面向電力行業(yè)的網(wǎng)絡(luò)空間地圖技術(shù)研究*

許勇剛，王利斌，楊 陽，胡宇宣，尹 琴

(國網(wǎng)思極網(wǎng)安科技(北京)有限公司，北京 102209)

0 引言

在現(xiàn)今世界不穩(wěn)定因素日益增多、國際關(guān)系復(fù)雜化的大局下，我國電力網(wǎng)絡(luò)如何有效識(shí)別邊界資產(chǎn)(已知資產(chǎn)和未知資產(chǎn))并進(jìn)行資產(chǎn)畫像，如何對已知資產(chǎn)涉及的空間要素進(jìn)行分類展示，如何對未知資產(chǎn)可信值進(jìn)行計(jì)算，網(wǎng)絡(luò)空間和現(xiàn)實(shí)空間的地圖如何映射？針對以上問題，本文提出以電力關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)和重要目標(biāo)網(wǎng)絡(luò)為主要探測對象，實(shí)時(shí)地掌握網(wǎng)絡(luò)的重要對象、節(jié)點(diǎn)屬性、存活狀態(tài)、基礎(chǔ)服務(wù)、拓?fù)浣Y(jié)構(gòu)等深度信息，結(jié)合未知資產(chǎn)的可信度，實(shí)現(xiàn)電力行業(yè)網(wǎng)絡(luò)空間資產(chǎn)的數(shù)據(jù)分析展示，及構(gòu)建電力網(wǎng)絡(luò)的網(wǎng)絡(luò)空間地圖的目的。

1 國內(nèi)外研究現(xiàn)狀

1.1 國外研究現(xiàn)狀

境外網(wǎng)站探測主要以SHODAN系統(tǒng)為主，SHODAN是John Matherly在大學(xué)期間開發(fā)的網(wǎng)絡(luò)空間搜索引擎，2008年開始，美國國土安全部(DHS)SHINE(SHodan INtelligence Extraction)計(jì) 劃 的 推 動(dòng)，使 得SHODAN對工控設(shè)備的識(shí)別能力大大提高，現(xiàn)在其主要的業(yè)務(wù)模式如圖1所示。SHODAN系統(tǒng)對電力行業(yè)的分析是通過協(xié)議(BACNET/HAVC)或產(chǎn)品制造商角度來進(jìn)行的。

圖1 SHODAN示例圖

以電網(wǎng)、電力、能源及相關(guān)域名作為關(guān)鍵詞在SHODAN系統(tǒng)上進(jìn)行檢索，可發(fā)現(xiàn)數(shù)據(jù)量如表1所示(數(shù)據(jù)均只取中國境內(nèi)數(shù)據(jù)，檢索數(shù)量總量未剔除臟數(shù)據(jù)，真實(shí)數(shù)據(jù)量約占比為71%)。

表1 境外平臺(tái)數(shù)據(jù)表

根據(jù)《電力系統(tǒng)數(shù)據(jù)通信網(wǎng)IP地址規(guī)劃分析》可以得知，國家電網(wǎng)公司為各省網(wǎng)絡(luò)設(shè)備和互聯(lián)網(wǎng)地址規(guī)劃4個(gè)IPv4 B類地址段(含預(yù)留2個(gè)IPv4 B類地址段)，預(yù)期國家電網(wǎng)單個(gè)省公司分配262 136個(gè)IPv4地址，預(yù)留131 068個(gè)IPv4地址[1]，電力網(wǎng)絡(luò)內(nèi)僅國家電網(wǎng)公司數(shù)據(jù)通信網(wǎng)內(nèi)已經(jīng)使用50個(gè)IPv4 B類地址段(50個(gè)IPv4 B類預(yù)留地址段僅能夠作為新增業(yè)務(wù)系統(tǒng)應(yīng)急使用)[2]，據(jù)此數(shù)據(jù)估算，SHODAN系統(tǒng)檢索資產(chǎn)與實(shí)際資產(chǎn)相差甚遠(yuǎn)，并且SHODAN系統(tǒng)無法識(shí)別國內(nèi)主流應(yīng)用，無法根據(jù)行業(yè)分類準(zhǔn)確檢索電力行業(yè)的資產(chǎn)數(shù)量，這也是迫在眉睫需要解決的問題。

1.2 國內(nèi)研究現(xiàn)狀

國內(nèi)網(wǎng)絡(luò)測繪產(chǎn)品主要聚焦在互聯(lián)網(wǎng)側(cè)的資產(chǎn)發(fā)現(xiàn)，通過探測引擎實(shí)現(xiàn)對互聯(lián)網(wǎng)資產(chǎn)存活狀態(tài)及指紋信息的快速探測，如針對國內(nèi)主流設(shè)備(例如TP-link、D-link等)、應(yīng)用(例如用友OA、泛微OA等)等進(jìn)行探測。但是國內(nèi)網(wǎng)絡(luò)測繪產(chǎn)品缺少針對電力行業(yè)的行業(yè)指紋、行業(yè)協(xié)議、行業(yè)端口等行業(yè)模塊的探測，也缺乏對電力行業(yè)所屬的供應(yīng)商分析，仍有指紋識(shí)別性能低，無法全面、動(dòng)態(tài)感知電力行業(yè)網(wǎng)絡(luò)資源等問題。針對國內(nèi)主流的檢索系統(tǒng)進(jìn)行數(shù)據(jù)分析，其中數(shù)據(jù)量如表2所示(數(shù)據(jù)均只取中國境內(nèi)數(shù)據(jù)，檢索數(shù)量總量未剔除臟數(shù)據(jù)，真實(shí)數(shù)據(jù)量約占比為68%)。

表2 國內(nèi)平臺(tái)數(shù)據(jù)表

除了通信數(shù)據(jù)網(wǎng)與調(diào)度數(shù)據(jù)網(wǎng)等傳統(tǒng)資產(chǎn)對IP地址使用之外，電力網(wǎng)絡(luò)新業(yè)務(wù)還占據(jù)有海量的IP地址，這些新業(yè)務(wù)集中在云計(jì)算、物聯(lián)網(wǎng)應(yīng)用系統(tǒng)、電網(wǎng)公司工作人員電子終端等方面，而根據(jù)《國家電網(wǎng)公司下一代互聯(lián)網(wǎng)地址需求量分析》[2]，新業(yè)務(wù)IP預(yù)期約為241個(gè)，而這些資產(chǎn)的梳理畫像是互聯(lián)網(wǎng)側(cè)畫像中容易被遺漏的部分。

2 研究理念

本文研究電力網(wǎng)絡(luò)空間下已知資產(chǎn)、未知資產(chǎn)分布，并對其進(jìn)行指紋探測分析，針對電力行業(yè)網(wǎng)絡(luò)體系架構(gòu)，分析電力行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)特征，研究電力行業(yè)網(wǎng)絡(luò)資源測繪的地圖，通過大型行業(yè)專網(wǎng)結(jié)構(gòu)下的典型數(shù)據(jù)測繪規(guī)范，達(dá)到對電力行業(yè)網(wǎng)絡(luò)地圖標(biāo)準(zhǔn)化測繪、規(guī)范化管理、高效化應(yīng)用的效果。

網(wǎng)絡(luò)空間復(fù)雜多變，單一探測手段或分析方法難以獲取和還原電力網(wǎng)絡(luò)資產(chǎn)源信息。要完整標(biāo)識(shí)一個(gè)IP地址的多維屬性，并明確標(biāo)識(shí)未知IP地址與電力網(wǎng)絡(luò)相關(guān)的可信度，需要對目標(biāo)進(jìn)行多維度的探測分析，當(dāng)面向大規(guī)模網(wǎng)絡(luò)探測時(shí)，優(yōu)化探測算法、可信算法和數(shù)據(jù)模型對提高效率顯得尤為重要，在此基礎(chǔ)上還需要突破網(wǎng)絡(luò)傳輸質(zhì)量的自適應(yīng)目標(biāo)探測的相關(guān)技術(shù)。本文涉及的研究方法主要針對電力資產(chǎn)(可見資產(chǎn)和未知資產(chǎn))進(jìn)行探測，對未知資產(chǎn)的可信度進(jìn)行識(shí)別，對已知資產(chǎn)多維度信息進(jìn)行展示，并根據(jù)已知資產(chǎn)和未知資產(chǎn)的網(wǎng)絡(luò)空間要素、空間特征結(jié)合地理空間進(jìn)行資產(chǎn)地圖的繪制。

3 研究方法

3.1 電力行業(yè)未知資產(chǎn)可信度識(shí)別技術(shù)

電力行業(yè)資產(chǎn)分為可見資產(chǎn)和未知資產(chǎn)，可見資產(chǎn)是指通過IP地址段、備案域名、ICP備案、證書等強(qiáng)相關(guān)信息可以明確標(biāo)識(shí)為電力行業(yè)資產(chǎn)，例如:*.s***.com.cn。未知資產(chǎn)是沒有明確標(biāo)識(shí)，但是可以根據(jù)ICO標(biāo)簽或者設(shè)備供應(yīng)鏈、集團(tuán)下屬的分子公司，判斷為電力行業(yè)內(nèi)的相關(guān)資產(chǎn)，這樣就需要對資產(chǎn)數(shù)據(jù)可信度[3]進(jìn)行判別，可信度越高，代表電力行業(yè)資產(chǎn)是目標(biāo)資產(chǎn)的可能性越高。針對電力行業(yè)資產(chǎn)數(shù)據(jù)可信度本文進(jìn)行如下公式計(jì)算(以設(shè)定關(guān)鍵條目出現(xiàn)的總次數(shù)為20次舉例)：

其中，DC為數(shù)據(jù)可信度(Data Credibility)，其通過四個(gè)部分進(jìn)行計(jì)算，其中包括第一可信區(qū)域Fi，觸發(fā)第一可信區(qū)域的關(guān)鍵條目次數(shù)為n，對第一可信區(qū)域涉及的不同關(guān)鍵條目代表的可信值(Da)求均值，并以關(guān)鍵條目出現(xiàn)的次數(shù)作為冪次(X)，對基礎(chǔ)可信值(基礎(chǔ)可信值默認(rèn)為1)乘0.8加上第一可信區(qū)域的條目可信值計(jì)算，可得知第一可信區(qū)域的可信值。

針對第二可信區(qū)域Se，對涉及到的不同關(guān)鍵條目代表的可信值(Ds)求均值，并以關(guān)鍵條目出現(xiàn)的次數(shù)作為冪次(Y)，對基礎(chǔ)可信值(基礎(chǔ)可信值默認(rèn)為1)乘0.8加上第二可信區(qū)域的條目可信值計(jì)算，可得知第二可信區(qū)域的可信值。第三可信區(qū)域同理可得。

針對未涉及可信區(qū)域En，通過總條目數(shù)減去第一、第二、第三可信區(qū)域命中條目，將已剩余條目數(shù)量作為冪次，對基礎(chǔ)可信值(基礎(chǔ)可信值默認(rèn)為1)乘0.8減去未涉及區(qū)域的條目可信值計(jì)算，可得未涉及可信區(qū)域的可信值。

最終的數(shù)據(jù)可信度是由第一可信區(qū)域、第二可信區(qū)域、第三可信區(qū)域以及未涉及可信區(qū)域取均值，數(shù)據(jù)可信度數(shù)值在[5，+∞)認(rèn)為是可信資產(chǎn)，可以計(jì)入電力行業(yè)資產(chǎn)范圍；數(shù)據(jù)可信度數(shù)值在[3，5)認(rèn)為是第一可信區(qū)間資產(chǎn)，核驗(yàn)后的確信資產(chǎn)標(biāo)記可以計(jì)入電力行業(yè)資產(chǎn)；數(shù)據(jù)可信度數(shù)值在[2，3)認(rèn)為是第二可信區(qū)間資產(chǎn)，人工二次核驗(yàn)后的確信資產(chǎn)標(biāo)記可以計(jì)入電力行業(yè)資產(chǎn)；數(shù)據(jù)可信度數(shù)值在[1，2)認(rèn)為是第三可信區(qū)間資產(chǎn)，資產(chǎn)備案信息完全核驗(yàn)后的確信資產(chǎn)標(biāo)記可以計(jì)入電力行業(yè)資產(chǎn)；數(shù)據(jù)可信度數(shù)值在[0，1)認(rèn)為是不可信資產(chǎn)，不計(jì)入電力行業(yè)資產(chǎn)范圍。

3.2 電力行業(yè)已知資產(chǎn)相關(guān)空間要素探測

電力行業(yè)已知資產(chǎn)相關(guān)空間要素繁多，通常同一域名上不同路徑可能有數(shù)十個(gè)不同的訪問站點(diǎn)，并對應(yīng)數(shù)十個(gè)系統(tǒng)或設(shè)備，而每個(gè)系統(tǒng)又可能會(huì)從硬件層到業(yè)務(wù)層匹配不同的空間要素。針對同一個(gè)域名在不同路徑、不同端口情況下存在不同業(yè)務(wù)系統(tǒng)的情況，以單一IP/域名為基礎(chǔ)節(jié)點(diǎn)來分析，單一IP/域名包含端口、路徑、服務(wù)、協(xié)議、組件、組件版本、設(shè)備類型、廠商名稱、設(shè)備信息、型號(hào)、操作系統(tǒng)、系統(tǒng)版本、電力行業(yè)標(biāo)簽、所屬組織、網(wǎng)站內(nèi)容、域名、國家、省、市、縣、主機(jī)名稱、運(yùn)營商、經(jīng)度、緯度、狀態(tài)等多維度信息內(nèi)容，通過對協(xié)議進(jìn)行分類處理，抽取共性匹配字段進(jìn)行展示。由于電力行業(yè)信息資產(chǎn)80%以上的目標(biāo)采用HTTP/HTTPS協(xié)議，針對其HTTP/HTTPS協(xié)議進(jìn)行了全面的關(guān)鍵字提取，包括并不限于電力行業(yè)信息資產(chǎn)涉及的行業(yè)特色協(xié)議、報(bào)文信息等?；贏C多模匹配算法(Aho-Corasick Automaton)使得一份數(shù)據(jù)可同時(shí)對數(shù)百個(gè)甚至數(shù)千個(gè)規(guī)則的特征進(jìn)行比對，能夠快速在行業(yè)專屬庫中識(shí)別對應(yīng)的數(shù)據(jù)關(guān)系。源數(shù)據(jù)處理方法分為以下幾種：

(1)將不同路徑、不同端口上的信息進(jìn)行數(shù)據(jù)裁剪后，針對核心數(shù)據(jù)進(jìn)行展示；

(2)將不同路徑、不同端口上的信息按照枚舉的模式分類展示；

(3)將數(shù)據(jù)按照分級(jí)分類的方法，構(gòu)造樹形數(shù)據(jù)結(jié)構(gòu)，將不同路徑、不同端口的信息形成樹形結(jié)構(gòu)的第一級(jí)結(jié)構(gòu)，然后將第一級(jí)結(jié)構(gòu)涉及的組件、協(xié)議、操作系統(tǒng)等信息形成第二級(jí)結(jié)構(gòu)，剩余信息形成樹形結(jié)構(gòu)的第三級(jí)結(jié)構(gòu)。

本文主要是通過對第三級(jí)數(shù)據(jù)結(jié)構(gòu)進(jìn)行處理，展示數(shù)據(jù)源于空間要素的樹形結(jié)構(gòu)。

3.3 電力行業(yè)網(wǎng)絡(luò)空間地圖繪制

電力行業(yè)的資產(chǎn)地圖繪制不同于常規(guī)網(wǎng)絡(luò)拓?fù)?，專指描繪電力行業(yè)網(wǎng)絡(luò)空間節(jié)點(diǎn)及空間要素特征與地理空間的映射關(guān)系圖[4]。依據(jù)節(jié)點(diǎn)可視化映射時(shí)所基于的空間相對特征信息類型，可將電力行業(yè)網(wǎng)絡(luò)空間節(jié)點(diǎn)(已知資產(chǎn)/未知資產(chǎn))進(jìn)行鏈接，實(shí)現(xiàn)鏈接就需要將網(wǎng)絡(luò)中信息要素和傳遞要素特征轉(zhuǎn)為數(shù)字化描述，要素的空間特征相對地理空間要素表現(xiàn)得更為抽象和復(fù)雜。針對電力行業(yè)資產(chǎn)地圖繪制[5]，除了考慮到網(wǎng)絡(luò)空間要素、空間特征之外，還需要將地理空間要素和網(wǎng)絡(luò)空間要素之間通過約束關(guān)系形成堆疊，也就是地理空間的地形地貌、交通、港口等信息需要和網(wǎng)絡(luò)空間中安全設(shè)備、路由設(shè)備、交換設(shè)備等傳輸介質(zhì)之間形成基本約束關(guān)系，網(wǎng)絡(luò)空間的傳輸介質(zhì)和地理空間的地形地貌形成資產(chǎn)繪制的底圖，在底圖上填充網(wǎng)絡(luò)空間要素就形成電力行業(yè)的網(wǎng)空地圖繪制，如圖2模型所示[6-9]。

圖2 網(wǎng)絡(luò)地圖基本模型

模型第一層是電力行業(yè)地理空間要素圖，依據(jù)行業(yè)內(nèi)實(shí)際覆蓋范圍以及服務(wù)對象來確定必要的地理空間要素，例如樓宇位置、關(guān)鍵設(shè)施、交通、地貌、居民地、港口等。地理空間要素圖作為網(wǎng)絡(luò)空間地圖的底圖將與糾纏約束關(guān)系圖、網(wǎng)絡(luò)空間要素圖共同形成電力行業(yè)網(wǎng)絡(luò)空間地圖。

模型第二層是電力行業(yè)地理空間與網(wǎng)絡(luò)空間關(guān)系圖，指網(wǎng)絡(luò)空間的業(yè)務(wù)系統(tǒng)對應(yīng)到地理空間的區(qū)域和分布結(jié)構(gòu)，例如s***.com，既對應(yīng)北京市**區(qū)**路**號(hào)，又對應(yīng)西安市**區(qū)**路**號(hào)和成都市**區(qū)**路**號(hào)。網(wǎng)絡(luò)空間的關(guān)鍵節(jié)點(diǎn)可能對應(yīng)地理空間多個(gè)要素。模型第二層的核心是將地理空間與網(wǎng)絡(luò)空間的“糾纏”關(guān)系、“約束”關(guān)系進(jìn)行體現(xiàn)。

模型第三層是電力行業(yè)網(wǎng)絡(luò)空間要素圖，依據(jù)空間特征可將網(wǎng)絡(luò)空間要素抽象為實(shí)體點(diǎn)要素、虛擬點(diǎn)要素、傳輸線要素和無形態(tài)要素，表3[10]是網(wǎng)絡(luò)空間要素所屬要素類型和空間特征的數(shù)字化描述，網(wǎng)絡(luò)空間節(jié)點(diǎn)和網(wǎng)絡(luò)空間要素間以鄰接、關(guān)聯(lián)和依賴形成結(jié)構(gòu)關(guān)系，基于要素的可信程度和要素“關(guān)系”的強(qiáng)弱弱化距離和方向的概念，強(qiáng)調(diào)網(wǎng)絡(luò)空間各節(jié)點(diǎn)要素中信息流轉(zhuǎn)的過程路徑和最終去向[11-15]。

表3 網(wǎng)絡(luò)空間要素對照表

4 實(shí)驗(yàn)分析

實(shí)驗(yàn)使用的網(wǎng)絡(luò)空間數(shù)據(jù)包括SHODAN系統(tǒng)和國內(nèi)測繪平臺(tái)中IP定位數(shù)據(jù)、互聯(lián)網(wǎng)拓?fù)鋽?shù)據(jù)等電力行業(yè)關(guān)鍵資產(chǎn)信息數(shù)據(jù)，如表4所示。

表4 SHODAN、國內(nèi)測繪平臺(tái)數(shù)據(jù)對照表

對上述數(shù)據(jù)去重后進(jìn)行二次分析，去重后數(shù)據(jù)共計(jì)380 122條，基于表4數(shù)據(jù)識(shí)別出來的電力行業(yè)資產(chǎn)進(jìn)行可信資產(chǎn)和未知資產(chǎn)劃分(按照可信區(qū)間進(jìn)行劃分)，數(shù)量分布如表5所示。

表5 可信資產(chǎn)梳理表

根據(jù)表5分析得知，可信資產(chǎn)占據(jù)總數(shù)據(jù)的0.22%，第一可信區(qū)間資產(chǎn)占據(jù)總數(shù)據(jù)的1.65%，第二可信區(qū)間資產(chǎn)占據(jù)總數(shù)據(jù)的5.21%，第三可信區(qū)間資產(chǎn)占據(jù)總數(shù)據(jù)的6.57%。

SHODAN系統(tǒng)和國內(nèi)測繪平臺(tái)資產(chǎn)中存在的未知資產(chǎn)可信度判別問題可以通過3.1節(jié)提及的方法解決，但就基礎(chǔ)數(shù)據(jù)源而言，SHODAN系統(tǒng)和國內(nèi)測繪平臺(tái)探測范圍僅為常見端口，對比電力行業(yè)中存在較多的非標(biāo)準(zhǔn)端口和高端口仍有不足，需要重新通過資產(chǎn)測繪的模式進(jìn)行探測。探測后對比SHODAN和國內(nèi)測繪平臺(tái)的檢測模式出現(xiàn)數(shù)據(jù)質(zhì)量和數(shù)量的變化，發(fā)現(xiàn)可信資產(chǎn)數(shù)量提升302%，第一可信區(qū)間資產(chǎn)數(shù)量提升226%，第二可信區(qū)間資產(chǎn)數(shù)量提升163%，第三可信區(qū)間資產(chǎn)數(shù)量提升159%。

將表6網(wǎng)絡(luò)測繪數(shù)據(jù)疊加到地理空間數(shù)據(jù)上進(jìn)行可視化表達(dá)，實(shí)現(xiàn)地理與網(wǎng)絡(luò)空間在疊加狀態(tài)下繪制電力行業(yè)網(wǎng)絡(luò)空間地圖，依據(jù)網(wǎng)絡(luò)空間地圖層次模型，結(jié)合可信資產(chǎn)梳理范圍。以可信資產(chǎn)在銅川市分布情況為例，網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與遙感影像圖疊加形成的網(wǎng)絡(luò)空間地圖如圖3所示。以資產(chǎn)在銅川市分布情況為例，網(wǎng)絡(luò)空間資產(chǎn)可信全要素圖與路圖疊加形成的網(wǎng)絡(luò)空間地圖如圖4所示。網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與樓宇圖形成的網(wǎng)絡(luò)空間地圖如圖5所示。

圖4 網(wǎng)絡(luò)空間資產(chǎn)可信全要素圖與路圖的疊加

圖5 網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與樓宇圖

表6 資產(chǎn)探測表

圖3 網(wǎng)絡(luò)空間可信資產(chǎn)要素圖與遙感影像圖的疊加

5 結(jié)論

在網(wǎng)絡(luò)空間防護(hù)體系中，網(wǎng)絡(luò)空間地圖面向全網(wǎng)資產(chǎn)，具有最廣闊的目標(biāo)范圍和最接近實(shí)戰(zhàn)的安全視角，可為威脅感知、快速預(yù)警和綜合防御提供重要支撐。針對電力行業(yè)網(wǎng)絡(luò)特點(diǎn)(數(shù)量大、類型多、動(dòng)態(tài)持續(xù)變化、信息繁雜且不規(guī)則、供應(yīng)鏈復(fù)雜等)，提出對未知資產(chǎn)的可信度分析，對已知資產(chǎn)的空間要素探測，形成網(wǎng)絡(luò)空間要素圖，以地理空間要素圖作為網(wǎng)絡(luò)空間地圖的底圖，結(jié)合糾纏約束關(guān)系圖、網(wǎng)絡(luò)空間要素圖共同形成電力行業(yè)網(wǎng)絡(luò)空間地圖。