網絡空間資產探測與分析技術研究

【摘    要】 網絡空間測繪通過探測、采集、分析和處理，發現識別網絡空間設施、服務和資源，同時結合地理信息、拓撲結構和邏輯關系繪制“網情地圖”，為準確把握網絡空間設備的安全屬性、拓撲結構和安全態勢提供技術支撐。本文在論述國內外相關研究成果的基礎上，對網絡空間測繪系統架構、網絡資產探測與識別、網絡拓撲結構還原與分析做重點闡釋，并對網絡空間測繪未來發展進行了展望，以供借鑒。

【關鍵詞】 網絡空間測繪 資產探測 網絡拓撲分析

1 引言

網絡空間自上而下可劃分為實體人物層、虛擬角色層、邏輯網絡層、物理網絡層和地理層。人物層由現實空間的真實個體組成，虛擬角色層由網絡使用者賬戶組成，物理網絡層由互聯網通信設備和基礎設施構成，邏輯網絡層用于連接物理網絡層和虛擬角色層，地理層為全球網絡空間的運行提供空間、物質、能量等基礎支撐，網絡空間測繪的主要研究對象為物理網絡層。

近年來，以計算機系統為代表的通信基礎設施迅速發展，網絡空間成為人類生產生活的第二類生存空間，蘊含的軟硬件系統、信息數據等是國家重要的戰略資源，因此也被認為是繼陸、海、空、天之后代表國家網絡主權的“第五空間”。網絡空間測繪技術通過對全網資產進行探測識別、實體定位、深度關聯和層級映射，繪制“第五空間”的“底圖”，旨在建立高效網絡資產安全檢測體系，對高效管理網絡空間、快速應對突發安全事件、維護國家網絡空間主權具有重要意義。

網絡空間測繪技術涉及網絡探測、協議分析、規則匹配、拓撲分析、大數據、應用安全、可視化表達等諸多領域。本文從網絡資產探測和拓撲結構分析兩個方面，對相關技術及其面臨的挑戰進行闡述。

2 國內外相關研究綜述

美國是最早啟動網絡空間測繪研究與應用的國家。早在2008年，為進一步加固關鍵基礎設施網絡組件，擴展主動的探測能力和快速響應、作戰能力，美國先后推出了3個重量級計劃：國土資源部（DHS）的SHINE計劃、國家安全局（NSA）的藏寶圖（TreasureMap）計劃、國防部先進研究項目局（DRAPA）的X計劃。

我國在網絡空間測繪方向也進行了相關部署和研究。公安部第一研究所設計研發的“網絡資產測繪分析系統”（簡稱網探D01），通過收集互聯網資產數據及指紋，實現網絡空間資產檢索、分析、監控，結合漏洞、廠商信息等威脅情報，開展漏洞統計分析工作，旨在為國家重點行業、部門提供全面的網絡資產安全態勢，使其更好地應對威脅關鍵信息基礎設施的網絡攻擊事件。另外，國內網絡空間測繪方面也有幾款新型的網絡資產搜索引擎，例如有“鐘馗之眼”之稱的ZoomEye，可以識別網絡空間中包括路由器、交換機、網絡攝像頭、網絡打印機、移動設備在內的30余種網絡終端設備；再如Fofa，積累了包含1.6億數據的網絡空間資產基因庫，覆蓋網絡地址、端口號、服務、操作系統、網絡協議等網絡組件。

3 網絡空間測繪系統架構

網絡空間測繪系統自底向上分為全維探測層、接引匯聚層、融合分析層和綜合呈現層，如圖1所示。

全維探測層由探測節點、探測載荷和探測管理模塊組成，負責生成探測策略、下發探測任務，為網絡空間測繪系統提供數據支撐。引接匯聚層負責對探測數據和第三方數據進行匯聚、清洗、抽取和校驗，數據清洗提高了后續數據融合分析結果的可信性，數據抽取和校驗使不同來源的相同對象數據符合統一標準模型，為多源異構數據融合提供保障。融合分析層負責拓撲結構還原與分析、資產屬性識別和重要目標畫像3個方面，是系統核心功能的實現部分。綜合呈現層用于面向全球用戶，對網絡空間“地形地貌”進行定制化展示，同時提供數據查詢和數據訂閱服務。

4 網絡資產探測與識別

網絡空間探測根據探測方式主要分為主動探測、被動探測和基于搜索引擎的非侵入式探測。主動探測是指主動向目標主機發送數據包，目標主機收到數據后返回響應數據包，通過分析響應數據包獲取目標主機信息的探測方式；被動探測是指利用網絡嗅探工具獲取目標網絡的數據報文，通過分析報文數據得到網絡資產信息；基于搜索引擎的非侵入式探測是指利用Shodan、Censys、ZoomEye等專用的網絡安全搜索引擎獲取網絡資產信息。

4.1 網絡資產探測

網絡資產探測是指利用一定技術手段獲取目標主機的設備屬性信息和應用屬性信息，包括IP存活性探測、端口/服務探測、操作系統探測、流量采集、別名解析、DNS探測、應用類型探測等方面，如圖2所示。

IP存活性探測是利用ARP、ICMP、TCP等網絡協議識別在線主機，端口/服務探測是通過端口掃描篩選出在線主機的開放端口，獲取目標主機的服務信息、版本信息以及操作系統信息。常用的資產探測工具有Nmap、Zmap、Masscan，常用的端口掃描方式有SYN掃描、Connect掃描、UDP掃描、TCP FIN掃描、NULL掃描和Xmas Tree掃描，在實際探測任務下發過程中，還要結合探測源分布、探測源配置、應用場景等定制最優的探測策略。

別名解析是針對一個路由器擁有多個IP地址的情況，建立IP地址和路由器的映射關系，是構建網絡空間路由器級拓撲結構的關鍵。常用的別名解析工具有Midar、Iffinder、Kapar等。DNS探測是通過IP地址反向解析建立IP地址和域名之間的對應關系，是資產屬性識別的重要依據。

4.2 網絡資產識別

網絡資產識別主要有設備組件識別、應用組件識別、業務類型推斷3個方面，常用的技術手段是資產指紋比對。網絡資產在協議實現、網絡應用等方面存在差異，如開放的端口/服務信息、banner信息、Web網頁數據等，對這些差異進行特征提取可得到該資產的特征指紋，網絡資產指紋庫積累了大量網絡資產指紋。資產指紋比對是將目標主機的特征指紋和指紋庫進行匹配，從而實現資產屬性識別。

網絡設備組件識別首先獲取資產的網站響應頭部數據、網站文件類型、網站異常響應、服務端口、banner等數據，提取設備指紋，通過與網絡設備組件指紋庫進行指紋比對，識別目標主機的設備類型、設備廠商、設備品牌、設備型號等設備屬性。

網絡應用組件識別通過持續收集、解析目標網絡的應用組件信息，如論壇程序、博客程序等，獲取網站響應頭部數據、HTML頁面、特殊URL、開放的端口、banner等，生成應用指紋，通過比對網絡應用組件指紋庫來自動化識別目標主機的Web服務器軟件、Web腳本語言、服務類型及相應版本型號等應用屬性。

業務類型推斷是基于資產探測數據，深入融合DNS信息、漏洞庫、IP地理信息庫等資源，建立資產多層級關聯模型，推斷網絡資產的業務類型，實現網絡資產多維度畫像。業務類型推斷旨在識別重要行業的重要資產，是網絡空間深入態勢感知的核心環節。

5 網絡拓撲結構還原與分析

網絡拓撲結構還原是利用IP路徑信息、路由器配置文件、BGP路由表等數據還原得到網絡的IP級、路由器級、PoP級和AS級的拓撲結構，旨在識別網絡關鍵節點、推斷節點間的隱含關系，發現拓撲結構的薄弱環節，如圖3所示。

5.1 拓撲結構還原

IP級網絡拓撲還原是指將目標網絡的IP路徑還原為拓撲圖的形式，IP級拓撲圖中的節點表示IP地址，節點之間的連邊表示兩個IP地址存在直連的鏈路。Traceroute是目前應用最廣泛

的IP路徑測量工具，一次完整的Traceroute探測可以解析出探測源到目標節點的一條路由路徑，為了獲得整個網絡的完整拓撲，需要從多個探測源向一系列目標節點發起Traceroute探測。面向規模龐大的網絡結構，提高探測效率和拓撲結構完整性是IP級網絡拓撲還原的主要研究方向。

路由器級網絡拓撲通常是利用路由別名解析技術得到IP地址和路由器的對應關系，對IP級拓撲結構進行聚合得到，拓撲結構中節點表示路由器，節點之間的連邊表示兩個路由器直接相連，該方法對路由別名解析的準確率和覆蓋率要求較高。

自治域（AS）是由一組運行相同路由策略的路由器組成，自治域網絡通過入網點與相鄰自治域進行通信，在PoP級拓撲圖中，節點代表網絡入網點，節點之間的連邊代表兩個入網點之間存在物理連接。PoP級拓撲是對路由器級拓撲進一步聚合得到，常用的方法有根據DNS命名規則或IP定位手段獲取IP地址/路由器的地理位置信息，將具有相同地理信息的IP節點聚類為入網點。PoP級網絡拓撲對于發現和驗證網絡關鍵節點具有重要意義。

互聯網由數萬個AS組成，AS之間通過邊界網關協議（BGP）交換路由信息，因此整個互聯網可以看作一個AS級拓撲圖。AS路徑數據主要從美國RouteViews項目或歐洲互聯網注冊管理中心RIPE-RIS發布的BGP路由表得到。AS級拓撲圖中節點表示AS，連邊表示兩個AS存在邏輯關系，而不是物理連接，這是因為一方面自治域之間的物理連接通常發生在多個地點；另一方面，每個AS都屬于一個實體組織，AS間的連邊表示相應的實體組織之間存在某種商業關系，例如對等關系（P2P）、服務提供者—客戶（P2C）等。自治域間的商業關系是互聯網生態正常運行和經濟可行的關鍵。

5.2 拓撲分析

邊界節點有AS邊界節點和地理邊界節點兩種情況，根據BGP協議，邊界節點即網絡的入網點，在跨域通信和跨地區通信中處于關鍵位置。邊界節點識別是基于IP級拓撲，根據IP地址與AS的映射關系、IP地址與國家/地區的映射關系，對相鄰兩個IP節點是否位于屬于相同AS、是否位于同一個國家/地區進行判斷。

骨干節點是指在實際互聯網結構中承擔較大通信流量或處于核心路由位置的節點。骨干節點識別一方面基于復雜網絡的度、介數、K-shell等參數對網絡節點的重要性進行評估，另一方面結合實際網絡環境和通信系統架構對重要節點進行篩選和驗證。

節點關系推理是指面向具體應用場景，在相同層級的拓撲結構中挖掘相同類型節點之間的邏輯關系和連通關系，在對不同層級網絡拓撲中，建立不同類型節點間的映射關系。

6 面臨的挑戰及解決思路

未來幾年，IPv6技術將全面普及，物聯網、智能終端、工業互聯網等將迎來爆發期，網絡空間規模越來越龐大、結構越來越復雜，傳統的網絡空間資產探測與拓撲結構分析技術將面臨新的挑戰。

由于IPv6地址空間規模龐大且分布稀疏，IPv4網絡探測方法不適用于IPv6地址空間，然而IPv6地址在地理空間分配和運營管理方面具有一定的規律，IPv6地址空間預測技術利用這種規律為IPv6高效探測提供了新思路。首先通過開源數據集或被動探測等途徑收集一定數量的活躍IPv6，作為種子地址，然后對種子地址進行建模，采用地址生成算法得到預測IPv6地址，最后對預測地址進行探測、驗證。這種基于規則和統計規律的IPv6地址探測方法核心在于地址建模分析和地址生成算法，優化這些算法是提高活躍IPv6地址發現效率的關鍵，也是IPv6地址空間探測的重要研究方向。

物聯網體系結構復雜，海量的智能終端設備沒有統一的技術標準，網絡層、應用層存在不同的網絡協議和體系結構，因此傳統的網絡資產識別技術不能滿足物聯網設備識別需要。對于配置傳感器的物聯網設備，通常利用其傳感器的相關特征進行設備識別，而對于互聯網上沒有配置傳感器的物聯網設備識別則采用人工標記和機器學習相結合的方法實現。實驗證明，采用人工標記的方式提取物聯網設備指紋作為先驗知識，是有效增加指紋準確性和設備識別覆蓋程度的最有效最直接的途徑。

7 結語

在網絡空間防護體系中，網絡空間測繪是平臺和基礎，互聯網軟硬件的快速發展對網絡空間測繪提出了新的更高要求，包括數據獲取能力、數據分析能力、應用場景落地能力以及情報采集能力。未來的網絡資產測繪預計將朝著以下3方面發展：網絡空間測繪將在內網、專網等方向發展，被廣泛應用于內網、專網的資產管理，幫助用戶單位建立健全網絡資產管理流程，促進資產設備的規范使用；網絡資產探測在資產識別方面將進一步結合人工智能技術，為網絡資產指紋的自動化提取和未知設備識別提供新的方法和理念，提高網絡資產探測和識別的效率和準確率；網絡空間拓撲分析將在網絡實體定位和多層級映射方面，融合地理數據庫、資產數據庫、漏洞庫、威脅情報等資源庫，分別從聯通關系和邏輯關系的角度建立網絡空間實體之間多維度、多層次的拓撲結構圖。 

 

（原載于《保密科學技術》雜志2021年3月刊）