网络空间测绘概念理解与分析

网络空间地图拓扑测绘的定位分几层？在现实世界中，由建筑物、路网和行驶者组成了纵横交错的交通地图，相对应的由路由器、光纤和使用者组成了我们看不见的网络空间。

但与现实世界不同的是：网络空间分为人物层、设备层、网络层、物理层和地理层，这5层结构分别对应了不同的内容，如图1所示。

再将这5层结构中的内容进行相互关联，形成立体多维的网络空间地图。

图1：网络空间地图拓扑测绘5层结构与对应内容人物层：现实世界中每一个人在网络中的行为活动分析，包含其网络账号下的行为，发出的文字、音视频等，将此内容进行关联。

设备层：现实世界中的设备特征进行关联，如手机、电脑、路由器等接入网络设施的MAC地址。

网络层：如图2所示，网络层也包含5层结构，分别是国家、AS、POP、路由器、IP 地址。

各个网络层级间互联互通，IP地址为网络层中颗粒度最细的层面，也是互联网通信中最易接触到的基础信息，经常作为情报调查的入口。

物理层：现实世界中的光纤、光缆等物理设施。

地理层：现实世界中的地理建筑，地理位置等信息。

我们将5层结构的对应内容关联起来，就可以通过不同层级的信息找到想要调查的目标。

网络空间地图存在的意义之一就是将疑犯在网络空间各个层级的活动关联，在现实世界中找到他们，即在人物层定位他们的地理位置。

举例说明，通过分析疑犯在人物层发出的内容，通过案件情报关联到疑犯在网络层的IP 地址。

在其他定位方法暂无法关联到疑犯的情况下，可以使用IP地址作为切入点。

如图3所示，通过高精度IP地址定位，可以得到疑犯所在住所或活动区域，获取到这一切入点尤为重要。

图3 IP地址锁定疑犯位置切入点如图4所示，虽然IP地址定位并不是每次都能够定位到疑犯的精确位置，但以IP地址定位为基础可以再结合其他层级的信息进行补充定位（如GPS、WIFI、基站），同时通过单兵设备进行排查。

图4 通过单兵设备排查疑犯位置当然在确定疑犯位置后，还可以采用跟踪、控制设备等方式来进行反查，进一步追踪犯罪团伙。

网络测绘技术的使用教程与应用案例随着互联网的快速发展，网络测绘技术在我们的生活中扮演着越来越重要的角色。

它不仅可以帮助我们更准确地了解地理信息，还可以在各个领域提供精确的数据支持。

本文将介绍网络测绘技术的使用教程，并通过应用案例来阐述其重要性。

一、概述与原理网络测绘技术是一种通过收集、处理和分析地理空间数据的技术。

它通过使用全球定位系统（GPS）、车载摄像头、激光测距仪等设备来获取地理信息，并将这些信息转化为数字数据。

然后，这些数字数据可以在地理信息系统（GIS）中进行处理和分析，从而提供准确的测绘结果。

二、使用教程1. 设备准备在进行网络测绘之前，我们需要准备一些必要的设备。

首先，我们需要一台搭载测绘软件的电脑或智能手机。

其次，我们需要相应的外部设备，如GPS设备、摄像头等。

2. 数据采集数据采集是网络测绘的第一步。

通过GPS设备可以获取地理位置信息，而摄像头则可以拍摄现场照片。

此外，还可以使用激光测距仪等设备来获取更精确的测量数据。

3. 数据处理采集到的数据需要进行处理，以便在地理信息系统中使用。

可以使用测绘软件将数据进行转换和整合。

例如，可以将GPS数据转换为经纬度坐标，将照片与地理位置信息进行关联等。

4. 空间分析在数据处理阶段，我们可以使用地理信息系统进行空间分析。

例如，我们可以通过叠加不同层次的地图数据，找出两者之间的关联性。

此外，还可以进行路径分析、缓冲区分析等，以获取更深入的信息。

5. 数据可视化数据可视化是网络测绘的重要环节。

通过使用地理信息系统中的可视化工具，我们可以将处理后的数据以图表、地图等形式展示出来。

这不仅能够使数据更加直观易懂，还可以帮助用户更好地理解地理信息。

三、应用案例网络测绘技术在各个领域都有广泛的应用。

以下是一些典型案例：1. 城市规划网络测绘技术可以帮助城市规划师更好地了解土地利用情况、道路网络、交通流量等信息，从而进行科学合理的城市规划。

通过空间分析工具，可以预测城市未来的发展趋势，并提出相应的规划建议。

信息通信INFORMATION & COMMUNICATIONS2020年第7期(总第211期)2020(Sum. No 211)工控网络空间资产测绘平台构建技术浅析耿珂莹，李蒙(青岛工学院，山东青岛266300)摘要:随着工业企业的发展,SCADA 、DCS 、PLC 、测控设备等共同构成工业控制系统已经成为现代生产控制系统的核心。

与此同时，企业信息化的发展，导致过程控制系统网络同上层的信息网络管理直接连通，一方面实现了生产环境和管理 环境的信息交互，另一反面则使控制系统网络一定程度上直接暴露到了互联网，最终导致源自互联网的攻击风险大增。

近年一系列工控网络安全事件，倒逼工业企业必须实现过程控制系统的运行安全。

工控网络空间资产测绘则是保证工 业控制系统的安全稳定运行的基石，文章对工控网络空间资产测绘平台原理和功能进行了深度剖析并明确了其典型应用场景。

关键词：工控安全;工控漏洞；工控网络空间资产测绘平台中图分类号:TP393.08 文献标识码:A 文章编号：1673-1131(2019)07-0079-020引言伴随着21世纪网络信息化的日益发展，工业企业信息化进程正在飞速发展，工业企业间的信息交互，生产环境和管理环境的互通，使得数据生产能够轻松完成汇总分析，大幅提高 了企业生产和管理效率。

与此同时，信息系统的互联互通也产生了大量的工业网络安全威胁事件，工业控制系统的安全则是企业安全生产的核心。

现代工业企业运营中，SCADA 、DCS 、PLC 等各种过程控 制系统是生产系统的核心，负责生产控制和监控。

一旦这些 过程控制系统遭受威胁和破坏，必然会对给工业生产带来不同程度的影响，轻则带来重大经济损失,重则危及人员生命安全甚至造成社会危害。

加强工控系统安全建设，首先要实现工控网络空间资产的全面、准确测绘。

本文的工控网络空间资产测绘平台可以通过被动探测技术和各种识别技术快速得到准确的结果分析,进而保证整个工业生产流程的正常运行。

测绘技术在城市信息安全与网络空间管理中的应用注意事项和常见问题解析随着城市化进程的加快和信息技术的飞速发展，城市信息安全与网络空间管理日益成为城市管理和发展的重要内容。

而测绘技术作为一种重要的信息获取和处理手段，在城市信息安全与网络空间管理中发挥着重要的作用。

然而，在应用测绘技术进行城市信息安全与网络空间管理时，我们也需要注意一些问题，并及时解决常见问题。

首先，我们需要重视测绘技术在城市信息安全与网络空间管理中的应用。

城市信息的安全和网络空间的管理是城市发展和社会稳定的重要支撑，而测绘技术的应用正是保障城市信息安全与网络空间管理的重要手段。

测绘技术可以通过获取和处理地理信息、地图制作和更新、空间数据管理等方式，提供基础地理数据和信息支撑。

在城市规划、土地管理、建设与维护等方面，测绘技术可以提供精确的空间数据和信息，为城市信息安全与网络空间管理提供可靠的基础。

其次，我们需要注意测绘技术在城市信息安全与网络空间管理中的有效应用。

测绘技术在城市信息安全与网络空间管理中的应用需要结合实际需求，并进行科学规划和合理布局。

只有根据城市发展的需求和问题，有针对性地应用测绘技术，才能更好地实现城市信息安全与网络空间管理的目标。

例如，在城市规划阶段，可以利用测绘技术进行数据采集和分析，绘制详细的城市基础地理信息图，为城市信息安全与网络空间管理提供依据。

在城市建设和维护阶段，可以利用测绘技术进行空间数据管理和更新，确保城市信息的及时更新和准确性。

同时，我们也要关注测绘技术在城市信息安全与网络空间管理中可能遇到的问题，并及时解决。

常见问题包括数据隐私和安全性、数据精度和一致性、数据共享和权限管理等方面。

在测绘技术应用过程中，我们需要注意保护用户的隐私和敏感数据，确保数据的安全性。

另外，由于测绘技术所涉及的数据量庞大，数据精度和一致性也是一个需要解决的问题。

通过建立精确的数据采集和处理标准，以及加强数据质量管理，可以提高数据的精度和一致性。

网络空间测绘技术在网络安全中的应用随着互联网与计算机网络技术的飞速发展，网络空间已经成为了人类生活中延展出的另一个维度的新空间。

网络空间安全关系到国家安全、军事外交、经济社会等领域的发展。

一旦网络空间受到了威胁，所有基于互联网运行的社会系统将会受到威胁。

所以，网络空间的全面管控、实时监测、资源分配及保护成为一个必须要解决的问题。

网络空间测绘技术通过网络空间探测、数据挖掘、数据清洗、算法分析等方式，获取网络空间中设备和基础设施、互联网用户等网络战略资源的地理信息、网络信息、社会信息；通过网络空间可视化技术，以地理地图或逻辑图的形式绘制出来，从而实时地反映出网络空间中各项资源的基础信息和发展变化态势。

本文将从多个不同层面讲述网络空间测绘相关技术现状，以及其在网络安全领域中的具体应用。

网络空间拓扑测绘，作为网络空间地图的基础能力，可以从国家级、AS级、POP级、路由器级别、IP级别等5个级别对网络空间的拓扑结构进行绘制。

能够对“一带一路”沿线国家、地区进行网络监测，了解其网络特征及连接情况，保障国家“一带一路”的海外利益。

能够针对国家间，在网络空间领域的利益对抗，进行根源挖掘。

超高精度IP地理位置定位，采用将数据挖掘与网络测量相结合的总体模型，搭建先划分IP地址应用场景再进行IP地址定位的技术架构，利用动态IP地址多区域定位算法，形成街道级IP地理位置定位库，极大程度上提升了IP地址定位的精确度和覆盖度。

能够对海外重点目标网络实体逆定位、能够发现隐蔽据点，可以准确地发现并定位存在网络断网或者网络劫持隐患的关键信息基础设施。

全球网络波动监测，针对网络空间地图的态势变化情况进行大数据感知，可以快速地、全面地、准确地发现BGP网络断网事件与BGP网络劫持事件。

不仅可以比媒体报道提前几小时甚至十几个小时掌握全球各国家、地区大规模网络断网事件和网络劫持事件，更可以分析出网络断网和网络劫持背后的深层次原因并还原事实真相。

网络空间测绘技术的实践与思考陈庆　李晗　杜跃进　张义荣(360集团,北京100015)摘要:作为支撑数字化转型的基础,网络安全自身的数字化升级和转型也面临急迫的要求㊂网络空间测绘技术作为网络空间安全和网络空间地理学的交集中的重要组成部分,也是网络安全自身数字化转变的重要技术支撑,因此受到业界越来越多的关注㊂该技术在网络安全领域的实践已经包括了资产管理㊁攻击面发现㊁自动化渗透测试㊁漏洞事件应急㊁挂图作战㊁态势感知等一系列应用方向,并显示出一些问题㊂通过对这些问题进行分析,提出网络空间测绘技术应用方向的具体建议㊂关键词:网络空间测绘;网络安全;测绘定义网络中图分类号:TP393.2 文献标识码:A引用格式:陈庆,李晗,杜跃进,等.网络空间测绘技术的实践与思考[J].信息通信技术与政策, 2021,47(8):30⁃38.doi:10.12267/j.issn.2096⁃5931.2021.08.0050　引言近年来,网络空间测绘已成为网络通信技术㊁网络空间安全㊁地理学等多学科交叉融合的前沿领域[1]㊂该领域关注网络空间信息的 全息地图”,构建能面向全球网络实时观测进行准确采样㊁映射和预测的强大基础设施,通过采用网络探测㊁采集㊁汇聚㊁分析㊁可视化等方式,将网络空间资源属性以及网络资源间的关联关系进行建模和表达,实现全球网络空间全要素全息数字化映射和可视化地图展现[2],以反映网络空间资源状态变化㊁网络行为和上层人类意图㊂网络空间测绘将作为数字化时代实现数字化生产生活和数字化治理的基础设施,同时还与网络空间自身发展演进相互作用㊁相互影响,为构建全球网络空间命运共同体提供新视角和新技术㊂1　网络空间测绘的主要应用领域展望结合目前的网络技术和数字化发展愿景,网络空间测绘的应用场景主要包括网络安全应用领域㊁数字化管理应用领域以及测绘定义网络领域㊂随着技术进步㊁时间发展和应用的不断深化,这三个方向是层层递进的(见图1)㊂图1　网络空间测绘的三大主要应用领域网络安全应用是测绘应用的起步;数字化管理应用是指面向城市㊁产业以及社会个人的全面数字化变革背景下,为它们提供基于测绘的丰富管理场景;测绘定义网络则是基于 端”与 网”测绘的融合,以实现丰富的联网资源调度和自组织网络业务场景㊂从第二个方向开始,测绘将立足安全,超越安全,深入融合到数字化经济的场景中㊂1.1　网络安全应用网络空间测绘对网络安全应用的进步有重大支撑作用,网络攻击与现实世界有着密切的关联[3],在这个方向上将网络空间挂图和网络空间作战任务耦合是需求强烈的发展方向㊂从最早开展的资产发现和漏洞检测,到近年来大热的威胁情报分析和态势感知,再到面向未来的网络空间作战地图,网络空间攻防对抗需求激增带动了网络空间测绘技术不断发展进步㊂目前,典型的场景包括数字资产识别与脆弱性侦测业务,面向特定区域的网络情报分析挖掘业务㊁关基监管㊁挂图作战和态势感知业务㊁实战攻防演练和靶场业务,以及对网络空间新风险的定义和分析等㊂1.2　数字化管理应用随着相关数字化产业的全面崛起,网络空间测绘的应用需求将更广泛地应用于数字化及数字孪生的各类产业场景中,从数字化城市㊁数字化产业到数字化社会㊂面对海量数字资产,无论是城市㊁工厂,还是个人,将愈发依靠测绘技术来支撑其所属㊁租用㊁关联的资产管理和业务㊂典型的业务应用领域包括数字城市建模与运营㊁物联网和工业互联网资产监控管理㊁制造业数字孪生车间管理㊁面向个人的数字化生产生活全生命周期管理㊁数字化转型的成效实时科学度量等㊂1.3　测绘定义网络目前的测绘应用领域主要还局限于 端”的探测,而未来网络空间测绘将更多地实现网的测绘㊁端网的融合以及基于测绘的网络优化㊂基于多云环境㊁云边协同计算和SDN应用进程的加快和普及的背景,从网络空间资源调度方向上,如果将端网测绘融合作为基础,突破现有的网络 硬架构”,即可实现灵活实时的联网资源调度和网络路径选择,以及弹性的可任意复制或折叠的自组织网络及其资源,将其称为测绘定义网络(Surveying&Mapping Defined Network,SMDN)㊂SMDN将带来丰富的应用场景,例如对一个组织或城市拥有的在线算力,以及根据业务需求和治理需求进行整体度量和调度优化;由于上层业务的变化构造与之相适应的网络传输和自组织网络安全防护结构;或者对某个区域的网络进行即时测量和仿真复制引流;通过多层映射反映人类因素的网络空间行为测度和影响分析等㊂2　网络空间测绘在网络安全领域的应用2.1　网络空间测绘在网络安全领域应用的回顾2008年以来,国内外相继出现了网络空间资源测绘方面的相关工作㊂美国作为网络空间资源测绘最早和最成熟的国家,在国家安全和商业应用领域都取得了体系化的进展[4]㊂(1)2008年启动的SHINE(SHodan INtelligence Extraction)计划关注于美国本土关键基础设施相关设备的网络和安全态势,搭建本国关键基础设施安全保护框架的基础支撑㊂(2)2012年11月发布的DARPA PLAN X”计划(已改名为Project IKE),构建了面向网络空间作战支撑的数字地图,使军事人员可以通过可视化的方式建立㊁执行并增强其网络空间的作战方案㊂(3)2013年曝光的 藏宝图计划”以全网数据为对象,实现了多层次大规模信息探测和分析,目标是将整个网络空间的所有设备在任何地点㊁任何时间的动态都纳入该计划监控中,绘制近乎实时的㊁交互式的多维度全球网络空间地图㊂此外,在商用领域国内外陆续推出了一系列面向公众开放的互联网网络空间测绘和资源检索系统及服务㊂早期主要有国外的shodan.io㊁censys.io,中国的㊁fofa.so等㊂这些系统和服务面向全球联网设备和服务进行探测,并结合用户社区收集和公开漏洞数据等形成集社区运营㊁网络空间测绘㊁资产数据搜索和漏洞风险关联于一体的互联网商业服务体系,同时输出部分能力到其他领域㊂2.2　主要网络空间测绘技术领域在当前网络安全领域中,比较活跃的网络空间测绘商用系统的设计思想和初期理念,基本参考了互联网上2012年发布的一篇匿名黑客的报告:‘Internet Census2012(互联网普查2012)“[5]㊂该报告描述了其首先使用Nmap脚本引擎(NSE)在互联网上探测到数量惊人的无认证或默认认证的嵌入式设备,并侵入这些设备,构建了约42万台探测用的僵尸网络Carna Botnet㊂接下来利用Carna Botnet对全网所有IPv4地址进行扫描,包括常用端口㊁ICMP Ping㊁反向DNS和SYN㊂在此基础上,进行数据分析并估算了IP地址的使用情况,最终在报告中展示了多维度数据统计分析结果,绘制了全球网络空间IP使用情况的动态图㊂这篇早期的匿名报告充分体现了当前网络安全领域网络空间测绘系统所遵循的主要技术思路和工作步骤(见图2)㊂图2　Carna Botnet测绘互联网的主要步骤2.2.1　基础探测基础探测部分的理念及技术主要来自于Nmap (Network Mapper)和Zmap开源项目[6]㊂Nmap是Gordon Lyon在1997年开发的网络扫描引擎,通过发包和回包分析实现对网络中主机和设备的探测分析,广泛应用于网络管理与网络安全领域㊂Zmap于2013年诞生于密歇根大学,当时Zakir Durumeric㊁Eric Wustrow和J.Alex Halderman构建了单包的Zmap扫描引擎,主要用于网络安全研究㊂Zmap相比Nmap,最大的特点是实现了发包和回包分析的分离,采用了无 状态的扫描技术,没有进行完整的TCP三次握手,从而实现了大规模的单向发包探测能力㊂图3为Zmap 架构图㊂此外,在Zmap的基础上,Masscan开源项目也采用了类Zmap的无状态扫描技术,通过使用PF_RING,最快可以达到6min内扫完全互联网的速度[7]㊂当然,一个网络空间测绘系统除了底层的扫描引擎之外,探测节点的资源数量㊁质量和分布也是探测能力的决定性因素㊂2.2.2　产品识别在扫描探测基础上,真正为网络空间测绘赋予现实意义的,就是对探测数据进行的产品设备级的分析识别㊂测绘资产的识别是通过IP属性㊁产品信息等数据关联分析的,图4列举了一些典型的关联逻辑㊂图3　Zmap架构图 网络空间中探测到的数据主要有组件资源数据和服务资源数据,如何能够对一个IP的整个攻击暴露面进行识别,主要依赖于以下技术和策略㊂(1)端口策略:对多少个端口进行探测㊂(2)协议识别:对多少种协议进行探测㊂(3)产品识别:能够识别多少设备或组件㊂(4)服务识别:能够识别多少应用服务㊂最终,网络空间测绘系统在应用中形成了端口策略㊁协议库以及产品的特征鉴定库,后者也是这类系统的最重要指标之一,或称为产品指纹特征库㊂在产品识别的基础上,部分系统通过资产数据属性关联,就能得到资产对象库㊂2.2.3　漏洞感知漏洞感知能力其实是数据分析方向上的一种方式,这里单独提出来论述,是因为在现有的技术应用中,对漏洞的感知不单单依靠数据的关联,还为用户提供了进一步验证自身资产有关的漏洞的能力㊂因此,漏洞验证技术的应用,也自然成为了此类系统的核心技术之一㊂漏洞数据关联的方式是基于漏洞信息与产品版本的对应关系而实现的㊂漏洞是数字化时代的网络攻防战略资源,现在的行业共识是人编写出来的程序就一定有漏洞存在㊂Synopsys公司发布的‘2020年开源软件风险分析报告“指出,在审计范围内,75%的开源代码库有漏洞,49%的开源代码库含有高危漏洞㊂漏洞是依附于产品版本而存在的,伴随着不断公布的新漏洞,通过产品识别进行关联,是漏洞应急响应的重要环节㊂然而,仅依靠漏洞跟产品数据层面上的简单关联,会为漏洞感知带来很多误报㊂其原因一方面在于无状态扫描探测技术的数据误报率比较高,另一方面也在于产品指纹库匹配不够精准㊂因此,仅依靠数据关联获取漏洞感知,会带来巨大的数据噪声,从而影响正常的判断工作效率㊂比较成熟的测绘系统往往通过提供漏洞验证技术,让用户对自身具体资产的漏洞影响情况进行实际验证测试,从规避或减少这种漏洞误报噪声对业务结果的影响㊂2.2.4　数据分析当前主流系统的数据分析技术主要侧重于网络安全攻防领域方面的应用,以下从两个方面来进行说明㊂(1)不同数据维度:主流系统的数据层次更多的是局限在网络设备层和网络应用层进行关联分析,在某些用户场景下,也结合了地域属性㊁管理属性和组织属性㊂(2)数据时间维度:数据时间维度分析的重点在于实时分析的快速要求,和历史分析的全量要求㊂由于在攻防对抗环境下,漏洞的利用时间差有可能影响攻防竞争的成败,因此在漏洞相关的实时性分析上,需要网络空间测绘系统提供更及时和精准的能力㊂而在历史数据的整理分析方向上,对全时间㊁全量数据的要求就被提升上来㊂2.2.5　地图绘制地图绘制技术的实质是网络空间可视化表达和可视化分析技术的业务场景应用;也是当前网络安全领域主流网络空间测绘系统较弱的技术部分,主流活跃的大部分系统仅实现了对资产数据的简单可视化展现,缺乏网络空间地理学测绘技术和业务管理的有效支撑,更无法实现可视化分析㊂网络空间地图应用的前提是必须具备对全球网络空间的测绘能力,只有内网探测能力,缺乏全球互联网(即大网)探测经验和测绘数据,是无法实现真正的网络空间地图的绘制的㊂2.3　当前商用系统在网络安全领域的主要应用场景2.3.1　安全研究支撑服务系统采用互联网SaaS服务的交付模式,为用户开放查询检索服务㊂用户根据权限级别和购买积分的不同,获得不同的查询和下载权限,同时为用户提供了知识贡献奖励㊂这些用户主要是各企事业单位与网络安全公司的安全研究人员,从事广泛的安全研究和安全管理工作㊂而系统厂商除了可以获取订阅和积分销售的收益,还能获得用户提供的查询数据和贡献的代码和知识㊂2.3.2　全网测绘分析报告服务这种应用场景与最早的2012互联网普查一文中的应用模式非常相似,系统运营者以重要系统㊁重要厂商㊁重要漏洞㊁重要安全事件等不同维度为切入口,对全网资源数据进行探测和分析,在分析结果的基础上提供全网的专题测绘分析报告㊂2.3.3　区域资产评估和测绘服务这种应用场景通过主动扫描结合流量监控的资产采集方式,对关注区域内的联网资产进行分析和统计㊂例如,利用常见漏洞库与资产库的关联,对区域内漏洞影响资产的分布㊁数量等进行统计分析和展示;对新爆发出来的漏洞事件进行快速评估㊁定位和通报处置㊂这是一种利用测绘数据来支持态势感知能力的应用模式㊂2.3.4　企业内外网暴露面评估服务由于攻防能力的不对等,在于攻防双方资源和信息的不对等㊂因此,很多企业级用户需要从攻击视角出发,利用空间测绘技术,对内网和外网暴露在攻击面的资产进行整体排查㊁统计㊁梳理和处置㊂目前,这方面的应用已经成为了很多大型企业和事业单位在执行攻防对抗演习工作中不可或缺的环节㊂2.3.5　面向特定区域的情报数据分析挖掘业务场景定位目标是根据用户需求应用目标标注及资产发现引擎,对重点目标进行体系性资产关联分析和迭代拓展㊂并对重点目标资产进行目标体系关联挖掘,发现目标资产关联性㊂在此基础上,对目标网络资产变化态势进行监测分析及研判,及时发现并识别目标资产变化情况,为制定合理的军事决策提供数据及技术支撑㊂2.3.6　关基监管和态势感知业务在关基监管和态势感知业务中,一方面网络空间测绘系统可以直接为系统提供大网测绘数据㊁互联网暴露资产及其脆弱性的数据等,有助于网络资产云监测㊁漏洞响应等业务的开展;另一方面,将挂图和作战相耦合,改变传统安全监管依靠文字和图标的信息传递方式,实现人 资产 业务打通管理,全面助力于安全运营工作的升级㊂2.3.7　攻防演练和靶场业务在攻防演练和靶场业务方向上,网络空间测绘系统有助于实战攻防视角下的训练㊁评估和管控等业务开展㊂首先测绘系统可以对渗透资产进行远程探测,并提供对应的产品信息和脆弱性信息;其次可以对武器和训练的效果,在多次持续性探测的基础上进行即时评估;最后可以在网络拓扑测绘的基础上,对网络状况㊁蜜网防护等业务指标进行整体分析和管控㊂3　当前网络安全领域测绘应用的一些问题3.1　用户使用简易度不足的问题由于网络空间测绘系统的开发厂商大多具有安全攻防背景,目前主流的网络空间测绘系统是以类似百度的搜索框形式作为其第一用户交互界面㊂在使用中,用户通过登录访问交互搜索首页,在搜索框中需要按照系统约束的语法格式输入查询语句,以获得期望的资产搜索结果㊂由于不同的系统有不同的语法设计,导致用户在使用不同的系统搜索资产的时候,有比较高的使用门槛㊂(1)搜索框的输入方式更类似于攻防研究人员习惯的cli方式,缺乏更人性化的图形化交互,普遍以XX: YY”㊁或XX= YY”这类格式作为常用的搜索输入语法基础,有的高级语法还需要在语句中加入如 &&”㊁ II”类的管道符连接,这些输入语法对于普通的新用户难以学习㊁记忆和使用㊂(2)不同厂商设计的搜索框查询语法有较大的区别,甚至在赋值符号是冒号还是等号这些细节都有所不同,从而给使用者造成了很多认知障碍㊂(3)在搜索的首页设计上,有些系统一味追求界面设计简洁,而没有给不熟悉的用户更多提示,导致大部分新用户因为无法看懂界面而无法使用,严重影响到新用户的接受度㊂总之,当前网络空间测绘系统这类搜索框方式的使用交互设计,本质上是基于攻防研究者这些高阶用户的思维模式和习惯而制作的,缺乏从防护方的普通用户或者安全监督管理人员角度思考设计的用户交互㊂从设计风格上来说,更多地在于追求简洁㊁高冷㊁科技的设计风格,而将许多小白用户拒之门外㊂这种带有自身意识的设计并没有从更广泛的用户角度考虑,可能不是恰当的产品规划思路,也影响了系统在更大领域内的推广㊂具体表现在国内的网络空间测绘始终是在小圈子用户范围内比较火热,而在广大的网络安全用户范围内缺少使用㊂虽然通过设计favicon图标关联搜索,对近期关注热点搜索词界面上推荐直接点击等功能,可以降低系统的使用门槛㊂然而favicon只适用于Web应用,热点搜索和关联热词都有很大的局限性,还不能做到用户只需要鼠标点击,无需键盘输入语法就能任意使用系统,搜索到自己需要的查询结果这样的效果㊂如何在现有favicon等方式的基础上增加更多的点击交互性,或者考虑不以搜索框,而以更友好的图形化界面作为缺省的系统交互方式,都是需要从业者深入思考的问题㊂3.2　与当前安全管理体系兼容度不足的问题从广大的政企用户角度出发,网络安全工作不仅只是技术范畴,而是结合了安全治理㊁安全管理㊁安全运营㊁安全技术架构和安全业务的综合体系㊂新的理念的出现,要么需要与现有的安全管理体系相适应,要么需要改进安全管理体系以融合新的技术产品㊂当前网络空间测绘系统的应用,主要局限在网络安全攻防技术领域,除了部分攻防演习管理体系中,将网络攻击暴露面管理作为必须的环节,很少有防护方的管理体系将其纳入到日常的固定流程之中,也缺乏有效的安全运营㊂例如,很多企业用户的演练方案中,往往只把测绘暴露面放在准备阶段,将其作为一年一度演练的一次性任务,即使演练成功,也没有在后续的日常安全运营工作中将其作为一个持续性的工作环节,导致仍然有安全事件在演练结束后出现㊂网络空间测绘系统对现有安全管理体系的意义,主要体现在以下两个方面㊂(1)加强了现有安全管理体系中响应和分析环节的能力㊂传统的网络安全体系仅仅局限于单台设备或局部网络的风险评估和分析;网络空间测绘提供了一种全局的视角和数据,大大加强了现有网络安全管理体系这方面的能力㊂但这样也就代表着网络安全测绘系统在规划㊁设计㊁开发和实施中必须考虑和现有安全管理体系兼容的问题㊂在当前的应用环境中,往往空间测绘系统只能作为资产数据的可视化展示工程,无法真正对安全管理体系中重要环节的能力进行加强,也很难融入其中㊂(2)扩展了现有安全管理体系的事前预警能力㊂也就意味着在应用这类系统中,首先需要对现有的安全管理体系进行更新㊂需要从治理㊁管理方面进行新的规划,加强组织㊁岗位㊁人员㊁流程㊁考核㊁标准等方面的设计,来构建全新的安全管理体系㊂但现有厂商无法帮助用户做到这一点,而用户由于缺乏足够的了解也无法自行开发更新安全管理体系,导致无法实现预期效果㊂3.3　数据深入分析不足的问题在当前的网络空间测绘应用模式中,主流系统对于数据分析主要从4个维度展开,一是结合用户社区和公开收集到的漏洞数据进行风险感知;二是结合厂商和产品数据进行专题发掘;三是对漏洞感知数据可以进行周期性的挖掘,进而关联其他网络安全事件或威胁情报数据,可以做部分动态的数据分析;四是对用户的搜索数据进行关联分析,以获得更多热点分析数据㊂图5为网络安全领域测绘数据分析应用思路㊂图5　网络安全领域测绘数据分析应用思路当前的数据分析应用仅仅局限在网络安全领域的攻防信息搜集领域,对测绘数据的分析和关联,则局限在以资产设备为核心,关联相关的漏洞信息,以及部分IP地理经纬度信息㊂这样的数据分析方向无法充分发挥网络空间测绘在构建网络空间地图,全面展示网络空间信息要素的价值㊂网络空间由多个不同的但相互关联的层组成,每个层都捕获了该域上的重要特征和行为㊂例如,物理层由地理特征和物理网络组件组成,逻辑网络层主要描述静止㊁运动或物理层内使用的数据,社会角色层包括相互交互的实体以及其他两个层的数字表示㊂每层实体都分别映射,并具有不同程度的有效性㊂物理层的表示得益于数十年来在其他的战争领域使用的地理空间信息系统(GIS)的成熟㊂其他层具有零散的解决方案,可以映射网络㊁社交互动和其他有限的数据集㊂然而,当前没有覆盖多层网络空间并充分捕获层内和层间相互作用的整体映射㊂网络安全应用上的一个问题表现在:在网络空间测绘数据分析中,攻防背景的技术人员往往关注于资产的属性和关联,缺乏对网的认识和研究,以及对网络的刻画和建模能力,也很难实现端网关联映射技术的跟踪和研究㊂如何能够将网络空间多层多源数据汇入,实现大数据融合分析;如何能够实现对安全事件信息和动态数据流向的建模和表达,进而构建多层面知识图谱,实现人 网 地的多层建模和关联;这些都是从业者需要认真思考的问题㊂3.4　测绘数据面向可视及可视分析能力不足的问题网络空间测绘的可视化表达和数据可视化分析是当前应用模式中最为薄弱的一个环节㊂系统厂商应用的方向,一方面偏重于攻防对抗的漏洞分析需求,另一方面缺乏对可视化表达和分析的理论研究和数据积累㊂因此,导致有数据的不懂安全,懂安全的不懂展示,懂展示的没有数据,这样的现象也就导致了测绘展现无法实现理想的效果㊂由于上述原因,现有的主流网络空间测绘系统或者网络资源搜索引擎只能对资产数据和漏洞影响做简单的地理关联展示,这些关联展示基本上都是基于公网IP的经纬度坐标数据,甚至有些系统由于缺乏地理坐标数据,只能依靠IP归属信息做一些国家或省市级别上宏观统计的关联展示㊂这些展示基本上都是以 地图+炮”的形式来提供给用户观看,而无法做更多的业务应用㊂这一现状导致了大部分的网络安全态势系统实际上存在着业务和展示两张皮㊁无法融合使用,甚至统计数据下钻也没有的情况,不能在可视化地图上实现指挥管理,更没有在地图上可视化分析的能力㊂网络空间是不同于地理空间的一个新的独立空间,因此对网络空间的建模和展示需要考虑三个步骤:一是对社会层㊁应用层㊁网络层㊁设备层㊁地理层等多层次的信息要素进行建模和定义;二是建立这些层面信息的复杂关联关系和坐标映射系统;三是通过业务场景驱动,实现多维信息的全息展示和可视化分析和交互㊂这些都是需要从业者重视并思考的㊂多层映射将突出显示网络空间内在的复杂交互,并允许用户可视化其良性或其他影响㊂映射不仅考虑到地理特征㊁网络节点和数据,还考虑到在地理特征㊁网络节点和数据上操作的角色,从而实现对更加复杂的网络空间运营的规划和执行㊂图6为多层信息可视化思路㊂图6　多层信息可视化思路4　测绘在网络安全领域应用的改进建议通过以上分析不难看出,网络空间测绘在网络安全领域的应用,虽然可能已经走在别的领域的前列,但整体上来说,还是处于起步阶段,甚至是起步阶段的初级阶段㊂网络空间测绘是数字孪生时代的一项基础技术,也是未来网络安全体系的基础设施之一㊂所以作为基础设施的定位来看待网络安全领域的应用模式,实际上现有主流测绘系统或引擎的应用是有一些局限性和思路偏差的㊂主要表现在:重于强调攻防对抗中的资产和弱点发现,忽视了数据分析和可视化的复杂应用;重于服务高阶技术能力的用户,无形中拉高了普通用户的使用门槛;重于强调技术解决问题,忽视了用户的管理需求;重于将网络空间测绘系统视为一个 菜刀”式的工具,而忽略了很多用户需要真正有业务价值的结果㊂这些应用上表现出来的问题,导致了目前网络空间测绘应用仅仅局限在小部分网络安全行业的用户群体,而无法在更大规模的网络安全领域内普及应用㊂对于这些问题,给出了以下建议㊂4.1　关注 北向”需求:扩展网络空间测绘能力的应用边界 既要关注网络安全 南向”需求,也要关注 北向”需求㊂南向主要指技术和攻防方向,北向主要指治理和管理方向㊂从用户群体上看,要在攻防技术人员之外更多地考虑安全管理人员的工作需要;从产品业务逻辑上看,要摆脱工具化思维,将业务需要的结果通过系统使用交付出来;从产品交互设计上看,要增加点击,降低语句输入操作门槛,甚至重新设计整体用户图形化交付方式,摆脱搜索框模式,而以真正的地图形式与用户交互㊂。

信息技术网络空间测绘体系结构1 范围本文件确立了推进网络空间测绘工作角度的一种网络空间测绘体系结构——网络空间测绘工作逻辑结构。

本文件适用于指导实现网络空间的测绘工作。

2 规范性引用文件本文件没有规范性引用文件。

3 术语和定义下列术语和定义适用于本文件。

网络空间 cyberspace由网络、服务、系统、人员、流程、组织以及驻留或穿越数字环境事物构成的互联数字环境。

注：其主要依托在互联网、电信网以及各种控制系统和设备等信息通信技术基础设施载体上。

[来源：ISO/IEC TS 27100:2020，3.5，有修改]网络空间测绘 cyberspace mapping以网络空间坐标系（3.7）为基础，以网络空间地图（3.3）为目标，在统一的网络空间时空基准（3.4）和资源定义下，通过网络测量手段获取网络空间资源位置及其属性信息，实现网络空间（3.1）多尺度和多维度全景展现。

网络空间地图 cyberspace map以网络空间坐标系（3.7）为基础，依据一定的绘制法则，使用制图方法，表达网络空间资源位置及其属性信息。

网络空间时空基准 cyberspace space-time datum包含时间基准和空间基准，时间基准是指描述网络空间中事件发生时刻所采用的时间体系及相应参数，通常包括时间原点、推进方式、精度和长度等，空间基准是指描述网络空间资源位置所采用的坐标系定义及相应参数，通常包括原点、基向量和尺度等。

[来源：GB/T 39267-2020，2.2.1和2.2.2，有修改]网络空间信息系统 cyberspace information system以网络空间坐标系（3.7）和网络空间地图（3.3）为基础，创建、管理、分析以及绘制网络空间资源（3.6）的计算机系统。

网络空间资源 cyberspace resource在网络空间（3.1）中，使用网络测量手段，能够探测和感知的目标，包括基础设施，应用服务，数据资源等。

《网络空间测绘技术与实践：让互联网情报服务于网络安全》读书记录目录一、网络空间测绘技术概述 (2)1.1 网络空间测绘定义 (3)1.2 网络空间测绘发展历程 (4)二、网络空间测绘关键技术 (5)2.1 数据采集与分析技术 (6)2.2 地图构建与可视化技术 (7)2.3 智能算法与优化技术 (9)三、网络空间测绘在网络安全中的应用 (10)3.1 恶意软件检测 (12)3.2 网络漏洞挖掘 (13)3.3 钓鱼网站识别 (14)3.4 勒索软件防范 (16)四、网络空间测绘与网络安全法律法规 (17)4.1 国内外网络空间测绘法律法规对比 (19)4.2 网络空间测绘在网络安全保护中的作用 (20)五、网络空间测绘技术发展趋势 (21)5.1 技术融合与创新 (23)5.2 人工智能与大数据在网络空间测绘中的应用 (24)5.3 隐私保护与合规性 (26)六、实践与应用案例分析 (27)6.1 国内外实践案例分析 (28)6.2 实践中遇到的挑战与解决方案 (29)七、未来展望 (29)7.1 网络空间测绘技术研究方向 (30)7.2 面临的机遇与挑战 (32)一、网络空间测绘技术概述网络空间测绘技术是一种综合性技术，旨在通过对互联网空间进行全面的数据收集、分析、整理与可视化表达，为网络安全提供有力的情报支持。

在数字化时代，随着信息技术的迅猛发展，网络空间已经成为现代生活不可或缺的重要组成部分。

网络空间的复杂性和多变性也给网络安全带来了巨大挑战，网络空间测绘技术作为一种有效管理和监控网络空间的手段，受到了广泛的关注和研究。

在网路空间测绘领域，主要涉及的技术包括数据采集、数据处理、数据分析与挖掘以及可视化表达等方面。

数据采集是网络空间测绘的第一步，主要通过网络爬虫、日志收集等手段获取大量的网络数据。

数据处理则是对采集的数据进行清洗、整合和标准化，以便后续的分析和挖掘。

数据分析与挖掘则是利用数据挖掘技术对网络数据进行深度分析，提取出有价值的信息。

第一个阶段：ip+设备资产可查，可以探测互联网暴露面存在的硬件属性、业务属性。

在网络空间测绘技术发展的第一阶段，TCP/IP模型没有严格按照ISO的七层结构去执行，但是也可以分为物理层、网络层、传输层、应用层。

其中物理层在实现模型中对应的是硬件层，网络层和传输在实现模型中对应的是操作系统，应用层在实现模型中对应的是应用程序、应用框架、中间件和数据库。

我们在第一阶段需要做的事情就是通过IP地址探测它的端口号，看它开了哪些端口，以及这些端口有哪些指纹信息。

那么通过指纹信息我们就可以判断它的硬件类型、厂家、品牌、型号等，还可以判断它的操作系统、服务、应用及版本。

通过这种方式，我们知道了一个IP地址的硬件属性、业务属性。

现在网上有很多已经公开的漏洞库，我们通过扫描一个IP地址的指纹信息再去匹配一些已知的漏洞，这样我们就知道IP地址有什么风险，那么我们就可以对整个网络空间进行探测，这么做的目的是提前对风险做出预警。

第二个阶段：ip+设备+位置资产可定位，可以梳理资产的地理属性、网络属性、通联属性。

地理属性：地理属性就是它是属于哪个州、哪个国家、它的区县和街区以及经纬度等位置信息。

有一些IP地址比如说企业办公网络是可以定位到具体的写字楼上的，这种情况下我们就可以知道IP的使用者是谁。

注意，这个使用者和whois中查到的信息是不一样的，以小米为例，它在whois中查到的信息是北京电信，实际上北京电信是这个IP的所有者，当时它是被小米租赁了，所以实际的使用者是小米公司，但是whois只能查到IP的拥有者是北京电信。

网络属性和通联属性：当我们知道这个IP属于什么企业，也就知道了它属于哪种企业类型，是金融公司、安全公司还是我们国家关键基础设施，像水利、银行、交通、电厂等，如果我们知道它是属于国家的哪些关键基础设施，也就可以知道它的应用场景，比如它是一个静态IP还是动态IP，知道它是22种细粒度场景划分中的哪一种。

控制层面拓扑指的是BGP的路由信息，数据层面拓扑指的是traceroute探测的拓扑信息，每个路由器下面的关联机构指的是一个路由器下面它会服务多个政府单位、多个科技公司、金融公司，那么我们就会把网络空间逻辑层上面属于同一个路由器下面的多个实体进行标注，这种路由器我们称作高地路由器。

网络空间资源测绘：概念与技术
郭莉;曹亚男;苏马婧;尚燕敏;朱宇佳;张鹏;周川
【期刊名称】《信息安全学报》
【年(卷),期】2018(003)004
【摘要】网络空间资源测绘是对各类网络空间资源及其属性进行探测、融合分析和绘制.本文给出网络空间资源测绘概念和技术体系,主要包括:网络空间资源测绘的相关概念,网络空间测绘对象的分类体系和属性框架;提出网络空间资源测绘的技术体系模型,并从协同探测、融合分析和全息绘制三个层次探讨网络空间资源测绘的关键技术;以网络资产评估、服务测绘两个应用场景为例,对网络空间资源测绘技术体系的应用进行详细阐述.旨在为网络空间资源测绘理论和技术的研究和发展奠定基础.
【总页数】14页(P1-14)
【作者】郭莉;曹亚男;苏马婧;尚燕敏;朱宇佳;张鹏;周川
【作者单位】中国科学院信息工程研究所信息内容安全技术国家工程实验室北京中国 100093;中国科学院大学网络空间安全学院北京中国 100049
【正文语种】中文
【中图分类】TP393.0
【相关文献】
1.城市湾区空间资源公共开放策略r——香港维多利亚港湾规划研究及威海四季海湾概念规划实践 [J], 陈小军;王静;徐鑫
2.网络空间测绘的概念及其技术体系的研究 [J], 周杨;徐青;罗向阳;刘粉林;张龙;胡校飞
3.网络空间测绘概念理解与分析 [J], 齐云菲;白利芳;唐刚;朱信铭
4.网络空间测绘概念理解与分析 [J], 齐云菲;白利芳;唐刚;朱信铭;;
5.网络空间资源测绘：概念与技术 [J], 郭莉;曹亚男;苏马婧;尚燕敏;朱宇佳;张鹏;周川;;;;;;;;;;;;;;
因版权原因，仅展示原文概要，查看原文内容请购买。