網(wǎng)絡(luò)空間資產(chǎn)探測與分析技術(shù)研究

【摘    要】 網(wǎng)絡(luò)空間測繪通過探測、采集、分析和處理，發(fā)現(xiàn)識別網(wǎng)絡(luò)空間設(shè)施、服務(wù)和資源，同時結(jié)合地理信息、拓?fù)浣Y(jié)構(gòu)和邏輯關(guān)系繪制“網(wǎng)情地圖”，為準(zhǔn)確把握網(wǎng)絡(luò)空間設(shè)備的安全屬性、拓?fù)浣Y(jié)構(gòu)和安全態(tài)勢提供技術(shù)支撐。本文在論述國內(nèi)外相關(guān)研究成果的基礎(chǔ)上，對網(wǎng)絡(luò)空間測繪系統(tǒng)架構(gòu)、網(wǎng)絡(luò)資產(chǎn)探測與識別、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)還原與分析做重點闡釋，并對網(wǎng)絡(luò)空間測繪未來發(fā)展進(jìn)行了展望，以供借鑒。

【關(guān)鍵詞】 網(wǎng)絡(luò)空間測繪 資產(chǎn)探測 網(wǎng)絡(luò)拓?fù)浞治?/p>

1 引言

網(wǎng)絡(luò)空間自上而下可劃分為實體人物層、虛擬角色層、邏輯網(wǎng)絡(luò)層、物理網(wǎng)絡(luò)層和地理層。人物層由現(xiàn)實空間的真實個體組成，虛擬角色層由網(wǎng)絡(luò)使用者賬戶組成，物理網(wǎng)絡(luò)層由互聯(lián)網(wǎng)通信設(shè)備和基礎(chǔ)設(shè)施構(gòu)成，邏輯網(wǎng)絡(luò)層用于連接物理網(wǎng)絡(luò)層和虛擬角色層，地理層為全球網(wǎng)絡(luò)空間的運(yùn)行提供空間、物質(zhì)、能量等基礎(chǔ)支撐，網(wǎng)絡(luò)空間測繪的主要研究對象為物理網(wǎng)絡(luò)層。

近年來，以計算機(jī)系統(tǒng)為代表的通信基礎(chǔ)設(shè)施迅速發(fā)展，網(wǎng)絡(luò)空間成為人類生產(chǎn)生活的第二類生存空間，蘊(yùn)含的軟硬件系統(tǒng)、信息數(shù)據(jù)等是國家重要的戰(zhàn)略資源，因此也被認(rèn)為是繼陸、海、空、天之后代表國家網(wǎng)絡(luò)主權(quán)的“第五空間”。網(wǎng)絡(luò)空間測繪技術(shù)通過對全網(wǎng)資產(chǎn)進(jìn)行探測識別、實體定位、深度關(guān)聯(lián)和層級映射，繪制“第五空間”的“底圖”，旨在建立高效網(wǎng)絡(luò)資產(chǎn)安全檢測體系，對高效管理網(wǎng)絡(luò)空間、快速應(yīng)對突發(fā)安全事件、維護(hù)國家網(wǎng)絡(luò)空間主權(quán)具有重要意義。

網(wǎng)絡(luò)空間測繪技術(shù)涉及網(wǎng)絡(luò)探測、協(xié)議分析、規(guī)則匹配、拓?fù)浞治�、大�?shù)據(jù)、應(yīng)用安全、可視化表達(dá)等諸多領(lǐng)域。本文從網(wǎng)絡(luò)資產(chǎn)探測和拓?fù)浣Y(jié)構(gòu)分析兩個方面，對相關(guān)技術(shù)及其面臨的挑戰(zhàn)進(jìn)行闡述。

2 國內(nèi)外相關(guān)研究綜述

美國是最早啟動網(wǎng)絡(luò)空間測繪研究與應(yīng)用的國家。早在2008年，為進(jìn)一步加固關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)組件，擴(kuò)展主動的探測能力和快速響應(yīng)、作戰(zhàn)能力，美國先后推出了3個重量級計劃：國土資源部（DHS）的SHINE計劃、國家安全局（NSA）的藏寶圖（TreasureMap）計劃、國防部先進(jìn)研究項目局（DRAPA）的X計劃。

我國在網(wǎng)絡(luò)空間測繪方向也進(jìn)行了相關(guān)部署和研究。公安部第一研究所設(shè)計研發(fā)的“網(wǎng)絡(luò)資產(chǎn)測繪分析系統(tǒng)”（簡稱網(wǎng)探D01），通過收集互聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)及指紋，實現(xiàn)網(wǎng)絡(luò)空間資產(chǎn)檢索、分析、監(jiān)控，結(jié)合漏洞、廠商信息等威脅情報，開展漏洞統(tǒng)計分析工作，旨在為國家重點行業(yè)、部門提供全面的網(wǎng)絡(luò)資產(chǎn)安全態(tài)勢，使其更好地應(yīng)對威脅關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件。另外，國內(nèi)網(wǎng)絡(luò)空間測繪方面也有幾款新型的網(wǎng)絡(luò)資產(chǎn)搜索引擎，例如有“鐘馗之眼”之稱的ZoomEye，可以識別網(wǎng)絡(luò)空間中包括路由器、交換機(jī)、網(wǎng)絡(luò)攝像頭、網(wǎng)絡(luò)打印機(jī)、移動設(shè)備在內(nèi)的30余種網(wǎng)絡(luò)終端設(shè)備；再如Fofa，積累了包含1.6億數(shù)據(jù)的網(wǎng)絡(luò)空間資產(chǎn)基因庫，覆蓋網(wǎng)絡(luò)地址、端口號、服務(wù)、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等網(wǎng)絡(luò)組件。

3 網(wǎng)絡(luò)空間測繪系統(tǒng)架構(gòu)

網(wǎng)絡(luò)空間測繪系統(tǒng)自底向上分為全維探測層、接引匯聚層、融合分析層和綜合呈現(xiàn)層，如圖1所示。

全維探測層由探測節(jié)點、探測載荷和探測管理模塊組成，負(fù)責(zé)生成探測策略、下發(fā)探測任務(wù)，為網(wǎng)絡(luò)空間測繪系統(tǒng)提供數(shù)據(jù)支撐。引接匯聚層負(fù)責(zé)對探測數(shù)據(jù)和第三方數(shù)據(jù)進(jìn)行匯聚、清洗、抽取和校驗，數(shù)據(jù)清洗提高了后續(xù)數(shù)據(jù)融合分析結(jié)果的可信性，數(shù)據(jù)抽取和校驗使不同來源的相同對象數(shù)據(jù)符合統(tǒng)一標(biāo)準(zhǔn)模型，為多源異構(gòu)數(shù)據(jù)融合提供保障。融合分析層負(fù)責(zé)拓?fù)浣Y(jié)構(gòu)還原與分析、資產(chǎn)屬性識別和重要目標(biāo)畫像3個方面，是系統(tǒng)核心功能的實現(xiàn)部分。綜合呈現(xiàn)層用于面向全球用戶，對網(wǎng)絡(luò)空間“地形地貌”進(jìn)行定制化展示，同時提供數(shù)據(jù)查詢和數(shù)據(jù)訂閱服務(wù)。

4 網(wǎng)絡(luò)資產(chǎn)探測與識別

網(wǎng)絡(luò)空間探測根據(jù)探測方式主要分為主動探測、被動探測和基于搜索引擎的非侵入式探測。主動探測是指主動向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，目標(biāo)主機(jī)收到數(shù)據(jù)后返回響應(yīng)數(shù)據(jù)包，通過分析響應(yīng)數(shù)據(jù)包獲取目標(biāo)主機(jī)信息的探測方式；被動探測是指利用網(wǎng)絡(luò)嗅探工具獲取目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)報文，通過分析報文數(shù)據(jù)得到網(wǎng)絡(luò)資產(chǎn)信息；基于搜索引擎的非侵入式探測是指利用Shodan、Censys、ZoomEye等專用的網(wǎng)絡(luò)安全搜索引擎獲取網(wǎng)絡(luò)資產(chǎn)信息。

4.1 網(wǎng)絡(luò)資產(chǎn)探測

網(wǎng)絡(luò)資產(chǎn)探測是指利用一定技術(shù)手段獲取目標(biāo)主機(jī)的設(shè)備屬性信息和應(yīng)用屬性信息，包括IP存活性探測、端口/服務(wù)探測、操作系統(tǒng)探測、流量采集、別名解析、DNS探測、應(yīng)用類型探測等方面，如圖2所示。

IP存活性探測是利用ARP、ICMP、TCP等網(wǎng)絡(luò)協(xié)議識別在線主機(jī)，端口/服務(wù)探測是通過端口掃描篩選出在線主機(jī)的開放端口，獲取目標(biāo)主機(jī)的服務(wù)信息、版本信息以及操作系統(tǒng)信息。常用的資產(chǎn)探測工具有Nmap、Zmap、Masscan，常用的端口掃描方式有SYN掃描、Connect掃描、UDP掃描、TCP FIN掃描、NULL掃描和Xmas Tree掃描，在實際探測任務(wù)下發(fā)過程中，還要結(jié)合探測源分布、探測源配置、應(yīng)用場景等定制最優(yōu)的探測策略。

別名解析是針對一個路由器擁有多個IP地址的情況，建立IP地址和路由器的映射關(guān)系，是構(gòu)建網(wǎng)絡(luò)空間路由器級拓?fù)浣Y(jié)構(gòu)的關(guān)鍵。常用的別名解析工具有Midar、Iffinder、Kapar等。DNS探測是通過IP地址反向解析建立IP地址和域名之間的對應(yīng)關(guān)系，是資產(chǎn)屬性識別的重要依據(jù)。

4.2 網(wǎng)絡(luò)資產(chǎn)識別

網(wǎng)絡(luò)資產(chǎn)識別主要有設(shè)備組件識別、應(yīng)用組件識別、業(yè)務(wù)類型推斷3個方面，常用的技術(shù)手段是資產(chǎn)指紋比對。網(wǎng)絡(luò)資產(chǎn)在協(xié)議實現(xiàn)、網(wǎng)絡(luò)應(yīng)用等方面存在差異，如開放的端口/服務(wù)信息、banner信息、Web網(wǎng)頁數(shù)據(jù)等，對這些差異進(jìn)行特征提取可得到該資產(chǎn)的特征指紋，網(wǎng)絡(luò)資產(chǎn)指紋庫積累了大量網(wǎng)絡(luò)資產(chǎn)指紋。資產(chǎn)指紋比對是將目標(biāo)主機(jī)的特征指紋和指紋庫進(jìn)行匹配，從而實現(xiàn)資產(chǎn)屬性識別。

網(wǎng)絡(luò)設(shè)備組件識別首先獲取資產(chǎn)的網(wǎng)站響應(yīng)頭部數(shù)據(jù)、網(wǎng)站文件類型、網(wǎng)站異常響應(yīng)、服務(wù)端口、banner等數(shù)據(jù)，提取設(shè)備指紋，通過與網(wǎng)絡(luò)設(shè)備組件指紋庫進(jìn)行指紋比對，識別目標(biāo)主機(jī)的設(shè)備類型、設(shè)備廠商、設(shè)備品牌、設(shè)備型號等設(shè)備屬性。

網(wǎng)絡(luò)應(yīng)用組件識別通過持續(xù)收集、解析目標(biāo)網(wǎng)絡(luò)的應(yīng)用組件信息，如論壇程序、博客程序等，獲取網(wǎng)站響應(yīng)頭部數(shù)據(jù)、HTML頁面、特殊URL、開放的端口、banner等，生成應(yīng)用指紋，通過比對網(wǎng)絡(luò)應(yīng)用組件指紋庫來自動化識別目標(biāo)主機(jī)的Web服務(wù)器軟件、Web腳本語言、服務(wù)類型及相應(yīng)版本型號等應(yīng)用屬性。

業(yè)務(wù)類型推斷是基于資產(chǎn)探測數(shù)據(jù)，深入融合DNS信息、漏洞庫、IP地理信息庫等資源，建立資產(chǎn)多層級關(guān)聯(lián)模型，推斷網(wǎng)絡(luò)資產(chǎn)的業(yè)務(wù)類型，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)多維度畫像。業(yè)務(wù)類型推斷旨在識別重要行業(yè)的重要資產(chǎn)，是網(wǎng)絡(luò)空間深入態(tài)勢感知的核心環(huán)節(jié)。

5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)還原與分析

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)還原是利用IP路徑信息、路由器配置文件、BGP路由表等數(shù)據(jù)還原得到網(wǎng)絡(luò)的IP級、路由器級、PoP級和AS級的拓?fù)浣Y(jié)構(gòu)，旨在識別網(wǎng)絡(luò)關(guān)鍵節(jié)點、推斷節(jié)點間的隱含關(guān)系，發(fā)現(xiàn)拓?fù)浣Y(jié)構(gòu)的薄弱環(huán)節(jié)，如圖3所示。

5.1 拓?fù)浣Y(jié)構(gòu)還原

IP級網(wǎng)絡(luò)拓?fù)溥�原是指將目標(biāo)網(wǎng)絡(luò)的IP路徑還原為拓?fù)鋱D的形式，IP級拓?fù)鋱D中的節(jié)點表示IP地址，節(jié)點之間的連邊表示兩個IP地址存在直連的鏈路。Traceroute是目前應(yīng)用最廣泛

的IP路徑測量工具，一次完整的Traceroute探測可以解析出探測源到目標(biāo)節(jié)點的一條路由路徑，為了獲得整個網(wǎng)絡(luò)的完整拓?fù)�，需要從多個探測源向一系列目標(biāo)節(jié)點發(fā)起Traceroute探測。面向規(guī)模龐大的網(wǎng)絡(luò)結(jié)構(gòu)，提高探測效率和拓?fù)浣Y(jié)構(gòu)完整性是IP級網(wǎng)絡(luò)拓?fù)溥�原的主要研究方向。

路由器級網(wǎng)絡(luò)拓?fù)渫ǔＪ抢�用路由別名解析技術(shù)得到IP地址和路由器的對應(yīng)關(guān)系，對IP級拓?fù)浣Y(jié)構(gòu)進(jìn)行聚合得到，拓?fù)浣Y(jié)構(gòu)中節(jié)點表示路由器，節(jié)點之間的連邊表示兩個路由器直接相連，該方法對路由別名解析的準(zhǔn)確率和覆蓋率要求較高。

自治域（AS）是由一組運(yùn)行相同路由策略的路由器組成，自治域網(wǎng)絡(luò)通過入網(wǎng)點與相鄰自治域進(jìn)行通信，在PoP級拓?fù)鋱D中，節(jié)點代表網(wǎng)絡(luò)入網(wǎng)點，節(jié)點之間的連邊代表兩個入網(wǎng)點之間存在物理連接。PoP級拓?fù)涫菍β酚善骷壨負(fù)溥M(jìn)一步聚合得到，常用的方法有根據(jù)DNS命名規(guī)則或IP定位手段獲取IP地址/路由器的地理位置信息，將具有相同地理信息的IP節(jié)點聚類為入網(wǎng)點。PoP級網(wǎng)絡(luò)拓?fù)鋵τ诎l(fā)現(xiàn)和驗證網(wǎng)絡(luò)關(guān)鍵節(jié)點具有重要意義。

互聯(lián)網(wǎng)由數(shù)萬個AS組成，AS之間通過邊界網(wǎng)關(guān)協(xié)議（BGP）交換路由信息，因此整個互聯(lián)網(wǎng)可以看作一個AS級拓?fù)鋱D。AS路徑數(shù)據(jù)主要從美國RouteViews項目或歐洲互聯(lián)網(wǎng)注冊管理中心RIPE-RIS發(fā)布的BGP路由表得到。AS級拓?fù)鋱D中節(jié)點表示AS，連邊表示兩個AS存在邏輯關(guān)系，而不是物理連接，這是因為一方面自治域之間的物理連接通常發(fā)生在多個地點；另一方面，每個AS都屬于一個實體組織，AS間的連邊表示相應(yīng)的實體組織之間存在某種商業(yè)關(guān)系，例如對等關(guān)系（P2P）、服務(wù)提供者—客戶（P2C）等。自治域間的商業(yè)關(guān)系是互聯(lián)網(wǎng)生態(tài)正常運(yùn)行和經(jīng)濟(jì)可行的關(guān)鍵。

5.2 拓?fù)浞治?/strong>

邊界節(jié)點有AS邊界節(jié)點和地理邊界節(jié)點兩種情況，根據(jù)BGP協(xié)議，邊界節(jié)點即網(wǎng)絡(luò)的入網(wǎng)點，在跨域通信和跨地區(qū)通信中處于關(guān)鍵位置。邊界節(jié)點識別是基于IP級拓?fù)�，根�?jù)IP地址與AS的映射關(guān)系、IP地址與國家/地區(qū)的映射關(guān)系，對相鄰兩個IP節(jié)點是否位于屬于相同AS、是否位于同一個國家/地區(qū)進(jìn)行判斷。

骨干節(jié)點是指在實際互聯(lián)網(wǎng)結(jié)構(gòu)中承擔(dān)較大通信流量或處于核心路由位置的節(jié)點。骨干節(jié)點識別一方面基于復(fù)雜網(wǎng)絡(luò)的度、介數(shù)、K-shell等參數(shù)對網(wǎng)絡(luò)節(jié)點的重要性進(jìn)行評估，另一方面結(jié)合實際網(wǎng)絡(luò)環(huán)境和通信系統(tǒng)架構(gòu)對重要節(jié)點進(jìn)行篩選和驗證。

節(jié)點關(guān)系推理是指面向具體應(yīng)用場景，在相同層級的拓?fù)浣Y(jié)構(gòu)中挖掘相同類型節(jié)點之間的邏輯關(guān)系和連通關(guān)系，在對不同層級網(wǎng)絡(luò)拓?fù)渲�，建立不同類型�?jié)點間的映射關(guān)系。

6 面臨的挑戰(zhàn)及解決思路

未來幾年，IPv6技術(shù)將全面普及，物聯(lián)網(wǎng)、智能終端、工業(yè)互聯(lián)網(wǎng)等將迎來爆發(fā)期，網(wǎng)絡(luò)空間規(guī)模越來越龐大、結(jié)構(gòu)越來越復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)空間資產(chǎn)探測與拓?fù)浣Y(jié)構(gòu)分析技術(shù)將面臨新的挑戰(zhàn)。

由于IPv6地址空間規(guī)模龐大且分布稀疏，IPv4網(wǎng)絡(luò)探測方法不適用于IPv6地址空間，然而IPv6地址在地理空間分配和運(yùn)營管理方面具有一定的規(guī)律，IPv6地址空間預(yù)測技術(shù)利用這種規(guī)律為IPv6高效探測提供了新思路。首先通過開源數(shù)據(jù)集或被動探測等途徑收集一定數(shù)量的活躍IPv6，作為種子地址，然后對種子地址進(jìn)行建模，采用地址生成算法得到預(yù)測IPv6地址，最后對預(yù)測地址進(jìn)行探測、驗證。這種基于規(guī)則和統(tǒng)計規(guī)律的IPv6地址探測方法核心在于地址建模分析和地址生成算法，優(yōu)化這些算法是提高活躍IPv6地址發(fā)現(xiàn)效率的關(guān)鍵，也是IPv6地址空間探測的重要研究方向。

物聯(lián)網(wǎng)體系結(jié)構(gòu)復(fù)雜，海量的智能終端設(shè)備沒有統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，網(wǎng)絡(luò)層、應(yīng)用層存在不同的網(wǎng)絡(luò)協(xié)議和體系結(jié)構(gòu)，因此傳統(tǒng)的網(wǎng)絡(luò)資產(chǎn)識別技術(shù)不能滿足物聯(lián)網(wǎng)設(shè)備識別需要。對于配置傳感器的物聯(lián)網(wǎng)設(shè)備，通常利用其傳感器的相關(guān)特征進(jìn)行設(shè)備識別，而對于互聯(lián)網(wǎng)上沒有配置傳感器的物聯(lián)網(wǎng)設(shè)備識別則采用人工標(biāo)記和機(jī)器學(xué)習(xí)相結(jié)合的方法實現(xiàn)。實驗證明，采用人工標(biāo)記的方式提取物聯(lián)網(wǎng)設(shè)備指紋作為先驗知識，是有效增加指紋準(zhǔn)確性和設(shè)備識別覆蓋程度的最有效最直接的途徑。

7 結(jié)語

在網(wǎng)絡(luò)空間防護(hù)體系中，網(wǎng)絡(luò)空間測繪是平臺和基礎(chǔ)，互聯(lián)網(wǎng)軟硬件的快速發(fā)展對網(wǎng)絡(luò)空間測繪提出了新的更高要求，包括數(shù)據(jù)獲取能力、數(shù)據(jù)分析能力、應(yīng)用場景落地能力以及情報采集能力。未來的網(wǎng)絡(luò)資產(chǎn)測繪預(yù)計將朝著以下3方面發(fā)展：網(wǎng)絡(luò)空間測繪將在內(nèi)網(wǎng)、專網(wǎng)等方向發(fā)展，被廣泛應(yīng)用于內(nèi)網(wǎng)、專網(wǎng)的資產(chǎn)管理，幫助用戶單位建立健全網(wǎng)絡(luò)資產(chǎn)管理流程，促進(jìn)資產(chǎn)設(shè)備的規(guī)范使用；網(wǎng)絡(luò)資產(chǎn)探測在資產(chǎn)識別方面將進(jìn)一步結(jié)合人工智能技術(shù)，為網(wǎng)絡(luò)資產(chǎn)指紋的自動化提取和未知設(shè)備識別提供新的方法和理念，提高網(wǎng)絡(luò)資產(chǎn)探測和識別的效率和準(zhǔn)確率；網(wǎng)絡(luò)空間拓?fù)浞治鰧⒃诰W(wǎng)絡(luò)實體定位和多層級映射方面，融合地理數(shù)據(jù)庫、資產(chǎn)數(shù)據(jù)庫、漏洞庫、威脅情報等資源庫，分別從聯(lián)通關(guān)系和邏輯關(guān)系的角度建立網(wǎng)絡(luò)空間實體之間多維度、多層次的拓?fù)浣Y(jié)構(gòu)圖。 

 

（原載于《保密科學(xué)技術(shù)》雜志2021年3月刊）