網絡空間資產探測與分析技術研究

朱龍

摘要：如今，網絡環境越來越復雜，通過對網絡環境空間資產探測與分析技術的深入研究，能夠及時發現潛藏的網絡危機，防止不法之徒入侵。文章從構筑網絡生態命運共同體、建設新時期網絡安全戰略地圖、開展網絡環境空間資產探測與分技術研究3個角度，分析網絡空間測繪的技術原理、價值，對網絡空間測繪技術的闡釋及現狀做了介紹，研究網絡空間資產探測與分析技術，給相關工作者提供研究參考。

關鍵詞：網絡空間；資產探測與分析技術；應用實踐

中圖分類號：TP393.2? 文獻標志碼：A

0 引言

互聯網空間結構是人們一起共享的精神活動空間。當前，隨著互聯網、虛擬現實、物聯網、新一代人工智能、區塊鏈等新型技術的日益凸顯，人類社會正快速地步入新數字經濟時期，在網絡中運行的數據成為全球科技和產業競爭的重要制高點，數據資源及其物理載體是網絡空間資產管理的主要對象，網絡空間資產管理的安全性直接決定了數據資源的安全性，其作用對網絡空間資產探測與分析技術的研究舉足輕重。

1 構筑互聯網空間網絡生態命運共同體的重大意義

面對信息科技產業發展的危機、互聯網生態建設的亂象，建設“網絡空間命運共同體”、培養“發展新動力”、開拓“數字聯合新局面”、營造“安全新格局”，圍繞互聯網技術建設全社會利益共同體、安全共同體、發展共同體、效益共同體，實現經濟發展共同推動、網絡安全共同保障、社會管理共同負責、效益成果共同享受，具有重大意義［1］。

2 基于網絡空間測繪技術構建安全態勢感知體系

伴隨著網絡技術的蓬勃發展，網絡已被稱為人類的“第五空間” ［2］。如何有效管控網絡空間、及時發現并識別網絡空間基礎設施、合理分配資源并做好安全檢測防護，儼然是當下網絡空間安全治理工作的重中之重，“網絡空間測繪”研究計劃應運而生。該項技術如同一張網絡空間信息的“作戰地圖”，采用網絡探測、采集、分析、處理等方式，把互聯網空中基礎設施及其網絡資源中的有關屬性信息，用邏輯關系圖形和地理信息圖像的表現形式加以描繪和表達，從而直觀形象地表現互聯網空中資源屬性狀況和變化趨勢［3］。

2.1 網絡空間測繪技術原理

網絡空間測繪技術，是通過SaaS服務的方式解決互聯網端資產探測問題。該項技術主要通過多維度資產挖掘、資產搜索從而形成一套完整的網絡空間數據資源庫。

（1）資產挖掘。通過已知IP、域名、資產關鍵字（一般是企業全稱或網站名稱）結合地域范圍，進行網絡資產挖掘，找到全互聯網暴露面的資產。

（2）資產搜索。該技術能夠通過已知的檢索條件，對特定的資產信息進行搜索。輸入任意字符，會自動匹配多個或一個資產屬性：單一IP、IP段、地區（省、市、縣）、域名、單位名稱、端口號、某類型的軟件、OS等信息。

（3）資產詳細信息。包括IP主體、域名主體的資產概述、具體端口屬性等信息。

（4）網絡空間測繪系統資源庫。包括漏洞規則庫用于進行脆弱性識別，顯示探測的所有資產，通過脆弱性風險名稱搜索存在該風險的資產，對搜索結果統計分析進行漏洞檢測及威脅預警。

（5）引擎指紋庫。指紋識別是將某個端口上運行業務、操作系統的一段特征代碼翻譯成中文和英文標示的過程，指紋由系統規則升級包升級。

2.2 網絡空間測繪技術的價值

網絡空間測繪技術就網絡空間上的資產狀態（如移動服務器和設備的接口、協議、使用以及漏洞等）實施縱深監測，并形成分布情況和網絡關聯索引，對資產安全狀態進行建模解析和圖像刻畫。相比于實際常用的地圖，通過各種測量手段描繪和標示企業地理位置，網絡空間測繪技術正是通過主動加被動監測的手段，根據行業特征對企業重要程度、業務安全性需求等進行歸集，發掘網絡資產披露面、不明財產種類等重要安全性內容，從而達到對互聯網企業的可查、可定位、業務安全性需求進行歸集，并以此克服未知信息識別與保護所存在的問題。

3 網絡空間資產探測與分析關鍵技術研究

3.1 網絡空間測繪技術的闡釋

網絡空間測繪技術已涵蓋了網絡檢測、協議解析、規則匹配、拓撲解析、大數據處理、應用安全、可視化表達等多個應用領域。

3.2 網絡空間資產測繪技術研究現狀

我國也是最早發展網絡空間測繪技術與應用的發展中國家。2008年，美國政府為進一步完善關鍵基礎設施網絡功能，發揮自己的偵察能力和戰略反應、作戰能力，陸續提出了3項重量級規劃：美國國土資源部（DHS）的SHINE規劃、美國國立安全管理局（NSA）的藏寶圖（TreasureMap）規劃、美國軍事部高級研發項目管理局（DRAPA）的X規劃［4］。

我國在網絡安全環境檢測領域也已開展了相應的部署與探索。由公安部第一研究院設計開發的“網絡安全資產測繪分析系統”（簡稱網探D01），通過采集網絡資源信息和指紋，進行互聯網空間資源查詢、分類、監測，結合漏洞、廠商信息和威脅資料，進行漏洞數據分析等，力求為我國關鍵領域企業、單位提供完整的互聯網信息保護態勢，使其更有效地處理危害重要信息基礎設施的網絡攻擊情況。

3.3 網絡空間資產探測技術研究

網絡空間資產探測是指通過使用特定方法獲取目標服務器上的系統屬性數據和應用屬性數據，一般包括IP存活性監測、客戶端/服務監測、操作系統檢測、流量統計、別名分析、DNS監測、應用服務監測等內容。IP存活性測試是通過ARP，ICMP，TCP等國際標準識別在線服務器，接口/業務測試則是通過端口掃描法檢測出目標上網服務器的開放接口，并收集目標主機的功能數據、版本信息以及操作系統數據。常規的大數據檢測模塊有Nmap，Zmap，Masscan等，常規的端口掃描能力有SYN掃描、Connect掃描、UDP掃描、TCP FIN掃描、NULL掃描和Xmas Tree掃描等。在實際測試的下發流程中，通常要根據檢測資源分配、探測源配置、設備使用情況等因素制定最佳的檢測方案。別名解析法是指根據同一條網絡路由器具有多個IP地址的特殊情形，判斷IP地址和網絡路由器間的互相映射關系，是建立計算機網絡和路由器拓撲結構的關鍵，常用的別名分析方法有Midar，Iffinder，Kapar等。而DNS探測則是利用對IP地址反向分析確定IP地址與域名間的相對關聯關系，是資產屬性確定的重要基礎。

3.4 網絡空間資產分析技術研究

計算機網絡的拓撲構建和還原是指通過對IP網絡的路由信息、網絡路由器分配文檔、BGP路由表等基礎數據分析，還原得出計算機網絡的IP級別、網絡路由器級別、PoP級別和AS級別信息的拓撲結構，用于判斷計算機網絡中關鍵節點、推斷節點間的隱含關系，發現拓撲結構的薄弱環節。IP級網絡的拓撲構造還原是指將目標網絡的所有IP通路都還原成拓撲圖上的方式，在IP級別拓撲圖上的節點代表IP地址，節點中間的連邊代表兩個與IP地址中間具有直連的鏈路。Traceroute是目前使用最為普遍的IP路由測量方法，一個完整的Traceroute檢測系統能夠分析出從探測源至目標節點中間的一條路線途徑，但是想要獲取整個網絡的整體拓撲，就必須有多個檢測源同時對多個目標節點進行Traceroute檢測。因此，面對數量龐大的目標網絡結構，提升檢測質量以及整體的拓撲架構完整性，變成了對IP級別目標網絡拓撲結構回歸的重要工作及探索目標。路由器的網絡拓撲構造，一般都是通過路由別名的解析技術得出IP網址和路由器之間連接的相對位置后，再對IP別級拓撲構造進行整合得出，拓撲結構的節點一般代表了路由器，而節點之間的連接邊代表了兩個路由器之間直接連通，根據這種算法對路由別名解析的準確率和覆蓋率要求較高。自治域（AS）是由幾個實施相同路由策略的網絡組成，而自治區域網絡的入站點也能夠和其他自治區域進行連接，所以在PoP的拓撲圖中，節點表示網絡的中心網點，節點中間的連線表示兩個進入站點間存在物理聯系。PoP級拓撲可以通過對路由器的拓撲信息整合得到，節點代表網絡入網點，節點之間的連邊代表兩個入網點之間存在物理連接。節點代表網絡的站點，而節點連接相互之間的鏈接則說明兩個進入點相互之間有著物理連接。初PoP級拓撲數據信息可通過對整個網絡系統的拓撲數據進行整理來獲取，目前比較常見的方式是利用DNS命名方式或IP定位技術，在獲取了IP地址/路徑器的位置數據信息之后，再將擁有同樣地域數據信息的IP節點聚合成接入網節點。PoP的網絡拓撲有助于確定并驗證系統中關鍵節點的重要性。整個網絡系統由數萬個AS構成，AS間利用邊界網關技術（BGP）傳遞路由數據，所以每一個網絡都被視為一張AS的拓撲圖。而AS路由信息則可以通過美國的RouteViews項目，至于AS路由信息，則可以經由在美洲的RouteViews項目以及由歐盟的網絡注冊管理中心RIPE-RIS所提交的BGP路由表獲得。AS的拓撲圖中節點代表AS，而連邊則代表著兩個AS的邏輯聯系，之間并沒有物理連接，這也是一方面自治域之間的物理連接常常發生在不同地方；另一方面，各種AS也可以構成一種實體結構，AS之間的連邊也表明相關的企業組織間具有一種業務聯系，比如對等關系（P2P）、服務提供者—客戶（P2C）等。

4 結語

網絡空間資產探測與分析技術從根本上既是服務于網絡空間安全問題的，也是在與安全事件的斗爭中不斷發展壯大的。近年來，網絡空間資產測繪領域提出并不斷推廣“動態測繪”思想，目標在于充分發揮網絡測繪平臺的網絡資產測繪數據能力，在實戰對抗中不斷豐富攻擊者和攻擊行為的測繪指紋特征，進一步形成對網絡安全事件的監測預警能力，提升網絡安全前置防御能力。

“十四五”期間，我國物聯網、智能終端、互聯網等迎來發展爆發期。在網絡空間防御系統中，網絡空間測繪技術通過大數據分析整合多源情報信息，測繪網絡空間的高精度版圖，將為全時、全維、疆域志的現實世界網絡系統環境安全狀況帶來強大保障。堅信經過持續奮斗，尤其是計算機網絡空間環境測繪應用的持續研究和實踐，網絡系統環境測繪的應用成果必將作為未來聯系虛擬網絡空間與真實物理世界的重要紐帶，為我國網絡安全保障、經濟社會健康發展、數字經濟與社會發展以及人類幸福生存做出新的貢獻。

參考文獻

［1］高春東，郭啟全，江東，等.網絡空間地理學的理論基礎與技術路徑［J］.地理學報，2019（9）：5-18.

［2］沈逸，江天驕.網絡空間的攻防平衡與網絡威懾的構建［J］.世界經濟與政治，2018（2）：49-70，157.

［3］郭莉，曹亞男，蘇馬婧，等.網絡空間資源測繪：概念與技術［J］.信息安全學報，2018（4）：1-14.

［4］安全內參.網絡空間測繪在網絡國防中的重大意義和作用［EB/OL］.（2019-01-03）［2023-01-20］.https：//www.secrss.com/articles/7551.

（編輯 沈 強）

Research on detection and analysis technology of cyberspace assets

Zhu? Long

（Guangan Vocational and Technical College， Guangan 638000， China）

Abstract： Today， the network environment is more and more complex， through the network environment space assets detection and analysis of in-depth research technology， can timely find the hidden network crisis， to prevent illegal invasion based on this， this paper from building a network ecological destiny community to build a new era of network security strategy map In network environment space assets detection and three points technology research perspective， analyzes the technology principle of value network space mapping， surveying and mapping technology to network space of interpretation and the present situation is presented， research network space assets detection and analysis technique， and provides research reference for relevant workers.

Key words： cyberspace; asset detection and analysis technology; application practice