APP下载

网络空间资产探测与分析技术研究

2023-06-15朱龙

无线互联科技 2023年3期
关键词:应用实践网络空间

朱龙

摘要:如今,网络环境越来越复杂,通过对网络环境空间资产探测与分析技术的深入研究,能够及时发现潜藏的网络危机,防止不法之徒入侵。文章从构筑网络生态命运共同体、建设新时期网络安全战略地图、开展网络环境空间资产探测与分技术研究3个角度,分析网络空间测绘的技术原理、价值,对网络空间测绘技术的阐释及现状做了介绍,研究网络空间资产探测与分析技术,给相关工作者提供研究参考。

关键词:网络空间;资产探测与分析技术;应用实践

中图分类号:TP393.2  文献标志码:A

0 引言

互联网空间结构是人们一起共享的精神活动空间。当前,随着互联网、虚拟现实、物联网、新一代人工智能、区块链等新型技术的日益凸显,人类社会正快速地步入新数字经济时期,在网络中运行的数据成为全球科技和产业竞争的重要制高点,数据资源及其物理载体是网络空间资产管理的主要对象,网络空间资产管理的安全性直接决定了数据资源的安全性,其作用对网络空间资产探测与分析技术的研究举足轻重。

1 构筑互联网空间网络生态命运共同体的重大意义

面对信息科技产业发展的危机、互联网生态建设的乱象,建设“网络空间命运共同体”、培养“发展新动力”、开拓“数字联合新局面”、营造“安全新格局”,围绕互联网技术建设全社会利益共同体、安全共同体、发展共同体、效益共同体,实现经济发展共同推动、网络安全共同保障、社会管理共同负责、效益成果共同享受,具有重大意义[1]。

2 基于网络空间测绘技术构建安全态势感知体系

伴随着网络技术的蓬勃发展,网络已被称为人类的“第五空间” [2]。如何有效管控网络空间、及时发现并识别网络空间基础设施、合理分配资源并做好安全检测防护,俨然是当下网络空间安全治理工作的重中之重,“网络空间测绘”研究计划应运而生。该项技术如同一张网络空间信息的“作战地图”,采用网络探测、采集、分析、处理等方式,把互联网空中基础设施及其网络资源中的有关属性信息,用逻辑关系图形和地理信息图像的表现形式加以描绘和表达,从而直观形象地表现互联网空中资源属性状况和变化趋势[3]。

2.1 网络空间测绘技术原理

网络空间测绘技术,是通过SaaS服务的方式解决互联网端资产探测问题。该项技术主要通过多维度资产挖掘、资产搜索从而形成一套完整的网络空间数据资源库。

(1)资产挖掘。通过已知IP、域名、资产关键字(一般是企业全称或网站名称)结合地域范围,进行网络资产挖掘,找到全互联网暴露面的资产。

(2)资产搜索。该技术能够通过已知的检索条件,对特定的资产信息进行搜索。输入任意字符,会自动匹配多个或一个资产属性:单一IP、IP段、地区(省、市、县)、域名、单位名称、端口号、某类型的软件、OS等信息。

(3)资产详细信息。包括IP主体、域名主体的资产概述、具体端口属性等信息。

(4)网络空间测绘系统资源库。包括漏洞规则库用于进行脆弱性识别,显示探测的所有资产,通过脆弱性风险名称搜索存在该风险的资产,对搜索结果统计分析进行漏洞检测及威胁预警。

(5)引擎指纹库。指纹识别是将某个端口上运行业务、操作系统的一段特征代码翻译成中文和英文标示的过程,指纹由系统规则升级包升级。

2.2 网络空间测绘技术的价值

网络空间测绘技术就网络空间上的资产状态(如移动服务器和设备的接口、协议、使用以及漏洞等)实施纵深监测,并形成分布情况和网络关联索引,对资产安全状态进行建模解析和图像刻画。相比于实际常用的地图,通过各种测量手段描绘和标示企业地理位置,网络空间测绘技术正是通过主动加被动监测的手段,根据行业特征对企业重要程度、业务安全性需求等进行归集,发掘网络资产披露面、不明财产种类等重要安全性内容,从而达到对互联网企业的可查、可定位、业务安全性需求进行归集,并以此克服未知信息识别与保护所存在的问题。

3 网络空间资产探测与分析关键技术研究

3.1 网络空间测绘技术的阐释

网络空间测绘技术已涵盖了网络检测、协议解析、规则匹配、拓扑解析、大数据处理、应用安全、可视化表达等多个应用领域。

3.2 网络空间资产测绘技术研究现状

我国也是最早发展网络空间测绘技术与应用的发展中国家。2008年,美国政府为进一步完善关键基础设施网络功能,发挥自己的侦察能力和战略反应、作战能力,陆续提出了3项重量级规划:美国国土资源部(DHS)的SHINE规划、美国国立安全管理局(NSA)的藏寶图(TreasureMap)规划、美国军事部高级研发项目管理局(DRAPA)的X规划[4]。

我国在网络安全环境检测领域也已开展了相应的部署与探索。由公安部第一研究院设计开发的“网络安全资产测绘分析系统”(简称网探D01),通过采集网络资源信息和指纹,进行互联网空间资源查询、分类、监测,结合漏洞、厂商信息和威胁资料,进行漏洞数据分析等,力求为我国关键领域企业、单位提供完整的互联网信息保护态势,使其更有效地处理危害重要信息基础设施的网络攻击情况。

3.3 网络空间资产探测技术研究

网络空间资产探测是指通过使用特定方法获取目标服务器上的系统属性数据和应用属性数据,一般包括IP存活性监测、客户端/服务监测、操作系统检测、流量统计、别名分析、DNS监测、应用服务监测等内容。IP存活性测试是通过ARP,ICMP,TCP等国际标准识别在线服务器,接口/业务测试则是通过端口扫描法检测出目标上网服务器的开放接口,并收集目标主机的功能数据、版本信息以及操作系统数据。常规的大数据检测模块有Nmap,Zmap,Masscan等,常规的端口扫描能力有SYN扫描、Connect扫描、UDP扫描、TCP FIN扫描、NULL扫描和Xmas Tree扫描等。在实际测试的下发流程中,通常要根据检测资源分配、探测源配置、设备使用情况等因素制定最佳的检测方案。别名解析法是指根据同一条网络路由器具有多个IP地址的特殊情形,判断IP地址和网络路由器间的互相映射关系,是建立计算机网络和路由器拓扑结构的关键,常用的别名分析方法有Midar,Iffinder,Kapar等。而DNS探测则是利用对IP地址反向分析确定IP地址与域名间的相对关联关系,是资产属性确定的重要基础。

3.4 網络空间资产分析技术研究

计算机网络的拓扑构建和还原是指通过对IP网络的路由信息、网络路由器分配文档、BGP路由表等基础数据分析,还原得出计算机网络的IP级别、网络路由器级别、PoP级别和AS级别信息的拓扑结构,用于判断计算机网络中关键节点、推断节点间的隐含关系,发现拓扑结构的薄弱环节。IP级网络的拓扑构造还原是指将目标网络的所有IP通路都还原成拓扑图上的方式,在IP级别拓扑图上的节点代表IP地址,节点中间的连边代表两个与IP地址中间具有直连的链路。Traceroute是目前使用最为普遍的IP路由测量方法,一个完整的Traceroute检测系统能够分析出从探测源至目标节点中间的一条路线途径,但是想要获取整个网络的整体拓扑,就必须有多个检测源同时对多个目标节点进行Traceroute检测。因此,面对数量庞大的目标网络结构,提升检测质量以及整体的拓扑架构完整性,变成了对IP级别目标网络拓扑结构回归的重要工作及探索目标。路由器的网络拓扑构造,一般都是通过路由别名的解析技术得出IP网址和路由器之间连接的相对位置后,再对IP别级拓扑构造进行整合得出,拓扑结构的节点一般代表了路由器,而节点之间的连接边代表了两个路由器之间直接连通,根据这种算法对路由别名解析的准确率和覆盖率要求较高。自治域(AS)是由几个实施相同路由策略的网络组成,而自治区域网络的入站点也能够和其他自治区域进行连接,所以在PoP的拓扑图中,节点表示网络的中心网点,节点中间的连线表示两个进入站点间存在物理联系。PoP级拓扑可以通过对路由器的拓扑信息整合得到,节点代表网络入网点,节点之间的连边代表两个入网点之间存在物理连接。节点代表网络的站点,而节点连接相互之间的链接则说明两个进入点相互之间有着物理连接。初PoP级拓扑数据信息可通过对整个网络系统的拓扑数据进行整理来获取,目前比较常见的方式是利用DNS命名方式或IP定位技术,在获取了IP地址/路径器的位置数据信息之后,再将拥有同样地域数据信息的IP节点聚合成接入网节点。PoP的网络拓扑有助于确定并验证系统中关键节点的重要性。整个网络系统由数万个AS构成,AS间利用边界网关技术(BGP)传递路由数据,所以每一个网络都被视为一张AS的拓扑图。而AS路由信息则可以通过美国的RouteViews项目,至于AS路由信息,则可以经由在美洲的RouteViews项目以及由欧盟的网络注册管理中心RIPE-RIS所提交的BGP路由表获得。AS的拓扑图中节点代表AS,而连边则代表着两个AS的逻辑联系,之间并没有物理连接,这也是一方面自治域之间的物理连接常常发生在不同地方;另一方面,各种AS也可以构成一种实体结构,AS之间的连边也表明相关的企业组织间具有一种业务联系,比如对等关系(P2P)、服务提供者—客户(P2C)等。

4 结语

网络空间资产探测与分析技术从根本上既是服务于网络空间安全问题的,也是在与安全事件的斗争中不断发展壮大的。近年来,网络空间资产测绘领域提出并不断推广“动态测绘”思想,目标在于充分发挥网络测绘平台的网络资产测绘数据能力,在实战对抗中不断丰富攻击者和攻击行为的测绘指纹特征,进一步形成对网络安全事件的监测预警能力,提升网络安全前置防御能力。

“十四五”期间,我国物联网、智能终端、互联网等迎来发展爆发期。在网络空间防御系统中,网络空间测绘技术通过大数据分析整合多源情报信息,测绘网络空间的高精度版图,将为全时、全维、疆域志的现实世界网络系统环境安全状况带来强大保障。坚信经过持续奋斗,尤其是计算机网络空间环境测绘应用的持续研究和实践,网络系统环境测绘的应用成果必将作为未来联系虚拟网络空间与真实物理世界的重要纽带,为我国网络安全保障、经济社会健康发展、数字经济与社会发展以及人类幸福生存做出新的贡献。

参考文献

[1]高春东,郭启全,江东,等.网络空间地理学的理论基础与技术路径[J].地理学报,2019(9):5-18.

[2]沈逸,江天骄.网络空间的攻防平衡与网络威慑的构建[J].世界经济与政治,2018(2):49-70,157.

[3]郭莉,曹亚男,苏马婧,等.网络空间资源测绘:概念与技术[J].信息安全学报,2018(4):1-14.

[4]安全内参.网络空间测绘在网络国防中的重大意义和作用[EB/OL].(2019-01-03)[2023-01-20].https://www.secrss.com/articles/7551.

(编辑 沈 强)

Research on detection and analysis technology of cyberspace assets

Zhu  Long

(Guangan Vocational and Technical College, Guangan 638000, China)

Abstract: Today, the network environment is more and more complex, through the network environment space assets detection and analysis of in-depth research technology, can timely find the hidden network crisis, to prevent illegal invasion based on this, this paper from building a network ecological destiny community to build a new era of network security strategy map In network environment space assets detection and three points technology research perspective, analyzes the technology principle of value network space mapping, surveying and mapping technology to network space of interpretation and the present situation is presented, research network space assets detection and analysis technique, and provides research reference for relevant workers.

Key words: cyberspace; asset detection and analysis technology; application practice

猜你喜欢

应用实践网络空间
共建诚实守信网络空间
网络空间并非“乌托邦”
我国网络空间安全立法之名与实
网络空间安全人才培养探讨
网络空间安全学科人才培养探索与思考
论网络空间的公共性