在传统的地理空间,地图作为描绘地理现象的重要载体,自古以来就是指挥作战不可或缺的工具;如今在网络空间,也迫切需要能够全面展示网络空间信息的网络空间地图,从而建立起网络空间与地理空间的关联。依托网络安全态势感知平台,将网络空间地图与平台智慧大脑有机结合,实现网络空间的“挂图作战”。
网络空间地图不仅对网络安全职能部门、行业管理部门、网络运营者、互联网企业等部门和机构有着巨大帮助,也是对涉网国际政治法律和涉网国内经济、政治、文化、法治的有力支撑。绘制网络空间地图,就是要实现对网络空间的可视化表达,这是认识和理解网络空间的重要基础。
网络空间地理学的提出为绘制网络空间地图提供了理论支撑。在“人-地-网”纽带关系理论基础上,推进对网络空间可视化技术的探索与应用,是绘制实时、可靠、有效的网络空间地图的重要内容,有助于对网络空间的科学认知及网络安全综合防控体系建设。
网络空间资源测绘是目前网络空间可视化表达比较成熟的技术,它能对网络空间中的各类资源及其属性进行探测、融合分析和绘制。代表性工作包括美国国防部高级研究计划局的“X 计划”、美国国土安全部的“SHINE 计划”、美国国家安全局的“藏宝图计划”。
此外,美国诺思公司(Norse)、俄罗斯卡巴斯基实验室(Kaspersky)等机构通过收集网络攻击数据,绘制了网络威胁实时地图。
某研究机构设计研发的“网络资产测绘分析系统——网探 D01”初步实现了网络空间资产测绘;某安全企业基于“钟馗之眼”(ZoomEye)探测的网络基础设施,绘制了全球 42 亿 IP 地址的网络空间地图。虽然网络空间测绘实现了对网络空间主要要素的探测与展示,但并未全面展示网络空间,仅是对网络空间进行了局部信息的可视化。
目前,网络空间可视化表达研究尚处于起步阶段,其发展需要以业务部门的应用需求为导向,以成熟的理论体系和技术基础为支撑。
网络安全传统的业务工作多是以文本、图表等方式进行查询与显示。由于网络空间信息量大、种类繁多、表现形式复杂,而传统的工作形式忽略了网络空间与地理空间的映射关系,无法直观表现网络空间信息的多维特性,难以多角度、全方位地提供清晰明确的信息支持。
只有对地理、资产、事件、情报等大数据进行融合分析,再加上可视化呈现技术,网络安全工作才能更智能化、自动化、可视化。
除了支撑网络安全业务之外,网络空间可视化表达也是国际关系、国际法、区域法等涉网国际政治法律问题的基础和支撑,是资源、产权、监管、司法等涉网国内经济、政治、文化、法治的基础和保障,也是国家治理体系和治理能力现代化在网络空间中进行建设和实施的基本要素和重要保障。
各类业务的迫切需求是网络空间可视化表达发展的驱动因素,亦为网络空间可视化表达提供了信息支撑与方向指导。不断拓展网络空间可视化表达的应用领域,将是下一步需要探索的重要工作之一。
地理学中完善的系统理论和地图学的成熟思想,为绘制网络空间地图提供了非常好的参考准则。“人-地”关系理论是地理学研究的核心内容,随着信息化的迅猛发展,人与人之间地理空间的限制被打破,“人-地-网”新型纽带关系逐渐建立。
在“人-地-网”关系的相互作用与融合下,将地理学的理论方法引入网络空间,为实现网络空间可视化表达提供了新思路。网络空间可视化表达主要包括网络空间要素可视化表达、网络空间关系可视化描述和网络安全事件可视化分析等(图 1)。
网络空间具有高度的复杂性,并与地理空间高度关联,共同构成了人类活动的现实空间。要绘制一组能够实时、动态、真实反应网络空间并将其与地理空间统一融合的网络空间地图,需要多种技术相融合。
网络空间要素可视化表达是网络空间可视化表达的基础,但当前尚未形成较为系统的网络空间要素分类体系。传统的网络空间要素仅根据网络空间的物质属性和社会属性进行分类,忽视了网络空间要素的地理属性。
在“人-地-网”纽带关系理论指导下,网络空间要素分类应从网络空间拓展到网络-地理空间。根据网络空间要素自身的结构和特点,并结合网络安全业务需求,本文将网络空间要素划分为地理环境、网络环境、行为主体和业务环境 4 个层次(图 2)。
1. 地理环境层。它是各类网络空间要素依附的载体,强调网络空间要素的地理属性,如网络基础设施和网络行为主体的地理位置、空间分布和区域特性,涉及距离、尺度、区域、边界、空间映射等概念。
2. 网络环境层。主要是各类网络空间要素形成的节点和链路,即逻辑拓扑关系,又可分为物理环境和逻辑环境,包含各种网络设备、网络应用、软件、数据、IP、协议等。
3. 行为主体层。包含实体角色和虚拟角色,关注网络行为主体(即实体角色或虚拟角色)的交互行为及其社会关系,包括信息流动、虚拟社区、公共活动空间等。
4. 业务环境层。主要包括业务部门重点关注的各类网络安全事件(案件)、网络安全服务主体、网络安全保护对象等。地理环境层、网络环境层、行为主体层和业务环境层 4 个层次的要素之间相互联系、相互影响,共同构成网络空间要素体系。
网络安全事件(含案件)可视化分析是指将复杂、动态的网络安全事件按照行为主体、客体和影响等,分析网络安全事件发生的驱动因素及内部机理,实现网络安全事件的态势感知和预警预报,并在网络空间地图上进行画像和过程展示。
网络安全事件可视化分析以具有地理信息特征的海量网络安全事件为基础,通过资源化整合,将网络大数据转化为网络安全事件信息资源,并借鉴地理学空间分析方法与技术,对网络安全事件的时空分布特征和网络集聚特征进行分析展示。
针对某一类网络安全事件,综合考虑该类事件的物质属性、社会属性和地理属性,获取与该类事件相关的网络空间要素集,在空间尺度上以该类事件为主体,以相关的网络空间要素集为该类事件的特征向量,采用机器学习算法对该类网络安全事件风险进行模拟分析,预测该类事件的风险分布。
业务部门在此基础上,可采用深度学习和模式识别对该类事件的发展态势进行预警预报,提升对该类事件的发现和处置能力,实现此类网络安全事件的“早发现、早预警、早处置”。
以网络安全事件中的攻击事件为例,首先根据哨点探针、威胁情报和相关数据,同时与历史数据进行匹配,分析该攻击事件的特征并对攻击事件进行溯源(图 4)。
通过实体定位技术确定发起攻击的位置及跳板位置,并在地图上以不同的颜色、宽度和方向表示当前攻击的方法、类型和方向,辅助工作人员对当前攻击事件快速了解和及时处置。
此外,及时将该攻击事件收录至网络安全事件数据库中,作为之后攻击事件分析的本底数据。而对于网络安全事件中的漏洞发现情报,则可借助重点保护单位建筑三维建模工作,快速定位至漏洞出现的空间位置。结合漏洞通报事件处置流程,快速将漏洞信息和发现漏洞的实体空间位置精确通报给涉事单位联系人,实现漏洞的快速处置,以在地图的不同尺度上服务于业务部门工作需求。
总之,网络安全事件可视化分析通过空间图、网络图的形式集中表达网络安全事件分析的全过程;结合人工智能和大数据分析技术,对攻击事件及攻击者、攻击手段等进行画像;对网络空间要素、模型运算和应急处置进行全生命周期的场景展示。当应用于网络攻击实时监控、网络安全事件追踪溯源、网络安全态势感知、通报预警、应急处置、侦查打击、指挥调度等典型业务场景时,可使业务部门的工作更加智能化、自动化、可视化。
网络空间可视化表达的终极目标在于以网络空间地图的形式全面展示网络信息,实现网络空间的具象化与数字化,从而为决策者提供直观、有价值的信息,以降低决策的不确定性。
网络空间可视化表达应以地理空间可视化为样本,融入网络空间要素和网络安全事件,从要素、关系、事件等维度丰富可视化表达内容,绘制网络空间地图,实现网络空间各类事件全过程一组图串联展示,服务公安机关的“挂图作战”,提升网络空间监测预警能力。
网络空间可视化表达的发展前期面临理论基础薄弱、技术不成熟等问题,网络空间地理学理论体系与技术方法的提出为网络空间可视化研究提供了新视角。
网络空间可视化表达的实现涉及地理学、信息技术、大数据、人工智能等诸多学科领域,因此需要多方面协同、多学科交叉融合来满足网络空间可视化表达的业务应用需求,共同促进网络安全综合防控体系建设。
本文始发于微信公众号(知道创宇):实现网络空间的“挂图作战”:网络空间地理学+可视化技术
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/259363.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论