关于数据挖掘:网络空间测绘国内外发展及现状

网络空间测绘作为一项非常重要的基础性工作，是网络空间国防能力建设的重要局部，是大国博弈背景下，网络主权、网络内地的重要体现，美国“智库”兰德公司也曾断言：工业时代的策略战是核战争，信息时代的策略战次要是网络战。网络空间测绘对推动国民经济和保障国家平安都具备非常重要的理论意义和利用价值。
在网络空间测绘畛域的起步阶段，次要集中于实践和概念的钻研 ,联合网络测量技术和地 理测绘常识 , 在资产探测、拓扑测量、IP定位层面逐渐倒退 。现阶段更重视的是在海量多 源异构数据的根底上进行信息异化和交融剖析，依据不同利用场景和需要，利用可视化术 ,联合人工智能 ,对所有信息分门别类地进行展现。

在进行全网资产探测的同时，实现对网络空间的态势感知、法则探寻，致力将网络空间、地 理空间和社会空间进行互相映射，将虚构、动静的网络空间测绘成一份动静、实时、牢靠、无效的网络空间数据地图，撑持监管机构、网络安全部门、要害基础设施行业、互联网金融行业及互联网广告等典型行业利用 。简略来说，网络空间测绘通过拓扑探测与网络资产探测两种相结合的形式，最终绘制出一份“网络空间地图”。
对于拓扑探测
互联网拓扑是由域 (domain) 形成的层次结构，一个自治零碎 (AS, Autonomous System) 为一个域，由一个或多个IP地址前缀的子网形成。各自治域内能够运行一种或几种不同的外部网关协定，如OSPF协定、RIP协定、动态路由和缺省路由来负责域内的路由抉择。各域之间的路由次要是通过BGP协定来实现。因而，依据发现的不同档次来分，可将现有的网络拓扑构造大抵分为接口级、路由器级、PoP（Point of Presence）级和AS（Autonomous System，自治零碎）级。
在接口级拓扑中，每个节点示意路由器或主机上的IP地址，节点与IP地址一一对应，节点之间的连线示意在网络层上的两个IP间接连贯。路由器级拓扑是在接口级拓扑的根底上，将同属于一个路由器的IP地址进行归并后造成的网络拓扑，每个节点示意具备一个或多个接口的主机或路由器等网络设备，两个节点之间的边示意两个设施具备位于同一个IP播送域中的接口。

PoP级网络拓扑是同属于一个AS的多个路由器的汇合,PoP 在一个 AS 外部造成骨干网络，同时与其余AS内的 PoP 连贯，并对用户提供网络接入服务，此时网络拓扑图中的每个点示意一个 PoP，两个节点之间的连线示意两个PoP之间有相互连接的路由器。在 AS 级的网络拓扑中，每个节点示意一个AS，节点间的边示意两个AS之间存在业务关系，一个AS通常可笼罩一整个天文区域，该区域内的次要城市内具备不同的PoP。因为接口级、路由器级以及PoP级网络拓扑实践上可映射到范畴较小的地理位置，而AS级网络拓扑更趋于逻辑上的概念，单个AS的笼罩区域通常较大，相比之下，接口级、路由器级以及 PoP级网络拓扑更容易被了解，因而对接口级、路由器级和PoP级网络拓扑钻研得比拟多。

对于网络资产探测
1997年，Fyodor发表文章《The Art of Port Scanning》，并公布 Nmap（Network Mapper）的第一个版本，标记着网络资产探测技术开始。Shah S提出了通过服务标识（Banner）来辨认Web服务器软件的办法。因为局部终端设备的 HTTP 返回包中并不含有Banner信息，并且Banner信息能够被伪造，因而该办法在辨认终端设备时具备肯定的局限性。起初，Lee D, Rowe J等人提出一种不依赖 Banner信息的识别方法，即通过返回的某些短语差别和超长URL解决形式差别来辨认，但该种办法可能会减少终端设备的解决累赘，造成拒绝服务，或被防火墙等设施断定为攻击行为，引发报警。在协定辨认方面，最早钻研的协定辨认技术是基于端口的协定辨认技术，基于测度辨认协定的技术等，但这些协定辨认技术的适用范围窄，灵活性较差，依据近几年美国 Ellacoya 网络钻研公司的对于网络流量情况的考察统计显示，基于 P2P 利用协定的流量超过50%，而基于 HTTP 协定的互联网流量占据全副流量的大概 1/4，因而对应用层协定的辨认成为以后钻研的重点。

国外网络测绘现状
测绘零碎打算美国是最早推利用的国家 , 目前已造成了较为残缺的网络空间探测基础设施和体系。最具代表性的有美国国家安全局（National Security Agency，NSA）的藏宝图打算，美国国防部先进钻研我的项目局（Defense Advanced Research Projects Agency，DRAPA）的X打算以及美国国土资源部（United States Department of Homeland Security，DHS）的 SHINE打算。
藏宝图打算旨在晋升外国情报生产能力，通过对网络空间多层（天文层、物理层、逻辑层以及社交层）数据的捕捉及疾速剖析，从而造成大规模的情报生产能力，并为其“五眼情报联盟”（包含美国、英国、加拿大、澳大利亚和新西兰）的合作伙伴提供情报反对。
该打算非常宏大，继续绘制整个网络空间地图，包含整个 IPv4 和局部 IPv6，关注逻辑层（路由等），但也波及物理层、数据链路层、应用层。
X打算旨在晋升美军网络空间作战能力，通过对网络战场地图的疾速描述，辅助生成作战打算，并促成网络作战工作高效推动。美国DRAPA认为，开发直观的视图和整体用户体验，将来如果网络和平变得极为寻常，那么就有必要让网络和平的打法就像操作iPhone那么简略。
SHINE打算旨在监控美国外乡要害基础设施网络资源平安状态，通过网络空间扫描引擎
（Shodan）对外乡网络空间地址列表进行平安态势感知，并由工业控制系统网络应急响应组（Industrial Control Systems Cyber Emergency Response Tea，ICSCERT）定期向其所有者推送平安通告，保障要害基础设施网络安全。除了Shodan以外，比拟闻名的还有由密歇根大学和 Rapid7 公司独特单干实现 的 Censys 搜索引擎平台，它不仅扫描了 IPv4 地址，还对域名和证书进行扫描。

国内网络测绘现状
在国家科技部重点研发、总装备部事后钻研等我的项目的反对下，国内中科院信工所、中国电子科技网络信息安全有限公司、中国电子、清华大学等科研院所和高校别离围绕网络空间资源探测、网络拓扑测量等技术发展了关键技术攻关，造成了丰盛的研究成果。
在零碎设计方面，中国电子科技网络信息安全有限公司研制了网络空间测绘零碎（简称网探D01），具备对网络拓扑、网络资产、关键人物的探测、剖析和展现能力；晓得创宇的 ZoomEye 可对寰球的路由设施、工业联网设施、物联网设施以及摄像头等基础设施进行探测；华顺信安的FOEYE 在网络资产全面测绘的根底上，以破绽为切入点，从新定义了安全事件解决和破绽扫描模式。
国内网络拓扑测量的钻研
国内学者在互联网呈现晚期就曾经开始对网络拓扑的测量开展钻研 ，并获得了一系列研究成果。但总体而言，这些钻研仍然遵循 AS、PoP、路由器、IP接口级的档次进行，从升高探测老本和晋升探测收益的角度提出了一系列创新性的办法。例如信息工程大学的路由器级网络拓扑发现、国防科技大学计算机学院的多报文组合探测、埃文科技的寰球网络拓扑测绘零碎擎天神反对寰球 68904个AS域，近43亿全量 IP。

国内网络资产探测
目前，国内在工业管制服务探测方面，曾经初步造成了以网络被动探测技术为根底的对部
分重要工业控制系统的在线监测能力，可能反对对SCADA、PLC等典型工业控制系统（设施），MODBUS 等局部工业控制协议，以及工业管制无关的通用网络服务进行探测和辨认。但和国外相比，还存在反对工业管制设施/协定等服务数量有余、感知深度不够等问题。
论断：
网络空间测绘将网络空间精确刻画与形容，造成一张“网络地图”。网络空间测绘零碎基于采集、剖析和检索方面的能力，目前已向多个行业的用户提供丰盛的测绘应用服务，如探测服务、数据服务和数据分析服务等。网络空间测绘的概念还在一直倒退，测绘广度由区域、国家视角一直拓展至寰球，测绘深度也将由网络空间物理域、逻辑域拓展至认知域、社会域。