許勇剛,王利斌,楊 陽,胡宇宣,尹 琴
(國網(wǎng)思極網(wǎng)安科技(北京)有限公司,北京 102209)
在現(xiàn)今世界不穩(wěn)定因素日益增多、國際關(guān)系復(fù)雜化的大局下,我國電力網(wǎng)絡(luò)如何有效識(shí)別邊界資產(chǎn)(已知資產(chǎn)和未知資產(chǎn))并進(jìn)行資產(chǎn)畫像,如何對已知資產(chǎn)涉及的空間要素進(jìn)行分類展示,如何對未知資產(chǎn)可信值進(jìn)行計(jì)算,網(wǎng)絡(luò)空間和現(xiàn)實(shí)空間的地圖如何映射?針對以上問題,本文提出以電力關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)和重要目標(biāo)網(wǎng)絡(luò)為主要探測對象,實(shí)時(shí)地掌握網(wǎng)絡(luò)的重要對象、節(jié)點(diǎn)屬性、存活狀態(tài)、基礎(chǔ)服務(wù)、拓?fù)浣Y(jié)構(gòu)等深度信息,結(jié)合未知資產(chǎn)的可信度,實(shí)現(xiàn)電力行業(yè)網(wǎng)絡(luò)空間資產(chǎn)的數(shù)據(jù)分析展示,及構(gòu)建電力網(wǎng)絡(luò)的網(wǎng)絡(luò)空間地圖的目的。
境外網(wǎng)站探測主要以SHODAN系統(tǒng)為主,SHODAN是John Matherly在大學(xué)期間開發(fā)的網(wǎng)絡(luò)空間搜索引擎,2008年開始,美國國土安全部(DHS)SHINE(SHodan INtelligence Extraction)計(jì) 劃 的 推 動(dòng),使 得SHODAN對工控設(shè)備的識(shí)別能力大大提高,現(xiàn)在其主要的業(yè)務(wù)模式如圖1所示。SHODAN系統(tǒng)對電力行業(yè)的分析是通過協(xié)議(BACNET/HAVC)或產(chǎn)品制造商角度來進(jìn)行的。
圖1 SHODAN示例圖
以電網(wǎng)、電力、能源及相關(guān)域名作為關(guān)鍵詞在SHODAN系統(tǒng)上進(jìn)行檢索,可發(fā)現(xiàn)數(shù)據(jù)量如表1所示(數(shù)據(jù)均只取中國境內(nèi)數(shù)據(jù),檢索數(shù)量總量未剔除臟數(shù)據(jù),真實(shí)數(shù)據(jù)量約占比為71%)。
表1 境外平臺(tái)數(shù)據(jù)表
根據(jù)《電力系統(tǒng)數(shù)據(jù)通信網(wǎng)IP地址規(guī)劃分析》可以得知,國家電網(wǎng)公司為各省網(wǎng)絡(luò)設(shè)備和互聯(lián)網(wǎng)地址規(guī)劃4個(gè)IPv4 B類地址段(含預(yù)留2個(gè)IPv4 B類地址段),預(yù)期國家電網(wǎng)單個(gè)省公司分配262 136個(gè)IPv4地址,預(yù)留131 068個(gè)IPv4地址[1],電力網(wǎng)絡(luò)內(nèi)僅國家電網(wǎng)公司數(shù)據(jù)通信網(wǎng)內(nèi)已經(jīng)使用50個(gè)IPv4 B類地址段(50個(gè)IPv4 B類預(yù)留地址段僅能夠作為新增業(yè)務(wù)系統(tǒng)應(yīng)急使用)[2],據(jù)此數(shù)據(jù)估算,SHODAN系統(tǒng)檢索資產(chǎn)與實(shí)際資產(chǎn)相差甚遠(yuǎn),并且SHODAN系統(tǒng)無法識(shí)別國內(nèi)主流應(yīng)用,無法根據(jù)行業(yè)分類準(zhǔn)確檢索電力行業(yè)的資產(chǎn)數(shù)量,這也是迫在眉睫需要解決的問題。
國內(nèi)網(wǎng)絡(luò)測繪產(chǎn)品主要聚焦在互聯(lián)網(wǎng)側(cè)的資產(chǎn)發(fā)現(xiàn),通過探測引擎實(shí)現(xiàn)對互聯(lián)網(wǎng)資產(chǎn)存活狀態(tài)及指紋信息的快速探測,如針對國內(nèi)主流設(shè)備(例如TP-link、D-link等)、應(yīng)用(例如用友OA、泛微OA等)等進(jìn)行探測。但是國內(nèi)網(wǎng)絡(luò)測繪產(chǎn)品缺少針對電力行業(yè)的行業(yè)指紋、行業(yè)協(xié)議、行業(yè)端口等行業(yè)模塊的探測,也缺乏對電力行業(yè)所屬的供應(yīng)商分析,仍有指紋識(shí)別性能低,無法全面、動(dòng)態(tài)感知電力行業(yè)網(wǎng)絡(luò)資源等問題。針對國內(nèi)主流的檢索系統(tǒng)進(jìn)行數(shù)據(jù)分析,其中數(shù)據(jù)量如表2所示(數(shù)據(jù)均只取中國境內(nèi)數(shù)據(jù),檢索數(shù)量總量未剔除臟數(shù)據(jù),真實(shí)數(shù)據(jù)量約占比為68%)。
表2 國內(nèi)平臺(tái)數(shù)據(jù)表
除了通信數(shù)據(jù)網(wǎng)與調(diào)度數(shù)據(jù)網(wǎng)等傳統(tǒng)資產(chǎn)對IP地址使用之外,電力網(wǎng)絡(luò)新業(yè)務(wù)還占據(jù)有海量的IP地址,這些新業(yè)務(wù)集中在云計(jì)算、物聯(lián)網(wǎng)應(yīng)用系統(tǒng)、電網(wǎng)公司工作人員電子終端等方面,而根據(jù)《國家電網(wǎng)公司下一代互聯(lián)網(wǎng)地址需求量分析》[2],新業(yè)務(wù)IP預(yù)期約為241個(gè),而這些資產(chǎn)的梳理畫像是互聯(lián)網(wǎng)側(cè)畫像中容易被遺漏的部分。
本文研究電力網(wǎng)絡(luò)空間下已知資產(chǎn)、未知資產(chǎn)分布,并對其進(jìn)行指紋探測分析,針對電力行業(yè)網(wǎng)絡(luò)體系架構(gòu),分析電力行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)特征,研究電力行業(yè)網(wǎng)絡(luò)資源測繪的地圖,通過大型行業(yè)專網(wǎng)結(jié)構(gòu)下的典型數(shù)據(jù)測繪規(guī)范,達(dá)到對電力行業(yè)網(wǎng)絡(luò)地圖標(biāo)準(zhǔn)化測繪、規(guī)范化管理、高效化應(yīng)用的效果。
網(wǎng)絡(luò)空間復(fù)雜多變,單一探測手段或分析方法難以獲取和還原電力網(wǎng)絡(luò)資產(chǎn)源信息。要完整標(biāo)識(shí)一個(gè)IP地址的多維屬性,并明確標(biāo)識(shí)未知IP地址與電力網(wǎng)絡(luò)相關(guān)的可信度,需要對目標(biāo)進(jìn)行多維度的探測分析,當(dāng)面向大規(guī)模網(wǎng)絡(luò)探測時(shí),優(yōu)化探測算法、可信算法和數(shù)據(jù)模型對提高效率顯得尤為重要,在此基礎(chǔ)上還需要突破網(wǎng)絡(luò)傳輸質(zhì)量的自適應(yīng)目標(biāo)探測的相關(guān)技術(shù)。本文涉及的研究方法主要針對電力資產(chǎn)(可見資產(chǎn)和未知資產(chǎn))進(jìn)行探測,對未知資產(chǎn)的可信度進(jìn)行識(shí)別,對已知資產(chǎn)多維度信息進(jìn)行展示,并根據(jù)已知資產(chǎn)和未知資產(chǎn)的網(wǎng)絡(luò)空間要素、空間特征結(jié)合地理空間進(jìn)行資產(chǎn)地圖的繪制。
電力行業(yè)資產(chǎn)分為可見資產(chǎn)和未知資產(chǎn),可見資產(chǎn)是指通過IP地址段、備案域名、ICP備案、證書等強(qiáng)相關(guān)信息可以明確標(biāo)識(shí)為電力行業(yè)資產(chǎn),例如:*.s***.com.cn。未知資產(chǎn)是沒有明確標(biāo)識(shí),但是可以根據(jù)ICO標(biāo)簽或者設(shè)備供應(yīng)鏈、集團(tuán)下屬的分子公司,判斷為電力行業(yè)內(nèi)的相關(guān)資產(chǎn),這樣就需要對資產(chǎn)數(shù)據(jù)可信度[3]進(jìn)行判別,可信度越高,代表電力行業(yè)資產(chǎn)是目標(biāo)資產(chǎn)的可能性越高。針對電力行業(yè)資產(chǎn)數(shù)據(jù)可信度本文進(jìn)行如下公式計(jì)算(以設(shè)定關(guān)鍵條目出現(xiàn)的總次數(shù)為20次舉例):
其中,DC為數(shù)據(jù)可信度(Data Credibility),其通過四個(gè)部分進(jìn)行計(jì)算,其中包括第一可信區(qū)域Fi,觸發(fā)第一可信區(qū)域的關(guān)鍵條目次數(shù)為n,對第一可信區(qū)域涉及的不同關(guān)鍵條目代表的可信值(Da)求均值,并以關(guān)鍵條目出現(xiàn)的次數(shù)作為冪次(X),對基礎(chǔ)可信值(基礎(chǔ)可信值默認(rèn)為1)乘0.8加上第一可信區(qū)域的條目可信值計(jì)算,可得知第一可信區(qū)域的可信值。
針對第二可信區(qū)域Se,對涉及到的不同關(guān)鍵條目代表的可信值(Ds)求均值,并以關(guān)鍵條目出現(xiàn)的次數(shù)作為冪次(Y),對基礎(chǔ)可信值(基礎(chǔ)可信值默認(rèn)為1)乘0.8加上第二可信區(qū)域的條目可信值計(jì)算,可得知第二可信區(qū)域的可信值。第三可信區(qū)域同理可得。
針對未涉及可信區(qū)域En,通過總條目數(shù)減去第一、第二、第三可信區(qū)域命中條目,將已剩余條目數(shù)量作為冪次,對基礎(chǔ)可信值(基礎(chǔ)可信值默認(rèn)為1)乘0.8減去未涉及區(qū)域的條目可信值計(jì)算,可得未涉及可信區(qū)域的可信值。
最終的數(shù)據(jù)可信度是由第一可信區(qū)域、第二可信區(qū)域、第三可信區(qū)域以及未涉及可信區(qū)域取均值,數(shù)據(jù)可信度數(shù)值在[5,+∞)認(rèn)為是可信資產(chǎn),可以計(jì)入電力行業(yè)資產(chǎn)范圍;數(shù)據(jù)可信度數(shù)值在[3,5)認(rèn)為是第一可信區(qū)間資產(chǎn),核驗(yàn)后的確信資產(chǎn)標(biāo)記可以計(jì)入電力行業(yè)資產(chǎn);數(shù)據(jù)可信度數(shù)值在[2,3)認(rèn)為是第二可信區(qū)間資產(chǎn),人工二次核驗(yàn)后的確信資產(chǎn)標(biāo)記可以計(jì)入電力行業(yè)資產(chǎn);數(shù)據(jù)可信度數(shù)值在[1,2)認(rèn)為是第三可信區(qū)間資產(chǎn),資產(chǎn)備案信息完全核驗(yàn)后的確信資產(chǎn)標(biāo)記可以計(jì)入電力行業(yè)資產(chǎn);數(shù)據(jù)可信度數(shù)值在[0,1)認(rèn)為是不可信資產(chǎn),不計(jì)入電力行業(yè)資產(chǎn)范圍。
電力行業(yè)已知資產(chǎn)相關(guān)空間要素繁多,通常同一域名上不同路徑可能有數(shù)十個(gè)不同的訪問站點(diǎn),并對應(yīng)數(shù)十個(gè)系統(tǒng)或設(shè)備,而每個(gè)系統(tǒng)又可能會(huì)從硬件層到業(yè)務(wù)層匹配不同的空間要素。針對同一個(gè)域名在不同路徑、不同端口情況下存在不同業(yè)務(wù)系統(tǒng)的情況,以單一IP/域名為基礎(chǔ)節(jié)點(diǎn)來分析,單一IP/域名包含端口、路徑、服務(wù)、協(xié)議、組件、組件版本、設(shè)備類型、廠商名稱、設(shè)備信息、型號(hào)、操作系統(tǒng)、系統(tǒng)版本、電力行業(yè)標(biāo)簽、所屬組織、網(wǎng)站內(nèi)容、域名、國家、省、市、縣、主機(jī)名稱、運(yùn)營商、經(jīng)度、緯度、狀態(tài)等多維度信息內(nèi)容,通過對協(xié)議進(jìn)行分類處理,抽取共性匹配字段進(jìn)行展示。由于電力行業(yè)信息資產(chǎn)80%以上的目標(biāo)采用HTTP/HTTPS協(xié)議,針對其HTTP/HTTPS協(xié)議進(jìn)行了全面的關(guān)鍵字提取,包括并不限于電力行業(yè)信息資產(chǎn)涉及的行業(yè)特色協(xié)議、報(bào)文信息等?;贏C多模匹配算法(Aho-Corasick Automaton)使得一份數(shù)據(jù)可同時(shí)對數(shù)百個(gè)甚至數(shù)千個(gè)規(guī)則的特征進(jìn)行比對,能夠快速在行業(yè)專屬庫中識(shí)別對應(yīng)的數(shù)據(jù)關(guān)系。源數(shù)據(jù)處理方法分為以下幾種:
(1)將不同路徑、不同端口上的信息進(jìn)行數(shù)據(jù)裁剪后,針對核心數(shù)據(jù)進(jìn)行展示;
(2)將不同路徑、不同端口上的信息按照枚舉的模式分類展示;
(3)將數(shù)據(jù)按照分級(jí)分類的方法,構(gòu)造樹形數(shù)據(jù)結(jié)構(gòu),將不同路徑、不同端口的信息形成樹形結(jié)構(gòu)的第一級(jí)結(jié)構(gòu),然后將第一級(jí)結(jié)構(gòu)涉及的組件、協(xié)議、操作系統(tǒng)等信息形成第二級(jí)結(jié)構(gòu),剩余信息形成樹形結(jié)構(gòu)的第三級(jí)結(jié)構(gòu)。
本文主要是通過對第三級(jí)數(shù)據(jù)結(jié)構(gòu)進(jìn)行處理,展示數(shù)據(jù)源于空間要素的樹形結(jié)構(gòu)。
電力行業(yè)的資產(chǎn)地圖繪制不同于常規(guī)網(wǎng)絡(luò)拓?fù)?,專指描繪電力行業(yè)網(wǎng)絡(luò)空間節(jié)點(diǎn)及空間要素特征與地理空間的映射關(guān)系圖[4]。依據(jù)節(jié)點(diǎn)可視化映射時(shí)所基于的空間相對特征信息類型,可將電力行業(yè)網(wǎng)絡(luò)空間節(jié)點(diǎn)(已知資產(chǎn)/未知資產(chǎn))進(jìn)行鏈接,實(shí)現(xiàn)鏈接就需要將網(wǎng)絡(luò)中信息要素和傳遞要素特征轉(zhuǎn)為數(shù)字化描述,要素的空間特征相對地理空間要素表現(xiàn)得更為抽象和復(fù)雜。針對電力行業(yè)資產(chǎn)地圖繪制[5],除了考慮到網(wǎng)絡(luò)空間要素、空間特征之外,還需要將地理空間要素和網(wǎng)絡(luò)空間要素之間通過約束關(guān)系形成堆疊,也就是地理空間的地形地貌、交通、港口等信息需要和網(wǎng)絡(luò)空間中安全設(shè)備、路由設(shè)備、交換設(shè)備等傳輸介質(zhì)之間形成基本約束關(guān)系,網(wǎng)絡(luò)空間的傳輸介質(zhì)和地理空間的地形地貌形成資產(chǎn)繪制的底圖,在底圖上填充網(wǎng)絡(luò)空間要素就形成電力行業(yè)的網(wǎng)空地圖繪制,如圖2模型所示[6-9]。
圖2 網(wǎng)絡(luò)地圖基本模型
模型第一層是電力行業(yè)地理空間要素圖,依據(jù)行業(yè)內(nèi)實(shí)際覆蓋范圍以及服務(wù)對象來確定必要的地理空間要素,例如樓宇位置、關(guān)鍵設(shè)施、交通、地貌、居民地、港口等。地理空間要素圖作為網(wǎng)絡(luò)空間地圖的底圖將與糾纏約束關(guān)系圖、網(wǎng)絡(luò)空間要素圖共同形成電力行業(yè)網(wǎng)絡(luò)空間地圖。
模型第二層是電力行業(yè)地理空間與網(wǎng)絡(luò)空間關(guān)系圖,指網(wǎng)絡(luò)空間的業(yè)務(wù)系統(tǒng)對應(yīng)到地理空間的區(qū)域和分布結(jié)構(gòu),例如s***.com,既對應(yīng)北京市**區(qū)**路**號(hào),又對應(yīng)西安市**區(qū)**路**號(hào)和成都市**區(qū)**路**號(hào)。網(wǎng)絡(luò)空間的關(guān)鍵節(jié)點(diǎn)可能對應(yīng)地理空間多個(gè)要素。模型第二層的核心是將地理空間與網(wǎng)絡(luò)空間的“糾纏”關(guān)系、“約束”關(guān)系進(jìn)行體現(xiàn)。
模型第三層是電力行業(yè)網(wǎng)絡(luò)空間要素圖,依據(jù)空間特征可將網(wǎng)絡(luò)空間要素抽象為實(shí)體點(diǎn)要素、虛擬點(diǎn)要素、傳輸線要素和無形態(tài)要素,表3[10]是網(wǎng)絡(luò)空間要素所屬要素類型和空間特征的數(shù)字化描述,網(wǎng)絡(luò)空間節(jié)點(diǎn)和網(wǎng)絡(luò)空間要素間以鄰接、關(guān)聯(lián)和依賴形成結(jié)構(gòu)關(guān)系,基于要素的可信程度和要素“關(guān)系”的強(qiáng)弱弱化距離和方向的概念,強(qiáng)調(diào)網(wǎng)絡(luò)空間各節(jié)點(diǎn)要素中信息流轉(zhuǎn)的過程路徑和最終去向[11-15]。
表3 網(wǎng)絡(luò)空間要素對照表
實(shí)驗(yàn)使用的網(wǎng)絡(luò)空間數(shù)據(jù)包括SHODAN系統(tǒng)和國內(nèi)測繪平臺(tái)中IP定位數(shù)據(jù)、互聯(lián)網(wǎng)拓?fù)鋽?shù)據(jù)等電力行業(yè)關(guān)鍵資產(chǎn)信息數(shù)據(jù),如表4所示。
表4 SHODAN、國內(nèi)測繪平臺(tái)數(shù)據(jù)對照表
對上述數(shù)據(jù)去重后進(jìn)行二次分析,去重后數(shù)據(jù)共計(jì)380 122條,基于表4數(shù)據(jù)識(shí)別出來的電力行業(yè)資產(chǎn)進(jìn)行可信資產(chǎn)和未知資產(chǎn)劃分(按照可信區(qū)間進(jìn)行劃分),數(shù)量分布如表5所示。
表5 可信資產(chǎn)梳理表
根據(jù)表5分析得知,可信資產(chǎn)占據(jù)總數(shù)據(jù)的0.22%,第一可信區(qū)間資產(chǎn)占據(jù)總數(shù)據(jù)的1.65%,第二可信區(qū)間資產(chǎn)占據(jù)總數(shù)據(jù)的5.21%,第三可信區(qū)間資產(chǎn)占據(jù)總數(shù)據(jù)的6.57%。
SHODAN系統(tǒng)和國內(nèi)測繪平臺(tái)資產(chǎn)中存在的未知資產(chǎn)可信度判別問題可以通過3.1節(jié)提及的方法解決,但就基礎(chǔ)數(shù)據(jù)源而言,SHODAN系統(tǒng)和國內(nèi)測繪平臺(tái)探測范圍僅為常見端口,對比電力行業(yè)中存在較多的非標(biāo)準(zhǔn)端口和高端口仍有不足,需要重新通過資產(chǎn)測繪的模式進(jìn)行探測。探測后對比SHODAN和國內(nèi)測繪平臺(tái)的檢測模式出現(xiàn)數(shù)據(jù)質(zhì)量和數(shù)量的變化,發(fā)現(xiàn)可信資產(chǎn)數(shù)量提升302%,第一可信區(qū)間資產(chǎn)數(shù)量提升226%,第二可信區(qū)間資產(chǎn)數(shù)量提升163%,第三可信區(qū)間資產(chǎn)數(shù)量提升159%。
將表6網(wǎng)絡(luò)測繪數(shù)據(jù)疊加到地理空間數(shù)據(jù)上進(jìn)行可視化表達(dá),實(shí)現(xiàn)地理與網(wǎng)絡(luò)空間在疊加狀態(tài)下繪制電力行業(yè)網(wǎng)絡(luò)空間地圖,依據(jù)網(wǎng)絡(luò)空間地圖層次模型,結(jié)合可信資產(chǎn)梳理范圍。以可信資產(chǎn)在銅川市分布情況為例,網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與遙感影像圖疊加形成的網(wǎng)絡(luò)空間地圖如圖3所示。以資產(chǎn)在銅川市分布情況為例,網(wǎng)絡(luò)空間資產(chǎn)可信全要素圖與路圖疊加形成的網(wǎng)絡(luò)空間地圖如圖4所示。網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與樓宇圖形成的網(wǎng)絡(luò)空間地圖如圖5所示。
圖4 網(wǎng)絡(luò)空間資產(chǎn)可信全要素圖與路圖的疊加
圖5 網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與樓宇圖
表6 資產(chǎn)探測表
圖3 網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與遙感影像圖的疊加
在網(wǎng)絡(luò)空間防護(hù)體系中,網(wǎng)絡(luò)空間地圖面向全網(wǎng)資產(chǎn),具有最廣闊的目標(biāo)范圍和最接近實(shí)戰(zhàn)的安全視角,可為威脅感知、快速預(yù)警和綜合防御提供重要支撐。針對電力行業(yè)網(wǎng)絡(luò)特點(diǎn)(數(shù)量大、類型多、動(dòng)態(tài)持續(xù)變化、信息繁雜且不規(guī)則、供應(yīng)鏈復(fù)雜等),提出對未知資產(chǎn)的可信度分析,對已知資產(chǎn)的空間要素探測,形成網(wǎng)絡(luò)空間要素圖,以地理空間要素圖作為網(wǎng)絡(luò)空間地圖的底圖,結(jié)合糾纏約束關(guān)系圖、網(wǎng)絡(luò)空間要素圖共同形成電力行業(yè)網(wǎng)絡(luò)空間地圖。