郭 莉, 曹亞男, 蘇馬婧, 尚燕敏, 朱宇佳, 張 鵬, 周 川
1中國(guó)科學(xué)院信息工程研究所 信息內(nèi)容安全技術(shù)國(guó)家工程實(shí)驗(yàn)室 北京 中國(guó)100093
2中國(guó)科學(xué)院大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院 北京 中國(guó) 100049
網(wǎng)絡(luò)空間已經(jīng)成為人類生產(chǎn)生活的“第二類生存空間”, 關(guān)系到經(jīng)濟(jì)、文化、科研、教育和社會(huì)生活的方方面面, 成為國(guó)家發(fā)展的重要基礎(chǔ)。隨著網(wǎng)絡(luò)技術(shù)日新月異的發(fā)展, 網(wǎng)絡(luò)空間中的資源種類越加豐富, 不僅包括傳統(tǒng)的設(shè)備、邏輯拓?fù)涞溶浻布A(chǔ)設(shè)施, 也包括網(wǎng)絡(luò)用戶、應(yīng)用服務(wù)等動(dòng)態(tài)多變的虛擬資源。傳統(tǒng)的網(wǎng)絡(luò)測(cè)量技術(shù)已不足以全面刻畫(huà)網(wǎng)絡(luò)空間的特性, 發(fā)展網(wǎng)絡(luò)空間資源測(cè)繪技術(shù)刻不容緩。
網(wǎng)絡(luò)空間資源測(cè)繪是對(duì)網(wǎng)絡(luò)空間中的各類資源及其屬性進(jìn)行探測(cè)、融合分析和繪制。通過(guò)繪制網(wǎng)絡(luò)空間資源全息地圖, 全面描述和展示網(wǎng)絡(luò)空間信息, 能夠?yàn)楦黝悜?yīng)用(如網(wǎng)絡(luò)資產(chǎn)評(píng)估、設(shè)備漏洞發(fā)現(xiàn)等)提供數(shù)據(jù)和技術(shù)支撐。因此, 研究網(wǎng)絡(luò)空間資源測(cè)繪技術(shù), 全面掌握網(wǎng)絡(luò)空間特性及其資源分布,對(duì)于推動(dòng)國(guó)民經(jīng)濟(jì)和保障國(guó)家安全都具有十分重要的理論意義和應(yīng)用價(jià)值。
近年來(lái), 國(guó)內(nèi)外相繼出現(xiàn)了網(wǎng)絡(luò)空間資源測(cè)繪的相關(guān)工作。美國(guó)是最早進(jìn)行網(wǎng)絡(luò)空間資源測(cè)繪的國(guó)家, 目前已形成了較為完整的網(wǎng)絡(luò)空間探測(cè)基礎(chǔ)設(shè)施和體系, 其中代表性的工作包括: 美國(guó)國(guó)防局的X計(jì)劃[1], 美國(guó)國(guó)土局的SHINE計(jì)劃[2], 美國(guó)國(guó)安局的藏寶圖計(jì)劃[3]等。 其中X計(jì)劃以繪制網(wǎng)絡(luò)空間地圖、提高網(wǎng)絡(luò)空間作戰(zhàn)能力為目標(biāo), 探測(cè)網(wǎng)絡(luò)邏輯拓?fù)浜驮O(shè)備數(shù)據(jù), 開(kāi)發(fā)網(wǎng)絡(luò)戰(zhàn)場(chǎng)地圖引擎和端到端網(wǎng)絡(luò)戰(zhàn)場(chǎng)地圖感知平臺(tái), 研發(fā)單兵作戰(zhàn)支持平臺(tái)和集團(tuán)作戰(zhàn)支持平臺(tái)。藏寶圖計(jì)劃以全網(wǎng)態(tài)勢(shì)感知、偵察和攻擊推演為目標(biāo), 對(duì)網(wǎng)絡(luò)空間進(jìn)行多層次的信息探測(cè)和數(shù)據(jù)分析, 形成大規(guī)模情報(bào)能力, 探測(cè)內(nèi)容包括: BGP、AS和IP地址空間信息。SHINE計(jì)劃主要針對(duì)美國(guó)本土網(wǎng)絡(luò)安全態(tài)勢(shì)感知, 建立美國(guó)本土網(wǎng)絡(luò)空間關(guān)鍵基礎(chǔ)設(shè)施信息數(shù)據(jù)庫(kù), 監(jiān)測(cè)關(guān)鍵行業(yè)網(wǎng)絡(luò)可達(dá)性及安全態(tài)勢(shì), 發(fā)現(xiàn)弱點(diǎn)設(shè)備和系統(tǒng)。在國(guó)內(nèi), 知道創(chuàng)宇公司的Zoomeye[4]可對(duì)全球一些地區(qū)的路由設(shè)備、工業(yè)聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)設(shè)備以及攝像頭等基礎(chǔ)設(shè)施進(jìn)行探測(cè)。FOEYE[5]在全面網(wǎng)絡(luò)資產(chǎn)測(cè)繪基礎(chǔ)上, 重新定義了安全事件處理和漏洞掃描形式, 形成集資產(chǎn)探測(cè)管理、安全事件驗(yàn)證、智能統(tǒng)計(jì)分析、安全態(tài)勢(shì)感知、持續(xù)安全監(jiān)控為一體的全方位安全體系。
以上工作大多基于傳統(tǒng)的網(wǎng)絡(luò)測(cè)量技術(shù), 僅對(duì)網(wǎng)絡(luò)空間的基礎(chǔ)設(shè)施和邏輯拓?fù)溥M(jìn)行探測(cè)和分析,并沒(méi)有覆蓋網(wǎng)絡(luò)空間的全部資源。相關(guān)研究表明, 由于目前在學(xué)術(shù)界和業(yè)界尚未形成對(duì)于網(wǎng)絡(luò)空間資源測(cè)繪相關(guān)概念的統(tǒng)一認(rèn)知, 缺乏對(duì)網(wǎng)絡(luò)空間資源測(cè)繪技術(shù)體系的頂層設(shè)計(jì), 網(wǎng)絡(luò)空間資源測(cè)繪技術(shù)仍處于起步階段。因此, 本文主要圍繞網(wǎng)絡(luò)空間資源測(cè)繪的概念和技術(shù)體系進(jìn)行研究和探討, 旨在為網(wǎng)絡(luò)空間資源測(cè)繪理論和技術(shù)的研究和發(fā)展奠定基礎(chǔ)。
本文主要包含三部分內(nèi)容: 首先介紹網(wǎng)絡(luò)空間資源測(cè)繪的相關(guān)概念, 提出網(wǎng)絡(luò)空間測(cè)繪對(duì)象的分類體系和屬性框架; 然后, 提出網(wǎng)絡(luò)空間資源測(cè)繪的技術(shù)體系模型, 并從“協(xié)同探測(cè)”、“融合分析”和“全息繪制”三個(gè)層次探討網(wǎng)絡(luò)空間資源測(cè)繪的關(guān)鍵技術(shù)和研究思路; 最后, 從資產(chǎn)評(píng)估、服務(wù)測(cè)繪兩個(gè)方面, 對(duì)網(wǎng)絡(luò)空間資源測(cè)繪的應(yīng)用前景進(jìn)行詳細(xì)的闡述。
網(wǎng)絡(luò)空間的概念最早出現(xiàn)在1984年美國(guó)科幻小說(shuō)《神經(jīng)漫游者》中, 作者威廉·吉布森[6]將其描述為通過(guò)計(jì)算機(jī)設(shè)備進(jìn)入的數(shù)據(jù)庫(kù)空間。此后, 國(guó)內(nèi)外學(xué)者對(duì)網(wǎng)絡(luò)空間概念進(jìn)行了研究和闡述, 基于不同應(yīng)用需求及研究領(lǐng)域, 網(wǎng)絡(luò)空間被賦予了不同的內(nèi)涵和外延??偟膩?lái)說(shuō), 已有定義可概括為以下三類:(1)強(qiáng)調(diào)網(wǎng)絡(luò)空間的物質(zhì)屬性。Sterling B[7]認(rèn)為網(wǎng)絡(luò)空間依存于硬件、軟件設(shè)備等物質(zhì)基礎(chǔ), 是互聯(lián)網(wǎng)(Internet)與萬(wàn)維網(wǎng)( World Wide Web)的近似概念。(2)強(qiáng)調(diào)網(wǎng)絡(luò)空間的社會(huì)屬性。Adams P C[8]與Hillis K[9]認(rèn)為網(wǎng)絡(luò)空間是人基于互聯(lián)網(wǎng)技術(shù)與社交行為結(jié)合產(chǎn)生的“空間感”, 并將網(wǎng)絡(luò)空間看作是關(guān)于人在交流和再現(xiàn)的空間中對(duì)社會(huì)的感知。Wellman B等[10]認(rèn)為社會(huì)性的交互活動(dòng)比技術(shù)內(nèi)容更能體現(xiàn)網(wǎng)絡(luò)空間的本質(zhì)內(nèi)涵。(3)強(qiáng)調(diào)網(wǎng)絡(luò)空間中的操作和活動(dòng)。Mayer M和Martino L[11]認(rèn)為: 網(wǎng)絡(luò)空間是創(chuàng)造、儲(chǔ)存、調(diào)整、交換、共享、提取、使用和消除信息與分散的物質(zhì)資源的全球動(dòng)態(tài)領(lǐng)域。
從上述定義中可以看出, 網(wǎng)絡(luò)空間具有物質(zhì)屬性(軟硬件等基礎(chǔ)設(shè)施)和社會(huì)屬性(人的交互行為及其操作)。早期的定義從不同角度強(qiáng)調(diào)了網(wǎng)絡(luò)空間中的某種組成要素, 但是均未全面、系統(tǒng)地對(duì)網(wǎng)絡(luò)空間的要素進(jìn)行概括和描述。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展, 網(wǎng)絡(luò)空間的內(nèi)涵和外延也在不斷發(fā)生變化。方濱興院士[12]進(jìn)一步將網(wǎng)絡(luò)空間的組成要素分為4種類型: 載體、信息、主體和操作。其中, 網(wǎng)絡(luò)空間載體是網(wǎng)絡(luò)空間的軟硬件設(shè)施,是提供信息通信的系統(tǒng)層面的集合; 網(wǎng)絡(luò)空間信息是在網(wǎng)絡(luò)空間中流轉(zhuǎn)的數(shù)據(jù)內(nèi)容, 包括人類用戶及機(jī)器用戶能夠理解、識(shí)別和處理的信號(hào)狀態(tài); 網(wǎng)絡(luò)空間主體是互聯(lián)網(wǎng)用戶, 包括傳統(tǒng)互聯(lián)網(wǎng)中的人類用戶以及未來(lái)物聯(lián)網(wǎng)中的機(jī)器和設(shè)備用戶; 網(wǎng)絡(luò)空間的操作是對(duì)信息的創(chuàng)造、存儲(chǔ)、改變、使用、傳輸、展示等活動(dòng)。
綜合以上要素, 網(wǎng)絡(luò)空間可被定義為“構(gòu)建在信息通信技術(shù)基礎(chǔ)設(shè)施之上的人造空間, 用以支撐人們?cè)谠摽臻g中開(kāi)展各類信息通信技術(shù)相關(guān)的活動(dòng)。其中, 信息通信技術(shù)基礎(chǔ)設(shè)施包括互聯(lián)網(wǎng)、各種通信系統(tǒng)與電信網(wǎng)、各種傳播系統(tǒng)與廣電網(wǎng)、各種計(jì)算機(jī)系統(tǒng)、各類關(guān)鍵工業(yè)設(shè)施中的嵌入式處理器和控制器。信息通信技術(shù)活動(dòng)包括人們對(duì)信息的創(chuàng)造、保存、改變、傳輸、使用、展示等操作過(guò)程, 及其所帶來(lái)的對(duì)政治、 經(jīng)濟(jì)、文化、社會(huì)、軍事等方面的影響”。其中, “載體”和“信息”在技術(shù)層面反映出“賽博”的屬性, 而“主題”和“操作”是在社會(huì)層面反映出“空間”的屬性, 從而形成網(wǎng)絡(luò)空間。
網(wǎng)絡(luò)空間可以劃分為物理層、邏輯層和認(rèn)知層。物理層的內(nèi)涵是實(shí)體的空間位置信息、實(shí)體間的連接關(guān)系存在于物理世界, 可直接觀察, 易于感知; 邏輯層則是由邏輯拓?fù)?、業(yè)務(wù)流動(dòng)和用戶操作構(gòu)成的復(fù)雜網(wǎng)絡(luò), 無(wú)法直接觀察, 必須借助于工具進(jìn)行感知; 認(rèn)知層作為網(wǎng)絡(luò)空間客觀精神的外化, 承載著意識(shí)形態(tài)上層建筑, 無(wú)法直接觀察, 只能根據(jù)其外在產(chǎn)物推測(cè)。
可見(jiàn), 不同的網(wǎng)絡(luò)空間層次包含了網(wǎng)絡(luò)空間中的不同資源和資源的不同屬性, 而同一類資源可能跨越不同的網(wǎng)絡(luò)空間層次。例如, 硬件設(shè)備既包含位置屬性(物理層)又包含設(shè)備間的邏輯拓?fù)潢P(guān)系(邏輯層); 網(wǎng)絡(luò)用戶既包含位置屬性(物理層), 具有用戶操作(邏輯層), 同時(shí)也具有意識(shí)形態(tài)(認(rèn)知層)。
廣義的網(wǎng)絡(luò)空間資源是網(wǎng)絡(luò)空間中“載體”、“信息”、“主體”等各類要素的總和, 不僅覆蓋通信基礎(chǔ)設(shè)施、IP網(wǎng)絡(luò)、覆蓋網(wǎng)絡(luò)、應(yīng)用支撐系統(tǒng)等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實(shí)體資源, 而且覆蓋承載在實(shí)體設(shè)施之上的信息內(nèi)容、用戶等虛擬資源。傳統(tǒng)的網(wǎng)絡(luò)資源分類體系無(wú)法全面涵蓋當(dāng)前多種多樣的網(wǎng)絡(luò)空間資源,因此我們提出了全新的網(wǎng)絡(luò)空間資源分類體系和屬性圖譜。
網(wǎng)絡(luò)空間絕大多數(shù)資源已有相應(yīng)的分類命名,如硬件資源(路由器、交換機(jī)、服務(wù)器等)和軟件資源(視頻、社交、電商網(wǎng)站等)。這些分類方法大多是基于行業(yè)角度的局部分類: 如計(jì)算機(jī)軟件按照計(jì)算機(jī)體系結(jié)構(gòu)的標(biāo)準(zhǔn)可分為系統(tǒng)軟件和應(yīng)用軟件, 按照《軟件產(chǎn)業(yè)統(tǒng)計(jì)制度修訂說(shuō)明》的標(biāo)準(zhǔn)則分為基礎(chǔ)軟件、中間件、應(yīng)用軟件等??傊? 這些分類方法并沒(méi)有涵蓋整個(gè)網(wǎng)絡(luò)空間資源。相對(duì)于這些局部分類方法, 愛(ài)爾蘭梅努斯大學(xué)的 Rob Kitchin教授[13]在2001年將網(wǎng)絡(luò)空間資源自下而上劃分為網(wǎng)絡(luò)實(shí)體、邏輯網(wǎng)絡(luò)和賽博人, 初步對(duì)網(wǎng)絡(luò)空間資源進(jìn)行了全面劃分。然而這種劃分方法是從觀察者的視覺(jué)劃分網(wǎng)絡(luò)空間, 并沒(méi)有真正從網(wǎng)絡(luò)空間視角去剖析和命名網(wǎng)絡(luò)空間資源。
針對(duì)目前網(wǎng)絡(luò)空間資源分類體系的缺失, 我們深入分析了各類網(wǎng)絡(luò)空間資源的特點(diǎn), 借鑒生物圖譜、地學(xué)圖譜、知識(shí)圖譜等相關(guān)領(lǐng)域圖譜的研究經(jīng)驗(yàn), 從理論與機(jī)理研究、分類方法探索等方面入手,定義了全新的網(wǎng)絡(luò)空間資源分類體系(如圖1所示)。從物質(zhì)形態(tài)和社會(huì)形態(tài), 將網(wǎng)絡(luò)空間資源為實(shí)體資源和虛擬資源。實(shí)體資源分為交換設(shè)備和接入設(shè)備:其中交換設(shè)備包括交換機(jī)、路由器、Wifi、基站等; 接入設(shè)備包括移動(dòng)接入設(shè)備(手機(jī)/筆記本等)和物聯(lián)/工控接入設(shè)備(攝像頭/DVR等)。虛擬資源分為虛擬人、虛擬服務(wù)和虛擬內(nèi)容: 其中虛擬人包括各類網(wǎng)絡(luò)帳號(hào); 虛擬服務(wù)包括基礎(chǔ)服務(wù)(DNS/CDN 等)和應(yīng)用服務(wù)(網(wǎng)站/郵件等); 虛擬內(nèi)容則包括消息(聊天/通訊等)和文檔(文本/視頻等)。
網(wǎng)絡(luò)空間資源屬性是指網(wǎng)絡(luò)空間資源具備的所有共同性質(zhì)或獨(dú)有性質(zhì)的總和, 是資源必然的、基本的、不可分離的特性。以虛擬用戶為例, 其共同屬性涉及了用戶名、性別、年齡等, 但不同的用戶類別也可能具有其獨(dú)有的屬性。總之, 在網(wǎng)絡(luò)空間資源測(cè)繪中, 資源屬性塑造了資源的形態(tài), 決定了資源的行為, 反映了資源間的關(guān)系。屬性既直接從屬于資源,又能容納和解釋數(shù)據(jù), 因此對(duì)資源屬性進(jìn)行描述有助于深入理解網(wǎng)絡(luò)空間資源, 清晰認(rèn)知網(wǎng)絡(luò)空間。
圖2 網(wǎng)絡(luò)空間資源屬性描述模型Figure 2 Description Model of Cyberspace Resources
網(wǎng)絡(luò)空間資源屬性描述是指對(duì)網(wǎng)絡(luò)空間資源的構(gòu)成要素及屬性進(jìn)行統(tǒng)一組織和編碼。國(guó)內(nèi)外有關(guān)網(wǎng)絡(luò)空間資源屬性描述的典型研究有 Joseph W.Yoder等人[14]提出的AOM自適應(yīng)對(duì)象模型, 通過(guò)屬性的復(fù)合化, 對(duì)對(duì)象內(nèi)部進(jìn)行屬性細(xì)分。另外,Wille R[15]提出概念格來(lái)描述屬性, 將概念格的每個(gè)節(jié)點(diǎn)表示為一個(gè)形式概念, 并將外延(概念所覆蓋的實(shí)例)和內(nèi)涵(覆蓋實(shí)例的共同特征)嵌入其中?;趯傩灾匾院完P(guān)系的知識(shí)發(fā)現(xiàn)方法也是一種屬性描述方法, 該方法描述蘊(yùn)含在事例中的屬性。除此之外,基于關(guān)聯(lián)的多屬性決策分析、知識(shí)表示、關(guān)系挖掘等都是屬性描述的常用方法。
表1 網(wǎng)絡(luò)空間資源屬性示例Table 1 Samples of Cyberspace Resources Attributes
然而, 已有的屬性描述方法存在劃分層次重疊問(wèn)題。由于網(wǎng)絡(luò)空間可以劃分為物理層、邏輯層和認(rèn)知層, 在對(duì)網(wǎng)絡(luò)空間資源進(jìn)行探測(cè)和感知時(shí), 處于不同層次的資源會(huì)表現(xiàn)出不同的狀態(tài)和行為, 即不同層次的資源屬性各不相同。這種因?qū)佣惖奶匦援a(chǎn)生了資源的全屬性劃分。因此, 我們將網(wǎng)絡(luò)空間資源屬性按物理層、邏輯層和認(rèn)知層進(jìn)行層級(jí)劃分,作為網(wǎng)絡(luò)空間資源屬性的標(biāo)簽; 屬性可以依附于資源本體也可以依附于資源間的連接(如圖2所示)。表1給出了網(wǎng)絡(luò)空間資源在各個(gè)層次上的部分典型屬性的示例。
“測(cè)繪”的概念最初源于地理測(cè)繪學(xué), 是指“對(duì)自然地理要素或者地表人工設(shè)施的形狀、大小、空間位置及其屬性等進(jìn)行測(cè)定、采集和繪制”。地理測(cè)繪的概念包括了“測(cè)量”和“制圖”兩項(xiàng)主要內(nèi)容。
相對(duì)于地理測(cè)繪的目標(biāo)是描述和標(biāo)注地理位置,最初的網(wǎng)絡(luò)空間測(cè)繪的概念主要是“采用一些技術(shù)方法, 來(lái)探測(cè)全球互聯(lián)網(wǎng)空間上的節(jié)點(diǎn)分布情況和網(wǎng)絡(luò)關(guān)系索引, 構(gòu)建全球互聯(lián)網(wǎng)圖譜的一種方法”。已有的網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)大多采用主動(dòng)或被動(dòng)探測(cè)的方法, 來(lái)繪制網(wǎng)絡(luò)空間中的設(shè)備畫(huà)像。例如, 知道創(chuàng)宇公司的 Zoomeye[3]可對(duì)全球一些地區(qū)的路由設(shè)備、工業(yè)聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)設(shè)備等基礎(chǔ)設(shè)施進(jìn)行探測(cè); Shodan[16]采用搜索引擎技術(shù), 可以讓用戶使用各種過(guò)濾器查找連接到互聯(lián)網(wǎng)的特定類型的設(shè)備;Caida[17]在全球范圍內(nèi)分布大量測(cè)量探針, 發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浜凸?jié)點(diǎn)設(shè)備; ANT實(shí)驗(yàn)室開(kāi)展的 AMITé、MR-Net項(xiàng)目[18]通過(guò)探測(cè)互聯(lián)網(wǎng)資源的使用現(xiàn)狀、跟蹤拓?fù)浜土髁康淖兓厔?shì), 并在網(wǎng)絡(luò)地圖上標(biāo)注出相關(guān)信息以幫助研究者更好地改善網(wǎng)絡(luò)的安全性和提高防御能力。其他類似的系統(tǒng)還包括 Foeye[5]、Gperf[19]等。
上述概念和系統(tǒng)僅強(qiáng)調(diào)了對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)拓?fù)涞奶綔y(cè)和繪制, 測(cè)繪的對(duì)象不全面, 方法也局限于傳統(tǒng)的網(wǎng)絡(luò)測(cè)量技術(shù)。由于網(wǎng)絡(luò)空間資源涵蓋了基礎(chǔ)設(shè)施、數(shù)據(jù)資源、虛擬用戶等網(wǎng)絡(luò)空間要素, 網(wǎng)絡(luò)空間資源測(cè)繪的涵義需要覆蓋所有的網(wǎng)絡(luò)空間資源類型。網(wǎng)絡(luò)空間資源測(cè)繪是網(wǎng)絡(luò)測(cè)量的發(fā)展和延伸, 與網(wǎng)絡(luò)測(cè)量有著許多共通之處, 網(wǎng)絡(luò)測(cè)量的數(shù)據(jù)獲取和分析建模的技術(shù)均可用于網(wǎng)絡(luò)空間資源測(cè)繪中, 但網(wǎng)絡(luò)空間資源測(cè)繪與網(wǎng)絡(luò)測(cè)量存在一些不同之處, 主要包括:
(1) 目標(biāo)不同: 兩者均是為了更好地了解、認(rèn)識(shí)和優(yōu)化網(wǎng)絡(luò), 網(wǎng)絡(luò)測(cè)量的目的是對(duì)網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)性能進(jìn)行度量以及對(duì)網(wǎng)絡(luò)的規(guī)律進(jìn)行建模; 但網(wǎng)絡(luò)空間資源測(cè)繪的目的在于全面掌握網(wǎng)絡(luò)空間資源的屬性和狀態(tài), 繪制網(wǎng)絡(luò)空間資源全息地圖。
(2) 方法不同: 網(wǎng)絡(luò)測(cè)量的過(guò)程主要是數(shù)據(jù)獲取和分析建模, 存在一系列的測(cè)量方法、平臺(tái)和技術(shù); 網(wǎng)絡(luò)空間資源測(cè)繪除了“探測(cè)”、“分析”外, 還有“繪制”的過(guò)程?!胺治觥背税▽?duì)單個(gè)對(duì)象進(jìn)行建模, 還包括對(duì)多類對(duì)象的融合分析、從社會(huì)空間向物理空間的映射等。測(cè)繪方法主要采用“協(xié)同探測(cè)”、“融合分析”、“迭代演進(jìn)”、“全息繪制”等技術(shù)思路。
(3) 對(duì)象和范圍不同: 網(wǎng)絡(luò)測(cè)量的對(duì)象主要是網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)性能等, 測(cè)量范圍根據(jù)需要確定, 可以是局部網(wǎng)絡(luò), 可以是某一類型的全網(wǎng)絡(luò), 也可以是跨多個(gè)網(wǎng)絡(luò); 而網(wǎng)絡(luò)空間資源測(cè)繪的測(cè)量?jī)?nèi)容包括實(shí)體資源和虛擬資源, 包括網(wǎng)絡(luò)空間的全部要素,測(cè)量的范圍為整個(gè)網(wǎng)絡(luò)空間。
(4) 結(jié)果和應(yīng)用不同: 網(wǎng)絡(luò)測(cè)量的結(jié)果是一系列的模型、規(guī)律、特征等, 各類測(cè)量之間具有較強(qiáng)的獨(dú)立性, 每種測(cè)量結(jié)果通??梢灾苯討?yīng)用于對(duì)網(wǎng)絡(luò)的模擬和性能優(yōu)化; 網(wǎng)絡(luò)空間資源測(cè)繪的結(jié)果是一個(gè)網(wǎng)絡(luò)空間資源全息地圖, 是多類型測(cè)量結(jié)果的融合,因而可以更廣泛地支持資產(chǎn)風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)性能評(píng)價(jià)、病毒主動(dòng)預(yù)警、攻擊軌跡刻畫(huà)等。
通過(guò)上述分析, 我們將網(wǎng)絡(luò)空間資源測(cè)繪定義為“對(duì)網(wǎng)絡(luò)空間中的各類虛實(shí)資源及其屬性進(jìn)行探測(cè)、分析和繪制的全過(guò)程”。具體內(nèi)容包括: 通過(guò)網(wǎng)絡(luò)探測(cè)、采集或挖掘等技術(shù), 獲取網(wǎng)絡(luò)交換設(shè)備、接入設(shè)備等實(shí)體資源以及信息內(nèi)容、用戶和服務(wù)等虛擬資源及其網(wǎng)絡(luò)屬性; 通過(guò)設(shè)計(jì)有效的定位算法和關(guān)聯(lián)分析方法, 將實(shí)體資源映射到地理空間, 將虛擬資源映射到社會(huì)空間, 并將探測(cè)結(jié)果和映射結(jié)果進(jìn)行可視化展現(xiàn); 將網(wǎng)絡(luò)空間、地理空間和社會(huì)空間進(jìn)行相互映射, 將虛擬、動(dòng)態(tài)的網(wǎng)絡(luò)空間資源繪制成一份動(dòng)態(tài)、實(shí)時(shí)、可靠的網(wǎng)絡(luò)空間地圖。
網(wǎng)絡(luò)空間資源測(cè)繪是對(duì)網(wǎng)絡(luò)空間進(jìn)行探測(cè)、分析和繪制的過(guò)程。與傳統(tǒng)的網(wǎng)絡(luò)測(cè)量方法相比, 網(wǎng)絡(luò)空間資源測(cè)繪技術(shù)體系, 除了包含傳統(tǒng)的數(shù)據(jù)獲取和分析建模方法外, 還具備“協(xié)同探測(cè)”、“迭代演進(jìn)”、“融合分析”和“全息繪制”技術(shù)特點(diǎn)。下面, 我們對(duì)網(wǎng)絡(luò)空間資源測(cè)繪技術(shù)體系和其中的關(guān)鍵技術(shù)點(diǎn)進(jìn)行闡述。
網(wǎng)絡(luò)空間資源測(cè)繪體系是一個(gè)“探測(cè)(Detecting)、分析(Analyzing)、繪制(Visualizing)、應(yīng)用(Applying)”的循環(huán)過(guò)程(DAVA Loop), 對(duì)各種網(wǎng)絡(luò)空間資源進(jìn)行協(xié)同探測(cè), 獲取探測(cè)數(shù)據(jù), 對(duì)這些數(shù)據(jù)進(jìn)行融合分析和多域映射, 形成網(wǎng)絡(luò)空間資源知識(shí)庫(kù); 在此基礎(chǔ)上, 通過(guò)多域疊加和綜合繪制來(lái)構(gòu)建網(wǎng)絡(luò)空間資源全息地圖; 最后, 根據(jù)不同的場(chǎng)景目標(biāo)按需應(yīng)用這一全息地圖, 通過(guò)迭代演進(jìn)使得測(cè)繪能力不斷提升。如圖3所示, 其中:
探測(cè)(Detecting): 精確全面地獲取網(wǎng)絡(luò)空間實(shí)體資源和虛擬資源測(cè)量數(shù)據(jù)的過(guò)程, 測(cè)量的內(nèi)容包括資源及其屬性和數(shù)字化活動(dòng), 對(duì)實(shí)體資源測(cè)量又包含實(shí)體測(cè)量、IP測(cè)量、拓?fù)錅y(cè)量等, 對(duì)虛擬資源的測(cè)量又包含用戶測(cè)量、服務(wù)測(cè)量等。網(wǎng)絡(luò)空間資源測(cè)量方法應(yīng)該滿足以下四方面的需求: “穩(wěn)定”、“準(zhǔn)確”、“全面”、“可重復(fù)”。穩(wěn)定性要求網(wǎng)絡(luò)空間資源輕微變化不會(huì)導(dǎo)致測(cè)量方法失效, 準(zhǔn)確性要求測(cè)量結(jié)果能夠準(zhǔn)確反映網(wǎng)絡(luò)空間資源的真實(shí)情況, 全面性要求測(cè)量方法和結(jié)果能夠盡可能全面地獲取和覆蓋被測(cè)資源各種參數(shù)數(shù)據(jù), 可重復(fù)則是在相同測(cè)量條件下, 多次測(cè)量結(jié)果應(yīng)是一致的。
分析(Analyzing): 從測(cè)量結(jié)果中提取資源及其屬性, 并進(jìn)行分析建模和關(guān)聯(lián)映射的過(guò)程, 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間資源高精度全景畫(huà)像和追蹤定位。分析的內(nèi)容包括對(duì)實(shí)體資源和虛擬資源的屬性提取、關(guān)聯(lián)和畫(huà)像, 以及向物理空間和社會(huì)空間的關(guān)聯(lián)映射。網(wǎng)絡(luò)空間資源分析需要解決復(fù)雜屬性解析、缺失屬性填充、多表征歸一、跨域映射等一系列關(guān)鍵問(wèn)題, 分析的結(jié)果是形成一系列網(wǎng)絡(luò)空間資源知識(shí)庫(kù)。
繪制(Visualizing): 基于測(cè)量結(jié)果和分析結(jié)果,將多維的網(wǎng)絡(luò)空間資源及其關(guān)聯(lián)關(guān)系投影到一個(gè)低維的可視化空間, 構(gòu)建網(wǎng)絡(luò)空間資源的分層次、可變粒度的網(wǎng)絡(luò)地圖, 實(shí)現(xiàn)對(duì)多變量時(shí)變型網(wǎng)絡(luò)資源的可視化過(guò)程。繪制需要對(duì)數(shù)量巨大、多源異構(gòu)的信息數(shù)據(jù), 進(jìn)行時(shí)間、空間、類型等一體化組織, 基于統(tǒng)一的時(shí)空基準(zhǔn)數(shù)據(jù)模型和資源標(biāo)識(shí), 對(duì)數(shù)據(jù)進(jìn)行有效關(guān)聯(lián)組織和可視化表達(dá), 對(duì)網(wǎng)絡(luò)空間資源的分布、狀態(tài)、發(fā)展趨勢(shì)等進(jìn)行全方位動(dòng)態(tài)展示。
應(yīng)用(Applying): 根據(jù)網(wǎng)絡(luò)空間資源全息地圖,面向不同的綜合業(yè)務(wù), 應(yīng)用不同的層次數(shù)據(jù)。如地理地圖一樣, 網(wǎng)絡(luò)空間資源全息地圖既可以獨(dú)立使用,也可以與其他資源、狀態(tài)、外部信息、知識(shí)圖譜等疊加。網(wǎng)絡(luò)空間資源測(cè)繪的結(jié)果可以應(yīng)用于改進(jìn)網(wǎng)絡(luò)部署、提升網(wǎng)絡(luò)性能、評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)、主動(dòng)預(yù)警和防御網(wǎng)絡(luò)攻擊等場(chǎng)景
圖3 網(wǎng)絡(luò)空間資源測(cè)繪技術(shù)體系Figure 3 Technical Architecture of Cyberspace Resources Surveying and Mapping (DAVA Loop)
在傳統(tǒng)的網(wǎng)絡(luò)測(cè)量中, 探測(cè)方法有多種分類標(biāo)準(zhǔn)。按探測(cè)方式, 可以分為主動(dòng)探測(cè)和被動(dòng)探測(cè); 按探測(cè)點(diǎn)的多少, 可以分為單點(diǎn)探測(cè)和多點(diǎn)探測(cè); 按探測(cè)內(nèi)容, 可分為拓?fù)涮綔y(cè)、性能探測(cè)和流量探測(cè)等;按探測(cè)點(diǎn)所在層次, 可分為網(wǎng)絡(luò)層探測(cè)和應(yīng)用層探測(cè); 按探測(cè)者是否主動(dòng)配合, 分為協(xié)作式和非協(xié)作式; 按探測(cè)所采用的協(xié)議, 分為基于BGP協(xié)議、基于TCP/IP協(xié)議、基于SNMP協(xié)議以及基于應(yīng)用層協(xié)議(如HTTP)等。每種探測(cè)方法都有相應(yīng)的優(yōu)點(diǎn)和缺點(diǎn),許多相關(guān)工作[20-26]已經(jīng)對(duì)此進(jìn)行了詳細(xì)綜述。
與傳統(tǒng)的網(wǎng)絡(luò)測(cè)量方法不同, 為實(shí)現(xiàn)對(duì)大規(guī)模復(fù)雜多樣的網(wǎng)絡(luò)空間資源進(jìn)行探測(cè), 對(duì)網(wǎng)絡(luò)空間資源的探測(cè)需要采用“協(xié)同探測(cè)”的方法, 即主被動(dòng)協(xié)同、多點(diǎn)協(xié)同、協(xié)作協(xié)同。
1) 主被動(dòng)協(xié)同
主動(dòng)探測(cè)根據(jù)探測(cè)需要構(gòu)造特定的探測(cè)包并向網(wǎng)絡(luò)注入探測(cè)流量, 通過(guò)接收探測(cè)包流經(jīng)網(wǎng)絡(luò)時(shí)各網(wǎng)絡(luò)參與者或探測(cè)目標(biāo)的響應(yīng)來(lái)獲得探測(cè)結(jié)果。被動(dòng)探測(cè)是在網(wǎng)絡(luò)中選擇一組探測(cè)節(jié)點(diǎn)(關(guān)鍵網(wǎng)絡(luò)設(shè)置或者主機(jī))并在其上部署探針進(jìn)行監(jiān)聽(tīng), 通過(guò)收集經(jīng)過(guò)該節(jié)點(diǎn)的流量或發(fā)往該節(jié)點(diǎn)的請(qǐng)求來(lái)獲得探測(cè)結(jié)果。主被動(dòng)協(xié)同探測(cè)是通過(guò)主動(dòng)方式進(jìn)行資源探測(cè)并擴(kuò)散被動(dòng)探測(cè)節(jié)點(diǎn), 通過(guò)被動(dòng)方式獲取信息, 再針對(duì)這些信息通過(guò)主動(dòng)方式進(jìn)一步在網(wǎng)絡(luò)空間探測(cè),進(jìn)而獲得更多更全面的結(jié)果。
主被動(dòng)協(xié)同探測(cè)可以利用主動(dòng)探測(cè)和被動(dòng)探測(cè)的優(yōu)點(diǎn), 彌補(bǔ)不足, 從而獲得更為準(zhǔn)確全面的探測(cè)結(jié)果。主動(dòng)探測(cè)的優(yōu)點(diǎn)在于能夠有針對(duì)性地對(duì)目標(biāo)進(jìn)行探測(cè), 即使這些目標(biāo)不主動(dòng)產(chǎn)生流量或者流量不經(jīng)過(guò)探測(cè)節(jié)點(diǎn), 探測(cè)程序部署位置也較為靈活。但是, 主動(dòng)探測(cè)也具有一定的局限性, 當(dāng)目標(biāo)對(duì)探測(cè)行為進(jìn)行檢測(cè)并主動(dòng)屏蔽時(shí), 則無(wú)法獲得準(zhǔn)確的探測(cè)結(jié)果, 主動(dòng)探測(cè)也無(wú)法準(zhǔn)確獲得一些網(wǎng)絡(luò)節(jié)點(diǎn)之間的通聯(lián)關(guān)系, 此外, 主動(dòng)探測(cè)會(huì)產(chǎn)生新的探測(cè)流量, 因而會(huì)增加網(wǎng)絡(luò)負(fù)載, 并且主動(dòng)探測(cè)不可避免地會(huì)對(duì)網(wǎng)絡(luò)當(dāng)前狀態(tài)產(chǎn)生干擾, 使探測(cè)結(jié)果產(chǎn)生一定的偏差。被動(dòng)探測(cè)由于不需要發(fā)送探測(cè)數(shù)據(jù)包, 或者僅在收到用戶請(qǐng)求時(shí)才發(fā)送必要的響應(yīng)數(shù)據(jù),對(duì)網(wǎng)絡(luò)影響較少, 探測(cè)結(jié)果更為準(zhǔn)確, 也可以獲得一些主動(dòng)探測(cè)無(wú)法獲得的數(shù)據(jù)。但是被動(dòng)探測(cè)也有一定的局限性, 如探測(cè)實(shí)現(xiàn)復(fù)雜度較高, 尤其是骨干鏈路, 高速網(wǎng)絡(luò)流量的獲取和分析都是探測(cè)需要解決的難點(diǎn)問(wèn)題, 探測(cè)范圍和結(jié)果準(zhǔn)確度依賴于探測(cè)程序的部署位置、處理能力等。在設(shè)計(jì)和實(shí)施主被動(dòng)協(xié)同探測(cè)時(shí)應(yīng)盡可能減少對(duì)網(wǎng)絡(luò)的影響,提高探測(cè)的結(jié)果的準(zhǔn)確性, 同時(shí)還應(yīng)注意通過(guò)協(xié)同方式盡量避免流量捕獲和解析等帶來(lái)隱私和安全問(wèn)題。
2) 多點(diǎn)協(xié)同
網(wǎng)絡(luò)空間資源的分布廣泛、種類復(fù)雜多樣, 在研究初期、資源有限或?qū)δ骋环秶M(jìn)行探測(cè)時(shí)可采用單點(diǎn)探測(cè), 但單個(gè)探測(cè)點(diǎn)的能力有限, 大規(guī)模大范圍的網(wǎng)絡(luò)探測(cè)通常需要分布式部署多個(gè)探測(cè)節(jié)點(diǎn),綜合多點(diǎn)的信息以獲得更全面準(zhǔn)確的探測(cè)結(jié)果。多點(diǎn)協(xié)同探測(cè)在探測(cè)基礎(chǔ)設(shè)施中表現(xiàn)的是探測(cè)網(wǎng)絡(luò)組織結(jié)構(gòu)是多地多點(diǎn)部署, 在探針?lè)矫姹憩F(xiàn)的是多探針?lè)植际讲渴?、探測(cè)任務(wù)并發(fā)執(zhí)行、多種探針聯(lián)動(dòng)等。多點(diǎn)協(xié)同探測(cè)需要解決探測(cè)點(diǎn)部署位置、探測(cè)任務(wù)調(diào)度、探測(cè)網(wǎng)絡(luò)通信等問(wèn)題。
為了對(duì)這些廣泛分布的異構(gòu)探測(cè)節(jié)點(diǎn)進(jìn)行統(tǒng)一組織, 還需構(gòu)建一套網(wǎng)絡(luò)空間資源協(xié)同探測(cè)的基礎(chǔ)設(shè)施, 解決探測(cè)網(wǎng)絡(luò)組織模型、探測(cè)任務(wù)調(diào)度策略、平臺(tái)運(yùn)維管理等問(wèn)題, 支持對(duì)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控網(wǎng)等網(wǎng)絡(luò)空間中各類實(shí)體資源和虛擬資源探測(cè)。探測(cè)平臺(tái)既可以兼容現(xiàn)有的探測(cè)平臺(tái), 如 Archipelago[23]、DIMES[27]、iPlane[28]、RIPE Atlas[29]、SamKnows[30]、BISmark[31-33]等, 也可以獨(dú)立建設(shè)。探測(cè)平臺(tái)的網(wǎng)絡(luò)接入位置包括網(wǎng)絡(luò)邊緣和網(wǎng)絡(luò)核心, 網(wǎng)絡(luò)接入方式包括固網(wǎng)接入和移動(dòng)接入, 平臺(tái)的組成既有通用服務(wù)器也有專用的硬件設(shè)備, 平臺(tái)主要以分布式部署為主, 設(shè)備來(lái)源既可以有眾籌的方式也可以獨(dú)立維護(hù)運(yùn)行。
3) 協(xié)作協(xié)同
協(xié)作協(xié)同包括兩方面: 探測(cè)參與者的協(xié)作和探測(cè)實(shí)施者的協(xié)作。探測(cè)參與者的協(xié)作是指探測(cè)目標(biāo)或管理者對(duì)探測(cè)知情或主動(dòng)配合, 是一種協(xié)作式探測(cè), 相較于非協(xié)作探測(cè), 能夠更容易獲得準(zhǔn)確的探測(cè)結(jié)果。被動(dòng)探測(cè)在部署探測(cè)點(diǎn)時(shí)通常需要相應(yīng)的管理者協(xié)助, 但一些探測(cè)目標(biāo)和網(wǎng)絡(luò)管理者出于隱私和安全的角度均更傾向于不配合網(wǎng)絡(luò)探測(cè), 雖然采用主動(dòng)探測(cè)的方式能夠不依賴于探測(cè)參與者主動(dòng)配合, 但網(wǎng)絡(luò)空間資源測(cè)繪試圖建立一種網(wǎng)絡(luò)開(kāi)發(fā)者、管理者、用戶的合作模式, 既保護(hù)用戶隱私不被侵犯, 又能夠增加對(duì)網(wǎng)絡(luò)空間資源的認(rèn)知和理解,從而更好地創(chuàng)建、管理、使用網(wǎng)絡(luò)空間資源。探測(cè)實(shí)施者的協(xié)作, 是指在構(gòu)建探測(cè)平臺(tái)或?qū)嵤┨綔y(cè)時(shí),各組織機(jī)構(gòu)合作, 平臺(tái)共享、資源共享、能力共享、結(jié)果共享。
網(wǎng)絡(luò)空間資源種類和屬性豐富, 表現(xiàn)形式多樣,資源數(shù)量巨大、關(guān)系復(fù)雜, 這對(duì)數(shù)據(jù)分析和處理的及時(shí)性、準(zhǔn)確性和可靠性提出了新的要求。目前, 單源少量數(shù)據(jù)的分析已無(wú)法滿足需求, 需要采用更有效的分析方法, 實(shí)現(xiàn)對(duì)大規(guī)模流式數(shù)據(jù)、多源數(shù)據(jù)的深度融合分析??偟膩?lái)說(shuō), 網(wǎng)絡(luò)空間資源分析方法呈現(xiàn)以下三方面的發(fā)展趨勢(shì):
1) 從小數(shù)據(jù)離線分析到大數(shù)據(jù)在線分析
網(wǎng)絡(luò)空間的數(shù)據(jù)規(guī)模巨大。以虛擬資源為例, 網(wǎng)絡(luò)空間中存在億級(jí)服務(wù)資源[34], 數(shù)十億級(jí)虛擬用戶[35],ZB級(jí)內(nèi)容和數(shù)據(jù)。同時(shí), 由于網(wǎng)絡(luò)空間資源數(shù)據(jù)具有很強(qiáng)的實(shí)時(shí)性和動(dòng)態(tài)性, 這就要求分析技術(shù)能夠?qū)Υ笠?guī)模流式數(shù)據(jù)進(jìn)行快速、準(zhǔn)確的處理。在實(shí)時(shí)流數(shù)據(jù)處理中, 由于數(shù)據(jù)持續(xù)不斷更新, 無(wú)法一次性存儲(chǔ)在數(shù)據(jù)庫(kù)中, 因此需要使用概要提取[36,37]技術(shù), 在內(nèi)存中保留處理過(guò)的概要數(shù)據(jù)代表以前的歷史數(shù)據(jù), 同時(shí)采用增量方式對(duì)概要數(shù)據(jù)進(jìn)行更新。以良好的概要數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)為基礎(chǔ), 各類基礎(chǔ)流數(shù)據(jù)分析技術(shù)包括流數(shù)據(jù)聚類[38]、分類[39]、時(shí)序預(yù)測(cè)[40],事件流預(yù)測(cè)[41]等。在數(shù)據(jù)處理平臺(tái)方面, 可采用MapReduce[42]、Hadoop[43]和 Spark[44]等分布式處理模式, 或使用Spark Streaming、Storm、Flink為代表的流處理大數(shù)據(jù)系統(tǒng)。
2) 從淺層分析方法到深度分析模型
淺層模型在有限的樣本和計(jì)算單元的條件下,對(duì)于復(fù)雜問(wèn)題的泛化能力有限, 不能很好地解決多類網(wǎng)絡(luò)空間資源的分析和計(jì)算問(wèn)題。深度學(xué)習(xí)相對(duì)于淺層學(xué)習(xí)而言, 能夠通過(guò)學(xué)習(xí)一種深層的非線性網(wǎng)絡(luò)結(jié)構(gòu), 實(shí)現(xiàn)復(fù)雜函數(shù)逼近, 為實(shí)現(xiàn)“端到端”的網(wǎng)絡(luò)空間資源分析系統(tǒng)提供了契機(jī)。
隨著深度學(xué)習(xí)技術(shù)的日益成熟, 深度學(xué)習(xí)模型也初步應(yīng)用于網(wǎng)絡(luò)空間資源測(cè)繪領(lǐng)域: 在實(shí)體設(shè)備數(shù)據(jù)分析方面, 相關(guān)研究通過(guò)對(duì)GSM信號(hào)進(jìn)行分析,確定設(shè)備的指紋特征, 同時(shí)利用BP神經(jīng)網(wǎng)絡(luò)對(duì)信號(hào)的指紋特征進(jìn)行分類,以識(shí)別發(fā)射設(shè)備的類型; 在虛擬用戶畫(huà)像建模處理方面, 采用卷積神經(jīng)網(wǎng)絡(luò)方法實(shí)現(xiàn)對(duì)虛擬用戶缺失屬性推斷和用戶興趣挖掘[45,46],采用用戶嵌入表示學(xué)習(xí)方法實(shí)現(xiàn)跨社交網(wǎng)絡(luò)賬號(hào)關(guān)聯(lián)[47,48]; 在虛擬用戶行為分析方面, 采用長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)實(shí)現(xiàn)用戶的異常行為檢測(cè)和隱私對(duì)抗[49-51];在服務(wù)分析方面, 采用自編碼器和多種深度神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)站指紋進(jìn)行構(gòu)建和識(shí)別[52]; 在內(nèi)容分析方面,采用循環(huán)神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)惡意軟件檢測(cè)[53,54]; 采用深度神經(jīng)網(wǎng)絡(luò)與生成對(duì)抗訓(xùn)練、強(qiáng)化學(xué)習(xí)等融合框架實(shí)現(xiàn)文本、視頻等多媒體內(nèi)容分析[55,56]。在以上應(yīng)用領(lǐng)域中, 深度分析模型所實(shí)現(xiàn)的效果均超過(guò)了目前最好的淺層模型。
3) 從單一對(duì)象和數(shù)據(jù)源分析到融合分析
針對(duì)單一數(shù)據(jù)源的簡(jiǎn)單分析無(wú)法囊括不斷擴(kuò)大的網(wǎng)絡(luò)空間資源對(duì)象和復(fù)雜的數(shù)據(jù)類型, 需要采用數(shù)據(jù)融合技術(shù), 對(duì)多源信息進(jìn)行綜合處理, 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間資源及其屬性的精準(zhǔn)刻畫(huà)。數(shù)據(jù)融合主要是針對(duì)各類可用數(shù)據(jù)形式化表達(dá)的信息融合, 數(shù)據(jù)關(guān)聯(lián)質(zhì)量與效果的優(yōu)劣關(guān)系到系統(tǒng)對(duì)融合結(jié)果的處理。因此, 為了實(shí)現(xiàn)資源精準(zhǔn)分析, 如何利用各類網(wǎng)絡(luò)空間資源獨(dú)有的數(shù)據(jù)特征和資源之間的相互關(guān)系,進(jìn)行數(shù)據(jù)的交叉驗(yàn)證和關(guān)聯(lián)映射, 將成為實(shí)現(xiàn)資源精準(zhǔn)分析的關(guān)鍵。
1) 基于多類資源融合的交叉驗(yàn)證
對(duì)網(wǎng)絡(luò)空間不同類型的資源屬性進(jìn)行交叉分析驗(yàn)證, 可實(shí)現(xiàn)資源特定維度屬性的填充, 并發(fā)現(xiàn)數(shù)據(jù)之間的不一致性。在實(shí)體資源交叉驗(yàn)證方面, 可利用多種信息源(如Web服務(wù)器地標(biāo)信息、互聯(lián)網(wǎng)機(jī)構(gòu)主頁(yè)、黃頁(yè)等), 挖掘?qū)嶓w設(shè)備地標(biāo), 綜合各類信息源對(duì)地標(biāo)的可信度進(jìn)行評(píng)估。在實(shí)體和虛擬資源交叉驗(yàn)證方面, 一方面, 利用實(shí)體資源定位技術(shù), 獲取實(shí)體設(shè)備 IP的對(duì)應(yīng)地理位置; 另一方面, 從流量或文本等數(shù)據(jù)源中挖掘操作該實(shí)體的虛擬用戶的位置,可實(shí)現(xiàn)實(shí)體資源和虛擬用戶位置的一致性驗(yàn)證。在虛擬資源交叉驗(yàn)證方面, 可利用異常用戶對(duì)虛擬服務(wù)、虛擬內(nèi)容的訪問(wèn)行為分析, 實(shí)現(xiàn)對(duì)異常服務(wù)、異常內(nèi)容的發(fā)現(xiàn); 與此同時(shí), 利用異常服務(wù)和異常內(nèi)容的用戶訪問(wèn)日志, 再發(fā)現(xiàn)新的異常用戶。這是一個(gè)迭代分析、協(xié)同訓(xùn)練的過(guò)程。
2) 基于多源數(shù)據(jù)融合的關(guān)聯(lián)映射
由于網(wǎng)絡(luò)空間資源的隱匿性特點(diǎn), 存在“人物多身份、服務(wù)多鏡像、內(nèi)容多副本”的特點(diǎn)。通過(guò)對(duì)不同數(shù)據(jù)源下網(wǎng)絡(luò)空間資源的多維屬性、關(guān)系和行為特征進(jìn)行融合分析, 能夠?qū)崿F(xiàn)多源數(shù)據(jù)中同一資源對(duì)象的關(guān)聯(lián)映射。在人物身份識(shí)別方面, 可利用虛擬用戶關(guān)系網(wǎng)絡(luò)結(jié)構(gòu)、用戶屬性和用戶行為特征, 學(xué)習(xí)用戶的嵌入表示和網(wǎng)絡(luò)的嵌入表示, 實(shí)現(xiàn)跨網(wǎng)絡(luò)多賬號(hào)用戶之間的關(guān)聯(lián)映射, 將虛擬用戶映射到社會(huì)空間, 識(shí)別用戶的真實(shí)身份[57]。在同源服務(wù)識(shí)別方面, 首先利用基于視覺(jué)信息的網(wǎng)頁(yè)分割算法定義網(wǎng)頁(yè)的語(yǔ)義結(jié)構(gòu), 每一個(gè)節(jié)點(diǎn)代表一個(gè)語(yǔ)義塊, 每個(gè)語(yǔ)義塊都有一個(gè) DOC值描述其內(nèi)部?jī)?nèi)容的關(guān)聯(lián)性; 然后, 對(duì)網(wǎng)站進(jìn)行分塊, 利用向量相似度度量(EMD)進(jìn)行網(wǎng)頁(yè)相似度檢測(cè), 將具有相似主頁(yè)的網(wǎng)站看作是同源網(wǎng)站[58,59]。在相似內(nèi)容檢測(cè)方面, 通過(guò)計(jì)算詞級(jí)、短語(yǔ)級(jí)、句子級(jí)的嵌入表示, 在嵌入向量空間計(jì)算文本之間的相似度, 從語(yǔ)義層面解決各個(gè)層次的文本相似性檢測(cè)問(wèn)題[60,61]; 將兩張圖片看成一張雙通道的圖像,采用Siamese網(wǎng)絡(luò)對(duì)兩張圖片的特征向量構(gòu)造相似度損失函數(shù), 通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行訓(xùn)練, 能夠判別任意兩張圖像是否匹配[62,63]。
網(wǎng)絡(luò)空間資源繪制技術(shù)是在網(wǎng)絡(luò)空間資源探測(cè)和分析的基礎(chǔ)上, 將多維的網(wǎng)絡(luò)空間資源及其關(guān)聯(lián)關(guān)系投影到一個(gè)低維可視化空間, 旨在構(gòu)建網(wǎng)絡(luò)空間資源的層次化、可變粒度的網(wǎng)絡(luò)地圖, 實(shí)現(xiàn)對(duì)多變量時(shí)變型網(wǎng)絡(luò)資源的可視化呈現(xiàn)[64]。
在繪制理論方面, 美國(guó)科學(xué)家Marc A.Smith和愛(ài)爾蘭 Rob Kitchin教授先后提出了網(wǎng)絡(luò)空間的社區(qū)、地圖和映射的理論[65], 介紹了如何利用地理學(xué)、制圖學(xué)、計(jì)算機(jī)通信、信息可視化等領(lǐng)域的研究成果建立網(wǎng)絡(luò)空間可視化的方法。武漢大學(xué)艾廷華教授在2016年提出了網(wǎng)絡(luò)空間資源表達(dá)的符號(hào)可視化理論以及應(yīng)用數(shù)學(xué)法則進(jìn)行測(cè)量的方法[66]。
在繪制技術(shù)方面, 國(guó)內(nèi)外研究團(tuán)隊(duì)雖然提出了一些準(zhǔn)則, 如網(wǎng)絡(luò)空間地理學(xué)圖像的電信網(wǎng)絡(luò)分析方法、網(wǎng)絡(luò)空間景觀制圖的若干法則[67]、拓?fù)淇梢暬痆68]等。然而, 已有研究主要基于地理空間對(duì)實(shí)體設(shè)備和拓?fù)潢P(guān)系的可視化, 如何對(duì)高維、動(dòng)態(tài)的虛擬資源進(jìn)行繪制, 如何將網(wǎng)絡(luò)空間中的多類資源投影到地理空間進(jìn)行繪制缺乏系統(tǒng)和成熟的技術(shù)思路。因此, 需要綜合可視化、圖形學(xué)、數(shù)據(jù)挖掘理論與方法, 研究新的網(wǎng)絡(luò)空間資源測(cè)繪理論模型和可視化方法。在繪制全息地圖的需求下,“疊加繪制”和“時(shí)空建?!睂⒊蔀榫W(wǎng)絡(luò)空間資源繪制的研究重點(diǎn)。
1) 網(wǎng)絡(luò)空間多類資源疊加繪制
針對(duì)網(wǎng)絡(luò)空間資源數(shù)據(jù)的時(shí)間特性和空間特性,結(jié)合數(shù)據(jù)間的關(guān)聯(lián)性, 建立數(shù)據(jù)可視化關(guān)聯(lián)模型,動(dòng)態(tài)維護(hù)關(guān)聯(lián)關(guān)系, 并根據(jù)網(wǎng)絡(luò)空間資源所涉及多種屬性進(jìn)行資源聚類, 計(jì)算節(jié)點(diǎn)的分布位置, 實(shí)現(xiàn)在虛擬空間和現(xiàn)實(shí)空間上的數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)流向、數(shù)據(jù)分布展示; 針對(duì)網(wǎng)絡(luò)資源探測(cè)的大規(guī)模多種類別數(shù)據(jù)信息, 結(jié)合空間、地點(diǎn)、時(shí)間等多個(gè)維度, 打破地圖上數(shù)據(jù)信息展示單一的格局, 對(duì)不同數(shù)據(jù)進(jìn)行多方面、多層次的處理, 并將不同維度數(shù)據(jù)進(jìn)行合理的疊加處理, 將組織關(guān)系、物理位置、網(wǎng)絡(luò)行為、通聯(lián)日志等數(shù)據(jù)以網(wǎng)絡(luò)拓?fù)湟晥D、地理分布視圖以及時(shí)間維度等多種方式展現(xiàn)于全息地圖之上, 實(shí)現(xiàn)數(shù)據(jù)處理全過(guò)程的靈活操控。
2) 地理空間與網(wǎng)絡(luò)空間時(shí)空建模
研究虛擬網(wǎng)絡(luò)空間與實(shí)體地理空間中對(duì)象時(shí)空變化機(jī)理和模型、統(tǒng)一時(shí)空基準(zhǔn)建立與維持、時(shí)空坐標(biāo)系轉(zhuǎn)換、時(shí)空動(dòng)態(tài)語(yǔ)義和時(shí)空演化模型等, 構(gòu)建虛擬網(wǎng)絡(luò)空間和實(shí)體地理空間統(tǒng)一描述的時(shí)空坐標(biāo)體系, 為網(wǎng)絡(luò)空間資源的測(cè)繪建立時(shí)空基準(zhǔn)框架,實(shí)現(xiàn)虛擬網(wǎng)絡(luò)空間和實(shí)體地理空間資源中多源異構(gòu)、海量高維、動(dòng)態(tài)變化的時(shí)空數(shù)據(jù)的融合與統(tǒng)一管理、描述與應(yīng)用。針對(duì)網(wǎng)絡(luò)空間資源屬性的動(dòng)態(tài)時(shí)變特性, 研究網(wǎng)絡(luò)空間資源的多維度、跨尺度、實(shí)時(shí)動(dòng)態(tài)繪制技術(shù), 實(shí)現(xiàn)虛擬網(wǎng)絡(luò)空間與真實(shí)地理空間場(chǎng)景的一體化真三維繪制與動(dòng)態(tài)切換、網(wǎng)絡(luò)空間地圖要素符號(hào)自動(dòng)綜合、網(wǎng)絡(luò)空間三維景觀動(dòng)態(tài)交互等。
在第三節(jié)中, 我們給出了網(wǎng)絡(luò)空間資源測(cè)繪的DAVA Loop通用體系結(jié)構(gòu)。下面我們以區(qū)域資產(chǎn)評(píng)估和服務(wù)測(cè)繪為例, 闡述DAVA Loop在具體應(yīng)用中的工作流程, 并說(shuō)明其有效性。
圖4 基于測(cè)繪體系的區(qū)域資產(chǎn)評(píng)估框架Figure 4 The Technical Architecture of Network Assets Evaluation
區(qū)域資產(chǎn)是對(duì)組織具有價(jià)值的信息或資源, 是安全策略保護(hù)的對(duì)象。威脅、脆弱性以及風(fēng)險(xiǎn)都是針對(duì)資產(chǎn)而客觀存在的。準(zhǔn)確掌握某一資產(chǎn)的攻擊面是防御和攻擊的關(guān)鍵。通過(guò)網(wǎng)絡(luò)空間測(cè)繪技術(shù), 對(duì)某個(gè)區(qū)域的網(wǎng)絡(luò)資產(chǎn)進(jìn)行識(shí)別和控制, 可以更好地保護(hù)個(gè)人和組織的數(shù)據(jù), 防范已經(jīng)存在和可能存在的風(fēng)險(xiǎn)。
為了獲得精準(zhǔn)的區(qū)域資產(chǎn)信息, 基于 DAVA Loop的資產(chǎn)測(cè)繪對(duì)區(qū)域內(nèi)的網(wǎng)絡(luò)資產(chǎn)進(jìn)行協(xié)同測(cè)量,通過(guò)對(duì)數(shù)據(jù)進(jìn)行融合分析和多域映射, 形成區(qū)域資產(chǎn)信息知識(shí)庫(kù); 在此基礎(chǔ)上, 通過(guò)多域疊加和綜合繪制來(lái)構(gòu)建網(wǎng)絡(luò)空間資產(chǎn)全息地圖; 最后, 根據(jù)區(qū)域資產(chǎn)發(fā)現(xiàn)和識(shí)別場(chǎng)景、漏洞引起的業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測(cè)場(chǎng)景、預(yù)警違規(guī)外聯(lián)、數(shù)據(jù)泄密隱患場(chǎng)景、資產(chǎn)管理評(píng)估場(chǎng)景和網(wǎng)絡(luò)空間反欺詐場(chǎng)景等目標(biāo), 應(yīng)用這一面向資產(chǎn)的全息地圖, 通過(guò)迭代演進(jìn)使得資產(chǎn)測(cè)繪能力不斷提升。
1) 區(qū)域資產(chǎn)協(xié)同探測(cè)
區(qū)域資產(chǎn)協(xié)同測(cè)量主要分為主動(dòng)探測(cè)和被動(dòng)監(jiān)測(cè)。其中, 主動(dòng)探測(cè)主要包括設(shè)備端口開(kāi)放性檢測(cè)、主機(jī)存活性檢測(cè)、WEB框架偵察、系統(tǒng)指紋發(fā)現(xiàn)、服務(wù)指紋發(fā)現(xiàn)和漏洞掃描等; 被動(dòng)解析子模塊主要有高速流量獲取、協(xié)議識(shí)別和字段解析、IDS/IPS日志匯聚等功能。
主動(dòng)探測(cè)在探測(cè)前需要測(cè)試網(wǎng)絡(luò)范圍, 除了窮舉網(wǎng)絡(luò)地址, 也可使用Dmitry、Scapy等專用工具查詢目標(biāo)網(wǎng)絡(luò)中的IP地址和域名信息, 測(cè)試網(wǎng)絡(luò)范圍;此外, 反掃描設(shè)備的存在以及地址空間過(guò)大等問(wèn)題,使得主動(dòng)探測(cè)在確定掃描范圍存在盲區(qū), 且無(wú)法獲得實(shí)時(shí)的資產(chǎn)狀態(tài)。因此本文的資產(chǎn)測(cè)繪使用了主被動(dòng)協(xié)同測(cè)量的框架。一方面主動(dòng)探測(cè)采用傳統(tǒng)的網(wǎng)絡(luò)范圍測(cè)試手段, 另一方面, 由被動(dòng)流量中過(guò)濾得到的IP、端口和域名等信息, 作為主動(dòng)探測(cè)的目標(biāo)輸入。被動(dòng)流量過(guò)濾得到的 IP、端口和域名等信息包括本區(qū)域內(nèi)部的資產(chǎn)和與本區(qū)域相關(guān)聯(lián)的資產(chǎn)信息組成。
2) 區(qū)域資產(chǎn)關(guān)聯(lián)標(biāo)識(shí)
通過(guò)主動(dòng)探測(cè)得到的資產(chǎn)標(biāo)識(shí)與被動(dòng)監(jiān)測(cè)得到的資產(chǎn)標(biāo)識(shí)具有明顯的差異。一方面, 主動(dòng)探測(cè)具有資產(chǎn)標(biāo)識(shí)細(xì)節(jié)信息更加明確, 更適合局域網(wǎng)資產(chǎn)(如打印機(jī)、DVR、NVR等)的探測(cè)發(fā)現(xiàn)等特點(diǎn); 另一方面, 類似防火墻的網(wǎng)絡(luò)隔離使得主動(dòng)探測(cè)需要設(shè)計(jì)針對(duì)復(fù)雜網(wǎng)絡(luò)的繞過(guò)技術(shù), 實(shí)現(xiàn)代價(jià)陡增。與之對(duì)應(yīng)的被動(dòng)監(jiān)測(cè)得到的資產(chǎn)標(biāo)識(shí)具有實(shí)時(shí)性高、監(jiān)測(cè)代價(jià)小的優(yōu)點(diǎn), 但是被動(dòng)流量種類和屬性豐富, 協(xié)議多樣, 數(shù)量巨大、關(guān)系復(fù)雜, 同時(shí)具有加密和云化特點(diǎn)。
在設(shè)計(jì)區(qū)域資產(chǎn)關(guān)聯(lián)時(shí)需要充分考慮兩種測(cè)量方式的優(yōu)劣, 針對(duì)數(shù)據(jù)分析和處理的及時(shí)性、準(zhǔn)確性和可靠性, 建立精準(zhǔn)資產(chǎn)識(shí)別框架, 采用數(shù)據(jù)融合技術(shù), 從網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備指紋、服務(wù)指紋、瀏覽器指紋等細(xì)節(jié)處對(duì)多源信息進(jìn)行綜合處理, 實(shí)現(xiàn)對(duì)區(qū)域資產(chǎn)及其屬性的精準(zhǔn)刻畫(huà)。
在主被動(dòng)測(cè)量數(shù)據(jù)下, 利用各類不同類型資產(chǎn)的行為特點(diǎn)、品牌特點(diǎn)、功能特點(diǎn)、網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)等, 發(fā)現(xiàn)獨(dú)有的數(shù)據(jù)特征和資源之間的相互關(guān)系,進(jìn)行數(shù)據(jù)的交叉驗(yàn)證和關(guān)聯(lián)映射, 形成對(duì)多維度多屬性的通用高精度識(shí)別框架; 針對(duì)不同類型、品牌訓(xùn)練不同參數(shù), 通過(guò)優(yōu)化的機(jī)器學(xué)習(xí)算法進(jìn)行設(shè)備的分層識(shí)別; 利用多維度關(guān)聯(lián)驗(yàn)證方法, 對(duì)設(shè)備型號(hào)等綜合屬性進(jìn)行驗(yàn)證過(guò)濾, 剔除不精確的判斷, 提升識(shí)別精度。
3) 區(qū)域資產(chǎn)繪制
以可視化的方式呈現(xiàn)區(qū)域資產(chǎn)信息, 包括基礎(chǔ)屬性、網(wǎng)絡(luò)屬性、位置屬性、通聯(lián)屬性等。例如基礎(chǔ)屬性包括設(shè)備名稱、設(shè)備型號(hào)、設(shè)備類型、生產(chǎn)廠家、基本參數(shù)(CPU、內(nèi)存等)、出廠日期、外型參數(shù)等; 網(wǎng)絡(luò)屬性包括設(shè)備IP、使用協(xié)議、開(kāi)放端口、運(yùn)行系統(tǒng)信息(系統(tǒng)類別、版本號(hào))、發(fā)現(xiàn)時(shí)間、漏洞信息、banner信息、頁(yè)面特征等; 位置屬性包括時(shí)區(qū)、國(guó)家、區(qū)域代碼、所在地、經(jīng)緯度、地址等; 通聯(lián)屬性包括相關(guān)組件號(hào)、關(guān)系類型、映射信息等。區(qū)域資產(chǎn)地圖可與其他資源、狀態(tài)、外部信息、知識(shí)圖譜等疊加, 按需展示關(guān)注點(diǎn)。
圖5 基于測(cè)繪體系的虛擬服務(wù)評(píng)估框架Figure 5 The Technical Architecture of Virtualization Service Evaluation
4) 區(qū)域資產(chǎn)測(cè)繪應(yīng)用
根據(jù)資產(chǎn)測(cè)繪地圖, 面向不同的業(yè)務(wù)場(chǎng)景, 應(yīng)用不同的層次數(shù)據(jù), 提供決策支持, 并通過(guò)迭代演進(jìn)使得資產(chǎn)測(cè)繪能力不斷提升。典型應(yīng)用場(chǎng)景如下:
(1) 區(qū)域資產(chǎn)發(fā)現(xiàn)和識(shí)別場(chǎng)景: 通過(guò)主動(dòng)掃描、流量監(jiān)控等多種資產(chǎn)采集方式, 自動(dòng)獲取資產(chǎn)和開(kāi)啟的服務(wù)。對(duì)關(guān)注區(qū)域內(nèi)的資產(chǎn)進(jìn)行分析與統(tǒng)計(jì), 便于安全監(jiān)管部門(mén), 對(duì)區(qū)域內(nèi)重要信息系統(tǒng)資產(chǎn)、物聯(lián)網(wǎng)設(shè)備資產(chǎn)等了解和掌控。
(2) 漏洞引起的業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測(cè)場(chǎng)景: 根據(jù)系統(tǒng)預(yù)置常見(jiàn)、熱門(mén)漏洞, 根據(jù)資產(chǎn)組件特征判斷漏洞影響資產(chǎn)數(shù)量; 基于對(duì)資產(chǎn)和漏洞的統(tǒng)計(jì)分析, 對(duì)資產(chǎn)的數(shù)量、分布、組件應(yīng)用以及漏洞、威脅資產(chǎn)進(jìn)行深入的態(tài)勢(shì)感知及告警, 實(shí)現(xiàn)資產(chǎn)、漏洞的安全監(jiān)測(cè)。
(3) 預(yù)警違規(guī)外聯(lián)、數(shù)據(jù)泄密隱患場(chǎng)景: 自動(dòng)發(fā)現(xiàn)管理網(wǎng)內(nèi)同時(shí)連接內(nèi)網(wǎng)和互聯(lián)網(wǎng)的設(shè)備, 上報(bào)設(shè)備內(nèi)網(wǎng)IP地址、互聯(lián)網(wǎng)出口IP地址、外聯(lián)時(shí)間及訪問(wèn)的網(wǎng)址。自動(dòng)發(fā)現(xiàn)內(nèi)網(wǎng)環(huán)境下連通互聯(lián)網(wǎng)的風(fēng)險(xiǎn)設(shè)備點(diǎn), 上報(bào)設(shè)備信息, 及時(shí)預(yù)警。
(4) 資產(chǎn)管理評(píng)估場(chǎng)景: 監(jiān)控資產(chǎn)設(shè)備使用規(guī)范性; 發(fā)現(xiàn)企業(yè)內(nèi)部的違規(guī)性行為; 精準(zhǔn)推送資產(chǎn)漏洞并結(jié)合特制漏洞專掃、弱口令專掃等, 實(shí)現(xiàn)區(qū)域內(nèi)網(wǎng)絡(luò)資產(chǎn)合規(guī)性、違規(guī)性、存活性、脆弱性的綜合檢測(cè)與評(píng)估。
(5) 網(wǎng)絡(luò)空間反欺詐場(chǎng)景: 繪制網(wǎng)絡(luò)空間上設(shè)備的網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)絡(luò)連接關(guān)系圖, 給各設(shè)備的畫(huà)像; 結(jié)合風(fēng)控理論, 在反欺詐和黑灰產(chǎn)發(fā)現(xiàn)的實(shí)踐中, 為電商、支付、在線信貸等行業(yè)提供精準(zhǔn)的身份識(shí)別。
網(wǎng)絡(luò)空間服務(wù)是指網(wǎng)絡(luò)空間軟件設(shè)施中的各種泛在應(yīng)用, 其中最典型的一種應(yīng)用就是網(wǎng)站。網(wǎng)絡(luò)空間服務(wù)包含內(nèi)在的屬性和外延的關(guān)系, 其中屬性又可以分為功能屬性和非功能屬性, 功能屬性包括服務(wù)IP地址, 服務(wù)內(nèi)容, 服務(wù)提供者, 服務(wù)協(xié)議, 服務(wù)狀態(tài), 服務(wù)使用者等。非功能屬性包括服務(wù)性能(吞吐量和延遲), 服務(wù)可靠性, 服務(wù)價(jià)格等。關(guān)系主要包括服務(wù)之間的關(guān)系和服務(wù)與使用者之間的關(guān)系。
網(wǎng)絡(luò)空間服務(wù)具有隱匿化, 小眾化和加密化的特點(diǎn), 網(wǎng)絡(luò)空間服務(wù)測(cè)繪的目標(biāo)就是利用主被動(dòng)協(xié)同探測(cè)和智能分析手段, 發(fā)現(xiàn)動(dòng)態(tài)、時(shí)變、隱匿的服務(wù)屬性和關(guān)系, 通過(guò)“地圖”的方式進(jìn)行可視化展示,以支撐網(wǎng)絡(luò)空間安全的各種應(yīng)用。基于DAVA Loop循環(huán)的服務(wù)測(cè)繪體系結(jié)構(gòu)包括以下方面:
1) 服務(wù)數(shù)據(jù)探測(cè)
主被動(dòng)協(xié)同測(cè)量主要分為主動(dòng)探測(cè)和被動(dòng)監(jiān)測(cè)。其中, 主動(dòng)探測(cè)基于服務(wù)指紋構(gòu)造特定的探測(cè)請(qǐng)求, 通過(guò)接收探測(cè)包流經(jīng)網(wǎng)絡(luò)時(shí)各網(wǎng)絡(luò)參與者或探測(cè)目標(biāo)的響應(yīng)來(lái)獲得測(cè)量結(jié)果; 通過(guò)主動(dòng)探測(cè), 可探測(cè)得到服務(wù)功能、服務(wù)性能、服務(wù)質(zhì)量、服務(wù)指紋等。被動(dòng)監(jiān)測(cè)基于服務(wù)指紋在網(wǎng)絡(luò)流量中進(jìn)行匹配, 然后對(duì)匹配命中結(jié)果進(jìn)行過(guò)濾和統(tǒng)計(jì); 通過(guò)被動(dòng)監(jiān)測(cè), 可獲取高速流量、進(jìn)行協(xié)議識(shí)別和字段解析、IDS/IPS日志匯聚等。
2) 同源服務(wù)關(guān)聯(lián)分析
在主被動(dòng)測(cè)量數(shù)據(jù)下, 利用同源服務(wù)的內(nèi)容、品牌、結(jié)構(gòu)相似的特點(diǎn), 發(fā)現(xiàn)獨(dú)有的數(shù)據(jù)特征和服務(wù)之間的相互關(guān)系, 進(jìn)行數(shù)據(jù)的交叉驗(yàn)證和關(guān)聯(lián)映射,形成對(duì)同源服務(wù)的高精度識(shí)別框架。這里的同源服務(wù)是指服務(wù)內(nèi)容相同或者相似的服務(wù)。
關(guān)聯(lián)分析模塊首先利用極大似然估計(jì)法和多重插補(bǔ)方法對(duì)測(cè)量結(jié)果進(jìn)行真值判定并且對(duì)缺失屬性值進(jìn)行填充。接著對(duì)同源服務(wù)進(jìn)行聚類。最后對(duì)服務(wù)關(guān)系進(jìn)行挖掘, 最終生成包括服務(wù)實(shí)體, 服務(wù)關(guān)系, 服務(wù)屬性和服務(wù)類別的服務(wù)知識(shí)庫(kù)。
3) 服務(wù)知識(shí)庫(kù)可視化
該模塊采用文本可視化、網(wǎng)絡(luò)可視化和時(shí)空可視化對(duì)服務(wù)知識(shí)庫(kù)進(jìn)行展示, 并且通過(guò)網(wǎng)絡(luò)空間坐標(biāo)系, 以“地圖”的形式呈現(xiàn)特定區(qū)域的服務(wù)畫(huà)像。
服務(wù)畫(huà)像包括基礎(chǔ)屬性、網(wǎng)絡(luò)屬性、位置屬性、通聯(lián)屬性等。例如基礎(chǔ)屬性包括企業(yè)法人、主辦單位名稱、網(wǎng)站備案/許可證號(hào)、網(wǎng)站名稱、網(wǎng)站首頁(yè)網(wǎng)址等; 網(wǎng)絡(luò)屬性包括網(wǎng)站IP、網(wǎng)站域名、AS號(hào)碼等; 位置屬性包括國(guó)家、區(qū)域代碼、所在地、經(jīng)緯度、地址等; 通聯(lián)屬性包括外鏈網(wǎng)址, 服務(wù)使用者IP等。服務(wù)信息在時(shí)空范圍內(nèi)可與其他資源信息等疊加,按需展示關(guān)注點(diǎn)。
4) 服務(wù)測(cè)繪應(yīng)用
根據(jù)服務(wù)測(cè)繪地圖, 面向不同的業(yè)務(wù)場(chǎng)景, 應(yīng)用不同的層次數(shù)據(jù), 提供決策支持, 并通過(guò)迭代演進(jìn)使得服務(wù)測(cè)繪能力不斷提升。典型應(yīng)用場(chǎng)景如下:
(1) 特定服務(wù)發(fā)現(xiàn)和識(shí)別場(chǎng)景: 通過(guò)主動(dòng)掃描、流量監(jiān)控等多種探測(cè)方式, 獲取特定服務(wù)的信息。對(duì)關(guān)注區(qū)域內(nèi)的特定服務(wù)進(jìn)行分析與統(tǒng)計(jì), 便于安全監(jiān)管部門(mén)。
(2) 區(qū)域服務(wù)狀態(tài)評(píng)估場(chǎng)景: 繪制網(wǎng)絡(luò)空間上服務(wù)影響范圍狀態(tài)圖, 在網(wǎng)絡(luò)攻防的實(shí)踐中, 為網(wǎng)絡(luò)靶場(chǎng)等應(yīng)用提供精準(zhǔn)的攻擊效果評(píng)估。
(3) 特定服務(wù)的用戶分析場(chǎng)景: 繪制網(wǎng)絡(luò)空間上服務(wù)和用戶的連接關(guān)系圖, 對(duì)特定服務(wù)的用戶以及潛在用戶進(jìn)行群體分析。
(4) 特定用戶的服務(wù)推薦場(chǎng)景: 繪制網(wǎng)絡(luò)空間上服務(wù)和服務(wù)的連接關(guān)系圖, 對(duì)特定用戶進(jìn)行服務(wù)推薦。
面向新時(shí)代網(wǎng)絡(luò)空間技術(shù)的應(yīng)用需求, 傳統(tǒng)的網(wǎng)絡(luò)測(cè)量技術(shù)逐漸發(fā)展為對(duì)網(wǎng)絡(luò)空間各類資源的發(fā)現(xiàn)、分析和展示(即網(wǎng)絡(luò)空間資源測(cè)繪)技術(shù)??傮w而言, 網(wǎng)絡(luò)空間資源測(cè)繪的相關(guān)研究還處于起步階段,缺乏對(duì)網(wǎng)絡(luò)空間資源測(cè)繪概念的統(tǒng)一認(rèn)知, 尚未建立一套完整的網(wǎng)絡(luò)空間資源理論模型和技術(shù)體系。
本文首先介紹了網(wǎng)絡(luò)空間、網(wǎng)絡(luò)空間資源及網(wǎng)絡(luò)空間資源測(cè)繪等概念的內(nèi)涵和外延, 提出了網(wǎng)絡(luò)空間資源的分類體系和屬性圖譜; 然后,提出了網(wǎng)絡(luò)空間資源測(cè)繪的通用技術(shù)體系(DAVA Loop), 并對(duì)“探測(cè)”、“分析”、“繪制”等關(guān)鍵技術(shù)的研究思路和相關(guān)工作進(jìn)行了綜述和探討; 最后, 基于該技術(shù)體系的基本框架, 以網(wǎng)絡(luò)資產(chǎn)評(píng)估和服務(wù)測(cè)繪為具體應(yīng)用場(chǎng)景, 分析了技術(shù)體系的有效性。網(wǎng)絡(luò)空間資源測(cè)繪領(lǐng)域存在大量的理論和技術(shù)問(wèn)題, 需要我們進(jìn)一步探討和研究。在未來(lái)工作中, 我們將圍繞“協(xié)同探測(cè)”、“融合分析”和“全息繪制”開(kāi)展更加深入和具體的研究工作。
致謝本課題得到國(guó)家重點(diǎn)研發(fā)計(jì)劃“網(wǎng)絡(luò)空間測(cè)繪”項(xiàng)目(2016YFB0801300)資助。