谈谈针对现实战争中战场的网络空间测绘

早在1999年科索沃战争期间来自美国贝尔实验室的Steven Branigan 和 Bill Cheswick在1999年3月～7月初针对南斯拉夫的网络拓扑进行每日不间断的测绘，从IP的“不断消失或者重现”的状态来验证、核实战争中军事打击对网络的摧毁程度及战后网络恢复状况的尝试[1]。

这是我看到最早通过网络空间测绘技术在战争针对战场的测绘相关的工作，显然那个时候还没有shodan也还没有ZoomEye。近年来，在传统的测绘领域通过卫星“夜光遥感”技术实现对现实战争（如叙利亚内战等）中的战争进程、战损等评估的成功应用案例。

2022年2月24日俄罗斯发起了针对乌克兰的特别军事行动，由此知道创宇旗下全球著名的网络空间测绘引擎ZoomEye也开启了针对乌克兰国家及地区的不间断的网络空间测绘探测，结合多年实际积累形成的“动态测绘”、“行为测绘”并结合创宇智脑、蜜罐、APT监测多维度数据关联的“交叉测绘”理念，实现了通过对乌克兰战场的网络时空数据的特征进行动态测绘及分析，比较全面的展示了“网络战”在现代现实武装冲突中的作用及特点，同时通过网络空间时空数据动态变化来反映本次武装冲突的进程中的战场变化，也能找到对俄罗斯使用的战略、战法、战术特点的网络空间时空数据的特点映射，当然也包括对战场战损的评估等。

在2022年3月8日知道创宇正式对外发布了《局部战争下的战场态势感知--从网络空间测绘看俄乌冲突》报告第一版[2] 做了详细的分析阐述，这里只提几个核心的结论：

1、从ZoomEye的日志观察及NDR团队对俄罗斯APT组织的监测数据反映了“网络战”中的信息收集工作早在n年前就一直在持续，有理由推测这个也是俄罗斯在24日制定的“闪电战”战法及精确打击军事等核心基础设施的战略打下扎实的基础的重要因素之一。

2、通过ZoomEye长期实战积累的“关基目标库”，对乌克兰的的关键基础设施目标及非关键基础设施目标的掉线及反弹比例进行比，关键基础设施的掉线比例远远高于非关键基础设施，这正好跟俄罗斯意在打击乌克兰军事等关键设施，而非针对平民无差别攻击的战略是相吻合的。当然从2月24日起到3月7日非关键基础设施的掉线比例整体是在持续的明显的增加，我们认为这个跟乌克兰武装冲突爆发来给民众生活社会的稳定带来了不可避免的影响息息相关。

3、武装冲突开始后乌克兰的网络空间设备在线整体是持续下降，这也侧面反映了俄罗斯在战场中的主导位置。24日大量的乌克兰IP下线后有个明显反弹，这个主要原因还是跟乌克兰在冲突开始时主动实现断网的措施导致的，随即后续的波动幅度相对较小，这个跟双方进入持续相对较小规模对抗，开始进入谈判阶段是相关的。

4、从乌克兰各州的IP地址的存活趋势比例，充分反映了本次武装冲突中俄罗斯的发起攻击的主要城市及相关进度。战场主要集中在哈尔科夫州、顿涅茨克州和扎波罗热州等，IP在线存活比例均低于62%，并持续下降，这也跟俄罗斯的进攻路线是相关的。另外比较有意思的是：

 * 克里米亚州的网络资产状况几乎不受影响这是因为俄罗斯在2014年就实际控制了该地区，并在本次冲突中通过克里米亚州攻击相邻的赫尔松州、扎波罗热州、尼古拉耶夫州等这也是俄罗斯的进军的主要方向之一，并且在赫尔松州展开了激战。

 * 基辅作为乌克兰的首府，基辅的网络资产掉线情况为“中等”（3月7日IP存活比例为81.18%）。单看这个数据你可能觉得很奇怪，但这个正好反映了当时的局势及俄罗斯的作战策略：对基辅采用“围而不攻”。这个是跟俄罗斯发起特别军事行动的目的及国际政治考虑是息息相关的（这个是一个“度”的考量，俄罗斯的根本诉求是乌克兰的中立，而不是灭亡乌克兰，这也是这场冲突的“合理”性政治考量）

以上这些是基于第一版本数据得出一些比较有意思的结论，当然我们还在持续进行测绘及相关数据关联分析等工作。另外数据的分析提取结合可视化的应用是一个非常重要的方向，能更加直观体现数据背后的“知识及智慧”[3],比如这几天我们实现通过对乌克兰各州IP地址的掉线数据转化为颜度进行了持续“叠加”，最终得出了乌克兰的从2月24日至3月10日战损趋势动态图：

再结合俄罗斯攻击路线及进度图可以非常贴切反映真实战场的情况。

小结：

“这才是真正的态势感知，真正的网络空间测绘！俄乌冲突发生以来看到太大的蹭热点的软文，这篇是目前看到最专业的报告，要数据有数据、要分析有分析、要观点有观点，知道创宇在测绘方面确实配得上NO.1”

“到目前为止，你们的这个报告还是最有料的“

......

实际上我觉得这些评价我们是当仁不让的，ZoomEye作为国际是第2个国内第1个网络空间测绘引擎，知道创宇在网络空间测绘领域已经进行了10+年研究积累，历史上我们做了大量的各种不通场景下的应用尝试，比如通过心脏留血漏洞测绘最终得到全球各国安全应急响应能力排名、通过委内瑞拉大停电及伊朗断网等事件进行测绘、通过VPN/邮件等系统增长趋势反映新冠病毒疫情开始时的影响，当然还包括一些在APT组织测绘真正做到“向前防御”等等。而本次的对俄乌武装冲突的战场测绘报告可以看出网络空间测绘技术在现实战争战场观察中的巨大的应用空间。

格局决定一切！所谓“侠之大者，为国为民”，我辈需努力开阔视野、提升技术能力，才能真正卫国卫民。

参考：

[1] https://web.archive.org/web/20060206171634/http://research.lumeta.com/ches/map/yu/index.html

[2] https://mp.weixin.qq.com/s/u2iVjDoc37WSQZa70MD-cw 

[3] https://mp.weixin.qq.com/s/fQatA5iyewqRBMWtpVjsRA

原文始发于微信公众号（黑哥说安全）：谈谈针对现实战争中战场的网络空间测绘