网络测绘：立体呈现网络事件细节知多少？

文/李晗

导读

光纤、机房、IDC？服务器、路由器、DNS？中间件、数据库、操作系统？网站、论坛、APP？网络空间有什么大家都能说几句，但毫无疑问这些都是定性的描述。网络测绘的一个重要任务就是要尝试对网络空间进行定量描述，而在对网络空间进行定量刻画时会遇到的什么难题？又有怎样的突破点？本文分析了将网络空间坐标系应用于网空定量描述和空间建模的意义和做法，并介绍了360QUAKE在此方面进行的探索。

坐标是空间中一个物体的相对位置，坐标系统就是一个参照系统。习近平总书记强调工作要确定“坐标”[1]，明确重要节点在全局中的位置。可见，确定坐标是顺利完成全局工作的重要基础。网络空间对标地理空间的长-宽-高三维坐标系，是否也存在坐标系，即一种分层投影视角下的空间建模方法，这对网络测绘进行定量描述具有十分重要的意义。

基于定量网络测绘的网络空间安全防护，不但能弄清网络空间重要节点及节点间的相对关系，还能更加游刃有余地部署和调度在线资源，有所重点地部署安全防护能力。

一个难题

网络空间怎么进行定量描述？

定量描述网络空间的三个重要方面是端、网和端网多层映射。

• 端指数字资产，可以节点或单元看待，包括网络设备和网络服务；

• 网是端之间的互联互通逻辑，主要有链路和链路性能；

• 端网多层映射是为了让数字资产放在一个上下文环境中，能被识别出角色，进而判断价值。

当前业界在网络空间测绘基本侧重于网络资产的测绘，但对网及端网多层映射还涉及较少。主要原因在于网的测绘需要的基础设施构建门槛较高，观测周期较长，数据分析难度较大。本质是全球网络空间的复杂性使得人们对网络空间的刻画和表达仍然很浅，缺乏对坐标系的研究和选取，导致节点价值评估难，事件影响面评估难，在线协作资源运用和调度难。

∆ 图1：网络空间测绘需要关注的领域及发展现状

尽管对网络空间的严密描述很难，但幸运的是，业界有一些初步研究成果可以支撑我们提升对网的理解和表达上，进一步转化应用可提升网络空间测绘水平的提升。

一个解决方法：

为网络空间建立一个坐标描述

清华大学一项研究成果为网络空间引入了较合适的坐标系描述[2]，模仿物理空间的长-宽-高3维坐标系，提供了一种容易理解且易于实现的网络空间可视化技术。

该研究成果介绍网络空间坐标系一般有三种选择：

（一）采用一种叫希尔伯特曲线的方法将IP地址1维空间外推至2维，形成2维IP地址坐标系，解决了稀疏空间的可视化问题，适用场景是展现数字资源的分布规律。

∆ 图2：维IP地址可视化，一方格代表一IP地址段，颜色不同表示利用率不同。来源：[2]

早在CarnaBot时期该技术已经被运用于实现全球IPv4地址空间资源的宏观分析和演变观测。图3展示了24小时以内全球IPv4地址在线情况的变化，每30分钟探测一次，共48帧图像合成动图，颜色越暖色调上线IP越多。每个/4地址块有2.68亿个IPv4地址，可以观察到在有些/4地址块中IP地址资源使用分布均匀，另一些地址块中则集中在某一些局部，反映了地址资源的演变规律。通过可视化宏观情况，发现感兴趣的局部，再结合IP地址的归属组织可以进行深入分析。

∆ 图3 全球IPv4地址资源24小时内使用情况。：

图4展示了基于全球地图的IPv4地址24小时在线变化情况。其中可以观察到欧美地区网络发达，较世界其他地区分布均匀。此外，区域冷色调中的暖色点，区域暖色调中的冷色点是异常情况，值得深入分析。

∆ 图4 基于全球地图的IPv4地址24小时在线变化情况。：

目前这项技术经智库建议，已经应用在全网数据库测绘的报告中，对脆弱数据库攻击面发现具有重要意义。

点击文末查看原文，查看原始报告。

（二）采用IP地址+端口号形成3维空间坐标系，用于展现网络服务、网络流量的特征分布，洞察细粒度的网络行为变化，如图5所示。适用场景是监测关键基础设施网络流量的变化情况，基于安全基线视图，快速有效定位脆弱点，有利于发现异常服务和流量。

∆ 图5 IP地址+端口号（z轴）3维空间，颜色不同区分出入流量. 来源：[2]

（三）与生成2维IP地址坐标系一样，生成2维AS号（Autonomous System,网络自治域）坐标系作为一个平面，再辅以流量度量的点对点连接，构成3维空间，形成跨地域的网络空间宏观视图。适用场景是对大尺度地理范围内域间路由连接关系进行可视化监测和分析，可以发现路由劫持等网络安全事件，对态势感知具有重要意义，如图6所示。

∆ 图6 AS号+IP地址数（z轴）3维空间。金黄色立柱表示对应AS域IP地址数。红色弧线连接流量起始和终点AS。来源：[2]

网络测绘采用网络空间坐标系的落地建议

网络空间可视化是支撑网络测绘的一项基础性技术，体现了对网络空间及网络空间事件的理解和运用水平，外化表现为全球网络空间测绘能力强弱。落地时有以下三点经验和建议：

1、在网络测绘基础能力的构建中，注意提升对网的刻画和建模能力，发展分布式测量、链路发现、别名解析等技术。

2、加强端网关联映射技术的跟踪和研究，并基于知识图谱技术，打通不同渠道和层面收集提取的知识，构建多层映射策略库和知识库。

3、网络坐标系是网络空间可视化的基础，但并不存在普适性的网络坐标系，因此网络空间可视化也不存在一劳永逸的方法，建议先针对典型网络安全事件和场景，可考虑用多个坐标系呈现。

参考资料：

[1] 习近平总书记在2017 年10 月25 日十九大闭幕会见中外记者时指出：重要时间节点是我们工作的坐标. http://www.xinhuanet.com/politics/2017-11/07/c_1121920216.htm

[2] Miao C , Wang J , Zhuang S , et al. A Coordinated View of Cyberspace[J]. 2019.

声明：本文来自360Quake空间测绘，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。