网络空间测绘在安全领域的应用（上）

近年来，网络空间测绘已经跻身为网络通信技术、网络空间安全、地理学等多学科融合的前沿领域。

该领域聚焦于构建网络空间信息的“全息地图”，致力于建立面向全球网络的实时观测、准确采样、映射和预测的强大基础设施。

通过采用网络探测、数据采集、信息汇聚、深度分析以及可视化等手段，网络空间测绘对网络空间资源属性以及网络资源间的关联关系进行建模和表达，实现全球网络空间全要素全息数字化映射和可视化地图展示，从而反映网络空间资源的状态变化、网络行为和使用者意图。

在数字化时代，网络空间测绘被视为实现数字化生产、生活和治理的基础设施之一。其作用不仅局限于提供全球网络的详实地图，还与网络空间的发展演进相互作用，相互影响，为构建全球网络空间命运共同体提供新的视角和先进技术。

具体而言，网络空间测绘在应用场景方面主要涉及网络安全、数字化管理以及测绘定义网络等领域。而在这三个方向的层层递进中，网络安全应用可谓测绘的起步。那么，网络空间测绘在安全领域究竟发挥着怎样的作用呢？

一、网络空间测绘的发展

自 2008 年以来，国内外纷纷涌现了网络空间资源测绘领域的相关工作，其中 M 国作为最早和最成熟开展网络空间资源测绘的国家，在国家安全和商业应用领域都取得了系统性的进展。

在 M 国，2008 年启动了 SHINE 计划（SHodan INtelligenceExtraction），该计划专注于对 M 国本土关键基础设施相关设备的网络和安全态势进行监测和分析。其目标是搭建本国关键基础设施安全保护框架的基础支撑，为网络空间安全提供有力支持。

2012 年 11 月，M 国国防高级研究计划局（DARPA）发布了“PLAN X”计划，后来更名为 Project IKE。该计划旨在构建面向网络空间作战支撑的数字地图，使 J 事人员能够通过可视化的方式建立、执行和增强网络空间的作战方案。

这一举措推动了数字地图技术在 J 事领域的应用，为网络空间的防御和攻击提供了新的工具和视角。

2013 年曝光的“藏宝图计划”更是以全网数据为对象，实现了多层次大规模信息探测和分析。该计划的目标是将整个网络空间的所有设备在任何地点、任何时间的动态都纳入监控中，绘制近乎实时的、交互式的多维度全球网络空间地图。这一计划在全球范围内推动了网络空间测绘的技术创新和发展。

此外，在商用领域，国内外陆续推出了一系列面向公众开放的互联网网络空间测绘和资源检索系统及服务。

早期主要有国外的http://shodan.io、http://censys.io，以及中国的http://zoomeye.org、fofa.so 等。这些系统和服务针对全球联网设备和服务进行探测，结合用户社区收集和公开漏洞数据等，形成了集社区运营、网络空间测绘、资产数据搜索和漏洞风险关联于一体的互联网商业服务体系。这些平台不仅输出了部分能力到其他领域，同时也促进了全球范围内的信息共享和合作。

二、网络空间测绘在安全领域的应用

在当前网络安全领域中，一些活跃的网络空间测绘商用系统的设计思想和初期理念基本参考了 2012 年发布的一篇匿名黑客报告-《InternetCensus 2012》。

该报告描述了研究者首次利用 Nmap 脚本引擎(NSE)在互联网上对数量惊人的无认证或默认认证的嵌入式设备进行了探测，并侵入这些设备，构建了 Carna Botnet，一个包含约 42 万台探测用的僵尸网络。

随后，利用 Carna Botnet 对全网 IPv4 地址进行了广泛扫描，包括常用端口、ICMP Ping、反向 DNS 和 SYN 等。通过对扫描数据的分析，研究者估算了 IP 地址的使用情况，并最终在报告中呈现了全球网络空间 IP 使用情况的动态图。

这份早期的匿名报告展示了当前网络空间测绘系统所遵循的主要技术思路和工作步骤。商用系统通常借鉴了这些思路，包括使用先进的扫描引擎（如 Nmap）、构建庞大的探测网络、广泛扫描网络中的设备和端口，以及通过数据分析和可视化呈现多维度的网络状态。

这些设计思想强调了对网络空间的全方位观测和探测，为网络安全从业者提供了更深入、全面的认知，帮助其更好地理解和应对潜在的网络威胁。在商用系统的发展中，这些初期理念为构建更强大、智能化的网络测绘工具奠定了基础，从而提高了网络安全的整体水平。

1.基础探测

网络空间测绘系统中基础探测部分的理念和技术主要源自于两个开源项目，分别是 Nmap（Network Mapper）和 Zmap。

Nmap 是由 Gordon Lyon 于 1997 年开发的网络扫描引擎，通过发包和回包分析实现对网络中主机和设备的探测分析，广泛应用于网络管理和网络安全领域。另一个项目 Zmap 则诞生于 2013 年，由 Zakir Durumeric、Eric Wustrow 和 J. Alex Halderman 在密歇根大学创建，主要用于网络安全研究。

Nmap 和 Zmap 在基础探测部分采用了类似的发包和回包分析的技术。不同之处在于 Zmap 实现了发包和回包分析的分离，采用了无状态的扫描技术，即没有进行完整的 TCP 三次握手。这一特点使得 Zmap 具备大规模的单向发包探测能力。Zmap 的架构图展示了其技术实现和组成结构。

另外，基于 Zmap 的思想，Masscan 是另一个开源项目，同样采用了无状态扫描技术。通过使用 PF_RING 技术，Masscan 在最快可在 6 分钟内完成对整个互联网的扫描。除了底层的扫描引擎，一个网络空间测绘系统中探测节点的资源数量、质量和分布也是决定其探测能力的重要因素。

这些开源项目为网络空间测绘系统提供了强大的基础探测能力，使其能够在全球范围内进行高效而精准的网络扫描。这些技术的发展为网络安全研究和网络管理提供了有力工具，同时也推动了网络空间测绘系统在实践中的广泛应用。

2.产品识别

在网络空间测绘中，扫描探测提供了大量的数据，而将这些数据进行产品设备级的分析和识别赋予了测绘资产以现实意义。资产的识别主要通过 IP 属性、产品信息等数据的关联分析完成。

测绘资产的识别主要依赖于对探测到的组件资源数据和服务资源数据的分析。要对一个 IP 的整个攻击暴露面进行识别，需要采用以下技术和策略：

端口策略：确定对多少个端口进行探测，以全面了解目标的端口开放情况。

协议识别：确定对多少种协议进行探测，以识别目标系统上运行的各种网络协议。

产品识别：能够识别多少设备或组件，通过分析数据中的产品信息，了解目标系统所使用的硬件或软件。

服务识别：能够识别多少应用服务，分析目标系统上运行的各种服务，了解系统的功能和服务提供者。

最终，网络空间测绘系统在应用中形成了端口策略、协议库以及产品的特征鉴定库。特别是产品的特征鉴定库，也被称为产品指纹特征库，成为这类系统的最重要指标之一。

在产品识别的基础上，一些系统通过资产数据属性关联，能够构建出资产对象库，从而更全面地了解目标网络空间的设备、组件和服务。这些分析和识别的结果为网络安全研究和网络管理提供了宝贵的信息，帮助实现对网络攻击暴露面的有效识别和管理。

（未完）

参考文献：

高春东，郭启全，江东，等．网络空间地理学的理论基础与技术路径们．地理学报，2019，74(9):518.

沈逸，江天骄．网络空间的攻防平衡与网络威慑的构建们．世界经济与政治，2018(2):4970+157.

陈庆,李晗,杜跃进等.网络空间测绘技术的实践与思考[J].信息通信技术与政策,2021,47(08):30-38.

如有问题，请联系删除