【摘 要】 网络空间测绘通过探测、采集、分析和处理,发现识别网络空间设施、服务和资源,同时结合地理信息、拓扑结构和逻辑关系绘制“网情地图”,为准确把握网络空间设备的安全属性、拓扑结构和安全态势提供技术支撑。本文在论述国内外相关研究成果的基础上,对网络空间测绘系统架构、网络资产探测与识别、网络拓扑结构还原与分析做重点阐释,并对网络空间测绘未来发展进行了展望,以供借鉴。
【关键词】 网络空间测绘 资产探测 网络拓扑分析
1 引言
网络空间自上而下可划分为实体人物层、虚拟角色层、逻辑网络层、物理网络层和地理层。人物层由现实空间的真实个体组成,虚拟角色层由网络使用者账户组成,物理网络层由互联网通信设备和基础设施构成,逻辑网络层用于连接物理网络层和虚拟角色层,地理层为全球网络空间的运行提供空间、物质、能量等基础支撑,网络空间测绘的主要研究对象为物理网络层。
近年来,以计算机系统为代表的通信基础设施迅速发展,网络空间成为人类生产生活的第二类生存空间,蕴含的软硬件系统、信息数据等是国家重要的战略资源,因此也被认为是继陆、海、空、天之后代表国家网络主权的“第五空间”。网络空间测绘技术通过对全网资产进行探测识别、实体定位、深度关联和层级映射,绘制“第五空间”的“底图”,旨在建立高效网络资产安全检测体系,对高效管理网络空间、快速应对突发安全事件、维护国家网络空间主权具有重要意义。
网络空间测绘技术涉及网络探测、协议分析、规则匹配、拓扑分析、大数据、应用安全、可视化表达等诸多领域。本文从网络资产探测和拓扑结构分析两个方面,对相关技术及其面临的挑战进行阐述。
2 国内外相关研究综述
美国是最早启动网络空间测绘研究与应用的国家。早在2008年,为进一步加固关键基础设施网络组件,扩展主动的探测能力和快速响应、作战能力,美国先后推出了3个重量级计划:国土资源部(DHS)的SHINE计划、国家安全局(NSA)的藏宝图(TreasureMap)计划、国防部先进研究项目局(DRAPA)的X计划。
我国在网络空间测绘方向也进行了相关部署和研究。公安部第一研究所设计研发的“网络资产测绘分析系统”(简称网探D01),通过收集互联网资产数据及指纹,实现网络空间资产检索、分析、监控,结合漏洞、厂商信息等威胁情报,开展漏洞统计分析工作,旨在为国家重点行业、部门提供全面的网络资产安全态势,使其更好地应对威胁关键信息基础设施的网络攻击事件。另外,国内网络空间测绘方面也有几款新型的网络资产搜索引擎,例如有“钟馗之眼”之称的ZoomEye,可以识别网络空间中包括路由器、交换机、网络摄像头、网络打印机、移动设备在内的30余种网络终端设备;再如Fofa,积累了包含1.6亿数据的网络空间资产基因库,覆盖网络地址、端口号、服务、操作系统、网络协议等网络组件。
3 网络空间测绘系统架构
网络空间测绘系统自底向上分为全维探测层、接引汇聚层、融合分析层和综合呈现层,如图1所示。
全维探测层由探测节点、探测载荷和探测管理模块组成,负责生成探测策略、下发探测任务,为网络空间测绘系统提供数据支撑。引接汇聚层负责对探测数据和第三方数据进行汇聚、清洗、抽取和校验,数据清洗提高了后续数据融合分析结果的可信性,数据抽取和校验使不同来源的相同对象数据符合统一标准模型,为多源异构数据融合提供保障。融合分析层负责拓扑结构还原与分析、资产属性识别和重要目标画像3个方面,是系统核心功能的实现部分。综合呈现层用于面向全球用户,对网络空间“地形地貌”进行定制化展示,同时提供数据查询和数据订阅服务。
4 网络资产探测与识别
网络空间探测根据探测方式主要分为主动探测、被动探测和基于搜索引擎的非侵入式探测。主动探测是指主动向目标主机发送数据包,目标主机收到数据后返回响应数据包,通过分析响应数据包获取目标主机信息的探测方式;被动探测是指利用网络嗅探工具获取目标网络的数据报文,通过分析报文数据得到网络资产信息;基于搜索引擎的非侵入式探测是指利用Shodan、Censys、ZoomEye等专用的网络安全搜索引擎获取网络资产信息。
4.1 网络资产探测
网络资产探测是指利用一定技术手段获取目标主机的设备属性信息和应用属性信息,包括IP存活性探测、端口/服务探测、操作系统探测、流量采集、别名解析、DNS探测、应用类型探测等方面,如图2所示。
IP存活性探测是利用ARP、ICMP、TCP等网络协议识别在线主机,端口/服务探测是通过端口扫描筛选出在线主机的开放端口,获取目标主机的服务信息、版本信息以及操作系统信息。常用的资产探测工具有Nmap、Zmap、Masscan,常用的端口扫描方式有SYN扫描、Connect扫描、UDP扫描、TCP FIN扫描、NULL扫描和Xmas Tree扫描,在实际探测任务下发过程中,还要结合探测源分布、探测源配置、应用场景等定制最优的探测策略。
别名解析是针对一个路由器拥有多个IP地址的情况,建立IP地址和路由器的映射关系,是构建网络空间路由器级拓扑结构的关键。常用的别名解析工具有Midar、Iffinder、Kapar等。DNS探测是通过IP地址反向解析建立IP地址和域名之间的对应关系,是资产属性识别的重要依据。
4.2 网络资产识别
网络资产识别主要有设备组件识别、应用组件识别、业务类型推断3个方面,常用的技术手段是资产指纹比对。网络资产在协议实现、网络应用等方面存在差异,如开放的端口/服务信息、banner信息、Web网页数据等,对这些差异进行特征提取可得到该资产的特征指纹,网络资产指纹库积累了大量网络资产指纹。资产指纹比对是将目标主机的特征指纹和指纹库进行匹配,从而实现资产属性识别。
网络设备组件识别首先获取资产的网站响应头部数据、网站文件类型、网站异常响应、服务端口、banner等数据,提取设备指纹,通过与网络设备组件指纹库进行指纹比对,识别目标主机的设备类型、设备厂商、设备品牌、设备型号等设备属性。
网络应用组件识别通过持续收集、解析目标网络的应用组件信息,如论坛程序、博客程序等,获取网站响应头部数据、HTML页面、特殊URL、开放的端口、banner等,生成应用指纹,通过比对网络应用组件指纹库来自动化识别目标主机的Web服务器软件、Web脚本语言、服务类型及相应版本型号等应用属性。
业务类型推断是基于资产探测数据,深入融合DNS信息、漏洞库、IP地理信息库等资源,建立资产多层级关联模型,推断网络资产的业务类型,实现网络资产多维度画像。业务类型推断旨在识别重要行业的重要资产,是网络空间深入态势感知的核心环节。
5 网络拓扑结构还原与分析
网络拓扑结构还原是利用IP路径信息、路由器配置文件、BGP路由表等数据还原得到网络的IP级、路由器级、PoP级和AS级的拓扑结构,旨在识别网络关键节点、推断节点间的隐含关系,发现拓扑结构的薄弱环节,如图3所示。
5.1 拓扑结构还原
IP级网络拓扑还原是指将目标网络的IP路径还原为拓扑图的形式,IP级拓扑图中的节点表示IP地址,节点之间的连边表示两个IP地址存在直连的链路。Traceroute是目前应用最广泛
的IP路径测量工具,一次完整的Traceroute探测可以解析出探测源到目标节点的一条路由路径,为了获得整个网络的完整拓扑,需要从多个探测源向一系列目标节点发起Traceroute探测。面向规模庞大的网络结构,提高探测效率和拓扑结构完整性是IP级网络拓扑还原的主要研究方向。
路由器级网络拓扑通常是利用路由别名解析技术得到IP地址和路由器的对应关系,对IP级拓扑结构进行聚合得到,拓扑结构中节点表示路由器,节点之间的连边表示两个路由器直接相连,该方法对路由别名解析的准确率和覆盖率要求较高。
自治域(AS)是由一组运行相同路由策略的路由器组成,自治域网络通过入网点与相邻自治域进行通信,在PoP级拓扑图中,节点代表网络入网点,节点之间的连边代表两个入网点之间存在物理连接。PoP级拓扑是对路由器级拓扑进一步聚合得到,常用的方法有根据DNS命名规则或IP定位手段获取IP地址/路由器的地理位置信息,将具有相同地理信息的IP节点聚类为入网点。PoP级网络拓扑对于发现和验证网络关键节点具有重要意义。
互联网由数万个AS组成,AS之间通过边界网关协议(BGP)交换路由信息,因此整个互联网可以看作一个AS级拓扑图。AS路径数据主要从美国RouteViews项目或欧洲互联网注册管理中心RIPE-RIS发布的BGP路由表得到。AS级拓扑图中节点表示AS,连边表示两个AS存在逻辑关系,而不是物理连接,这是因为一方面自治域之间的物理连接通常发生在多个地点;另一方面,每个AS都属于一个实体组织,AS间的连边表示相应的实体组织之间存在某种商业关系,例如对等关系(P2P)、服务提供者—客户(P2C)等。自治域间的商业关系是互联网生态正常运行和经济可行的关键。
5.2 拓扑分析
边界节点有AS边界节点和地理边界节点两种情况,根据BGP协议,边界节点即网络的入网点,在跨域通信和跨地区通信中处于关键位置。边界节点识别是基于IP级拓扑,根据IP地址与AS的映射关系、IP地址与国家/地区的映射关系,对相邻两个IP节点是否位于属于相同AS、是否位于同一个国家/地区进行判断。
骨干节点是指在实际互联网结构中承担较大通信流量或处于核心路由位置的节点。骨干节点识别一方面基于复杂网络的度、介数、K-shell等参数对网络节点的重要性进行评估,另一方面结合实际网络环境和通信系统架构对重要节点进行筛选和验证。
节点关系推理是指面向具体应用场景,在相同层级的拓扑结构中挖掘相同类型节点之间的逻辑关系和连通关系,在对不同层级网络拓扑中,建立不同类型节点间的映射关系。
6 面临的挑战及解决思路
未来几年,IPv6技术将全面普及,物联网、智能终端、工业互联网等将迎来爆发期,网络空间规模越来越庞大、结构越来越复杂,传统的网络空间资产探测与拓扑结构分析技术将面临新的挑战。
由于IPv6地址空间规模庞大且分布稀疏,IPv4网络探测方法不适用于IPv6地址空间,然而IPv6地址在地理空间分配和运营管理方面具有一定的规律,IPv6地址空间预测技术利用这种规律为IPv6高效探测提供了新思路。首先通过开源数据集或被动探测等途径收集一定数量的活跃IPv6,作为种子地址,然后对种子地址进行建模,采用地址生成算法得到预测IPv6地址,最后对预测地址进行探测、验证。这种基于规则和统计规律的IPv6地址探测方法核心在于地址建模分析和地址生成算法,优化这些算法是提高活跃IPv6地址发现效率的关键,也是IPv6地址空间探测的重要研究方向。
物联网体系结构复杂,海量的智能终端设备没有统一的技术标准,网络层、应用层存在不同的网络协议和体系结构,因此传统的网络资产识别技术不能满足物联网设备识别需要。对于配置传感器的物联网设备,通常利用其传感器的相关特征进行设备识别,而对于互联网上没有配置传感器的物联网设备识别则采用人工标记和机器学习相结合的方法实现。实验证明,采用人工标记的方式提取物联网设备指纹作为先验知识,是有效增加指纹准确性和设备识别覆盖程度的最有效最直接的途径。
7 结语
在网络空间防护体系中,网络空间测绘是平台和基础,互联网软硬件的快速发展对网络空间测绘提出了新的更高要求,包括数据获取能力、数据分析能力、应用场景落地能力以及情报采集能力。未来的网络资产测绘预计将朝着以下3方面发展:网络空间测绘将在内网、专网等方向发展,被广泛应用于内网、专网的资产管理,帮助用户单位建立健全网络资产管理流程,促进资产设备的规范使用;网络资产探测在资产识别方面将进一步结合篮球比分技术,为网络资产指纹的自动化提取和未知设备识别提供新的方法和理念,提高网络资产探测和识别的效率和准确率;网络空间拓扑分析将在网络实体定位和多层级映射方面,融合地理数据库、资产数据库、漏洞库、威胁情报等资源库,分别从联通关系和逻辑关系的角度建立网络空间实体之间多维度、多层次的拓扑结构图。
(原载于《保密科学技术》杂志2021年3月刊)