網(wǎng)絡(luò)空間測繪國內(nèi)外發(fā)展及現(xiàn)狀

在網(wǎng)絡(luò)空間測繪領(lǐng)域的起步階段，主要集中于理論和概念的研究，結(jié)合網(wǎng)絡(luò)測量技術(shù)和地理測繪知識,在資產(chǎn)探測、拓撲測量、IP定位層面逐步發(fā)展?，F(xiàn)階段更注重的是在海量多源異構(gòu)數(shù)據(jù)的基礎(chǔ)上進行信息同化和融合分析，根據(jù)不同應(yīng)用場景和需求，應(yīng)用可視化術(shù)，結(jié)合人工智能，對所有信息分門別類地進行展示。

在進行全網(wǎng)資產(chǎn)探測的同時，實現(xiàn)對網(wǎng)絡(luò)空間的態(tài)勢感知、規(guī)律探尋，致力將網(wǎng)絡(luò)空間、地理空間和社會空間進行相互映射，將虛擬、動態(tài)的網(wǎng)絡(luò)空間測繪成一份動態(tài)、實時、可靠、有效的網(wǎng)絡(luò)空間數(shù)據(jù)地圖，支撐監(jiān)管機構(gòu)、網(wǎng)絡(luò)安全部門、關(guān)鍵基礎(chǔ)設(shè)施行業(yè)、互聯(lián)網(wǎng)金融行業(yè)及互聯(lián)網(wǎng)廣告等典型行業(yè)應(yīng)用。簡單來說，網(wǎng)絡(luò)空間測繪通過拓撲探測與網(wǎng)絡(luò)資產(chǎn)探測兩種相結(jié)合的方式，最終繪制出一份“網(wǎng)絡(luò)空間地圖”。關(guān)于拓撲探測互聯(lián)網(wǎng)拓撲是由域(domain)構(gòu)成的層次結(jié)構(gòu)，一個自治系統(tǒng)(AS,AutonomousSystem)為一個域，由一個或多個IP地址前綴的子網(wǎng)構(gòu)成。各自治域內(nèi)可以運行一種或幾種不同的內(nèi)部網(wǎng)關(guān)協(xié)議，如OSPF協(xié)議、RIP協(xié)議、靜態(tài)路由和缺省路由來負責(zé)域內(nèi)的路由選擇。各域之間的路由主要是通過BGP協(xié)議來完成。因此，根據(jù)發(fā)現(xiàn)的不同層次來分，可將現(xiàn)有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)大致分為接口級、路由器級、PoP（PointofPresence）級和AS（AutonomousSystem，自治系統(tǒng)）級。在接口級拓撲中，每個節(jié)點表示路由器或主機上的IP地址，節(jié)點與IP地址一一對應(yīng)，節(jié)點之間的連線表示在網(wǎng)絡(luò)層上的兩個IP直接連接。路由器級拓撲是在接口級拓撲的基礎(chǔ)上，將同屬于一個路由器的IP地址進行歸并后形成的網(wǎng)絡(luò)拓撲，每個節(jié)點表示具有一個或多個接口的主機或路由器等網(wǎng)絡(luò)設(shè)備，兩個節(jié)點之間的邊表示兩個設(shè)備具有位于同一個IP廣播域中的接口。PoP級網(wǎng)絡(luò)拓撲是同屬于一個AS的多個路由器的集合,PoP在一個AS內(nèi)部形成骨干網(wǎng)絡(luò)，同時與其他AS內(nèi)的PoP連接，并對用戶提供網(wǎng)絡(luò)接入服務(wù)，此時網(wǎng)絡(luò)拓撲圖中的每個點表示一個PoP，兩個節(jié)點之間的連線表示兩個PoP之間有相互連接的路由器。在AS級的網(wǎng)絡(luò)拓撲中，每個節(jié)點表示一個AS，節(jié)點間的邊表示兩個AS之間存在業(yè)務(wù)關(guān)系，一個AS通常可覆蓋一整個地理區(qū)域，該區(qū)域內(nèi)的主要城市內(nèi)具有不同的PoP。由于接口級、路由器級以及PoP級網(wǎng)絡(luò)拓撲理論上可映射到范圍較小的地理位置，而AS級網(wǎng)絡(luò)拓撲更趨于邏輯上的概念，單個AS的覆蓋區(qū)域通常較大，相比之下，接口級、路由器級以及PoP級網(wǎng)絡(luò)拓撲更容易被理解，因此對接口級、路由器級和PoP級網(wǎng)絡(luò)拓撲研究得比較多。關(guān)于網(wǎng)絡(luò)資產(chǎn)探測1997年，F(xiàn)yodor發(fā)表文章《TheArtofPortScanning》，并發(fā)布Nmap（NetworkMapper）的第一個版本，標志著網(wǎng)絡(luò)資產(chǎn)探測技術(shù)開始。ShahS提出了通過服務(wù)標識（Banner）來識別Web服務(wù)器軟件的方法。由于部分終端設(shè)備的HTTP返回包中并不含有Banner信息，并且Banner信息可以被偽造，因此該方法在識別終端設(shè)備時具有一定的局限性。后來，LeeD,RoweJ等人提出一種不依賴Banner信息的識別方法，即通過返回的某些短語差異和超長URL處理方式差異來識別，但該種方法可能會增加終端設(shè)備的處理負擔(dān)，造成拒絕服務(wù)，或被防火墻等設(shè)備判定為攻擊行為，引發(fā)報警。在協(xié)議識別方面，最早研究的協(xié)議識別技術(shù)是基于端口的協(xié)議識別技術(shù)，基于測度識別協(xié)議的技術(shù)等，但這些協(xié)議識別技術(shù)的適用范圍窄，靈活性較差，根據(jù)近幾年美國Ellacoya網(wǎng)絡(luò)研究公司的關(guān)于網(wǎng)絡(luò)流量狀況的調(diào)查統(tǒng)計顯示，基于P2P應(yīng)用協(xié)議的流量超過50%，而基于HTTP協(xié)議的互聯(lián)網(wǎng)流量占據(jù)全部流量的大約1/4，因此對應(yīng)用層協(xié)議的識別成為當(dāng)前研究的重點。

國外網(wǎng)絡(luò)測繪現(xiàn)狀測繪系統(tǒng)計劃美國是最早推應(yīng)用的國家,目前已形成了較為完整的網(wǎng)絡(luò)空間探測基礎(chǔ)設(shè)施和體系。最具代表性的有美國國家安全局（NationalSecurityAgency，NSA）的藏寶圖計劃，美國國防部先進研究項目局（DefenseAdvancedResearchProjectsAgency，DRAPA）的X計劃以及美國國土資源部（UnitedStatesDepartmentofHomelandSecurity，DHS）的SHINE計劃。藏寶圖計劃旨在提升本國情報生產(chǎn)能力，通過對網(wǎng)絡(luò)空間多層（地理層、物理層、邏輯層以及社交層）數(shù)據(jù)的捕獲及快速分析，從而形成大規(guī)模的情報生產(chǎn)能力，并為其“五眼情報聯(lián)盟”（包括美國、英國、加拿大、澳大利亞和新西蘭）的合作伙伴提供情報支持。

該計劃十分龐大，持續(xù)繪制整個網(wǎng)絡(luò)空間地圖，包括整個IPv4

和部分IPv6，關(guān)注邏輯層（路由等），但也涉及物理層、數(shù)據(jù)鏈路層、應(yīng)用層。

X計劃旨在提升美軍網(wǎng)絡(luò)空間作戰(zhàn)能力，通過對網(wǎng)絡(luò)戰(zhàn)場地圖的快速描繪，輔助生成作戰(zhàn)計劃，并促進網(wǎng)絡(luò)作戰(zhàn)任務(wù)高效推進。美國DRAPA認為，開發(fā)直觀的視圖和整體用戶體驗，未來如果網(wǎng)絡(luò)戰(zhàn)爭變得極為尋常，那么就有必要讓網(wǎng)絡(luò)戰(zhàn)爭的打法就像操作iPhone那么簡單。

SHINE計劃旨在監(jiān)控美國本土關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源安全狀態(tài)，通過網(wǎng)絡(luò)空間掃描引擎（Shodan）對本土網(wǎng)絡(luò)空間地址列表進行安全態(tài)勢感知，并由工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)組（IndustrialControlSystemsCyberEmergencyResponseTea，ICSCERT）定期向其所有者推送安全通告，保證關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。除了Shodan以外，比較出名的還有由密歇根大學(xué)和Rapid7公司共同合作完成的Censys搜索引擎平臺，它不僅掃描了IPv4地址，還對域名和證書進行掃描。

國內(nèi)網(wǎng)絡(luò)測繪現(xiàn)狀在國家科技部重點研發(fā)、總裝備部預(yù)先研究等項目的支持下，國內(nèi)中科院信工所、中國電子科技網(wǎng)絡(luò)信息安全有限公司、中國電子、清華大學(xué)等科研院所和高校分別圍繞網(wǎng)絡(luò)空間資源探測、網(wǎng)絡(luò)拓撲測量等技術(shù)開展了關(guān)鍵技術(shù)攻關(guān)，形成了豐富的研究成果。在系統(tǒng)設(shè)計方面，中國電子科技網(wǎng)絡(luò)信息安全有限公司研制了網(wǎng)絡(luò)空間測繪系統(tǒng)（簡稱網(wǎng)探D01），具備對網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)資產(chǎn)、關(guān)鍵人物的探測、分析和展示能力；知道創(chuàng)宇的ZoomEye可對全球的路由設(shè)備、工業(yè)聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)設(shè)備以及攝像頭等基礎(chǔ)設(shè)施進行探測；華順信安的FOEYE在網(wǎng)絡(luò)資產(chǎn)全面測繪的基礎(chǔ)上，以漏洞為切入點，重新定義了安全事件處理和漏洞掃描形式。國內(nèi)網(wǎng)絡(luò)拓撲測量的研究國內(nèi)學(xué)者在互聯(lián)網(wǎng)出現(xiàn)早期就已經(jīng)開始對網(wǎng)絡(luò)拓撲的測量展開研究，并取得了一系列研究成果。但總體而言，這些研究依然遵循AS、PoP、路由器、IP接口級的層次進行，從降低探測成本和提升探測收益的角度提出了一系列創(chuàng)新性的方法。例如解放軍信息工程大學(xué)的路由器級網(wǎng)絡(luò)拓撲發(fā)現(xiàn)、國防科技大學(xué)計算機學(xué)院的多報文組合探測、埃文科技的全球網(wǎng)絡(luò)拓撲測繪系統(tǒng)擎天神支持全球AS域，近43億全量IP。

國內(nèi)網(wǎng)絡(luò)資產(chǎn)探測目前，國內(nèi)在工業(yè)控制服務(wù)探測方面，已經(jīng)初步形成了以網(wǎng)絡(luò)主動探測技術(shù)為基礎(chǔ)的對部分重要工業(yè)控制系統(tǒng)的在線監(jiān)測能力，能夠支持對SCADA、PLC等典型工業(yè)控制系統(tǒng)（設(shè)備），MODBUS等部分工業(yè)控制協(xié)議，以及工業(yè)控制有關(guān)的通用網(wǎng)絡(luò)服務(wù)進行探測和識別。但和國外相比，還存在支持工業(yè)控制設(shè)備/協(xié)議等服務(wù)數(shù)量不足、感知深度不夠等問題。