键节点具有重要意义。
互联网由数万个AS组成,AS之间通过边界网关协议(BGP)交换路由信息,因此整个互联网可以看作一个AS级拓扑图。AS路径数据主要从美国RouteViews项目或欧洲互联网注册管理中心RIPE-RIS发布的BGP路由表得到。AS级拓扑图中节点表示AS,连边表示两个AS存在逻辑关系,而不是物理连接,这是因为一方面自治域之间的物理连接通常发生在多个地点;另一方面,每个AS都属于一个实体组织,AS间的连边表示相应的实体组织之间存在某种商业关系,例如对等关系(P2P)、服务提供者―客户(P2C)等。自治域间的商业关系是互联网生态正常运行和经济可行的关键。
5.2 拓扑分析
边界节点有AS边界节点和地理边界节点两种情况,根据BGP协议,边界节点即网络的入网点,在跨域通信和跨地区通信中处于关键位置。边界节点识别是基于IP级拓扑,根据IP地址与AS的映射关系、IP地址与国家/地区的映射关系,对相邻两个IP节点是否位于属于相同AS、是否位于同一个国家/地区进行判断。
骨干节点是指在实际互联网结构中承担较大通信流量或处于核心路由位置的节点。骨干节点识别一方面基于复杂网络的度、介数、K-shell等参数对网络节点的重要性进行评估,另一方面结合实际网络环境和通信系统架构对重要节点进行筛选和验证。
节点关系推理是指面向具体应用场景,在相同层级的拓扑结构中挖掘相同类型节点之间的逻辑关系和连通关系,在对不同层级网络拓扑中,建立不同类型节点间的映射关系。
6 面临的挑战及解决思路
未来几年,IPv6技术将全面普及,物联网、智能终端、工业互联网等将迎来爆发期,网络空间规模越来越庞大、结构越来越复杂,传统的网络空间资产探测与拓扑结构分析技术将面临新的挑战。