文/天枢智库网络安全资深专家 李晗

导读

2020年7月网络安全专家、公安部网络安全保卫局一级巡视员、副局长郭启全等在《中国科学院院刊》上发表了《发展网络空间可视化技术支撑网络安全综合防控体系建设》研究文章,论述了网络空间“挂图作战”的基本理念和发展愿景,提出网络空间可视化手段还停留在初级层次,“对网络安全信息进行结构化组织与聚合的呈现能力不足”。同样在2020年7月,《贯彻落实网络安全等保制度和关保制度的指导意见》(公网安[2020]1960号)发布,旨在加强国家国计民生等重要线上业务网络安全防护能力。指导意见明确提出“研究绘制网络空间地理信息图谱(网络地图),实现挂图作战”。网络空间“挂图作战”已成为引领网安技术业务发展的关键需求,吸引众多解决方案提供商加大研发投入。那么,“挂图作战”提出的需求背景是怎样的?怎样促进其真正比过去传统方法更有创新、更有突破的落地?又如何更好地与平台智慧大脑进行结合联动?本文承接网络测绘 | 立体呈现网络事件细节知多少?》一文,对“挂图作战”进行深入解读。

本文第1部分介绍“挂图作战”的背景;第2部分阐述其基本理念;第3部分介绍可落地的技术方法;第4部分设计了主要场景;第5部分分析了“挂图作战”和平台智慧大脑结合的契机和落地建议。

1. “挂图作战”提出的背景分析

当前,公安机关网络空间监管业务提出了“挂图作战”设想,对标传统动能战采用的地理空间地图,希望设计“网络空间地图”,与网络空间“打防管控”相关的打击犯罪、重点监控、秩序管理、业务协同等进行结合,构建网络空间与地理空间相结合的可视化表达、可视化分析和可视化指挥能力。

而网络空间被普遍当作地、海、空、天之后的第五维空间。目前传统的这4个空间均是连续的三维物理空间,可以描述具有惯性、满足物理动力学理论的实体。而网络空间是一个离散、高维的空间,描绘的对象虚拟且不具惯性

目前的理论没有一套普适性的网络空间定量描述方法构建网络空间地图,仅是结合地理地图的经纬度坐标,以较粗粒度的IP地理定位实现地域宏观资产服务、事件或告警统计。网络安全态势感知通常被理解为“大屏展示”,在地图上配以声光电效果,若超过阀值,辅以“绚丽”的告警,被戏称为“地图+炮”模式

这种模式的“挂图作战”实质上仅将网络空间向经纬度上进行了投影,没有反映互联网独特的IP层(网络层)所包涵连接逻辑、连接流量和连接可靠性特征。其中连接逻辑包括但不限于网络互联政策和意图、网络服务、网络设备、虚拟账号、网络链路等要素。实际上,由于缺乏在中微观层面对各类网络事件的描述和进行适于理解的结构化组织与聚合呈现,难以支持网安分析运营人员对威胁行为做出有效理解,实际上是“感而不知”;而且由于缺乏支撑分析运营人员对疑似安全事件进行甄别核实所需的可视交互分析环境,以及高级决策人员制定决策并开展响应行动所需的交互操作环境,难以真正有效满足各种防御角色的态势感知需求,更无法有效指挥积极防御工作,实际上是感而不为”。

因此,认识到当前网络空间可视化“贫瘠”的现状,相当多有价值的信息由于对这种“贫瘠”被折损掉,是今后逐步实现网络空间“挂图作战”首先须达成的一个共识。

2. “挂图作战”的基本理念概述

网络安全专家、公安部网安局郭启全等在2020年7月发表了文章《发展网络空间可视化技术支撑网络安全综合防控体系建设》[1]对网络空间地图进行了构想,折射出“挂图作战”的基本理念。

文中受传统地理学“人地”关系理论启发,建立了网络空间“人-地-网”新型纽带关系,认为这是实现网络空间地图采用的基本技术思想。根据网络空间要素自身的结构和特点,并结合网络安全业务需求,将网络空间要素划分为地理环境、网络环境、行为主体和业务环境4个层次(图1)。

图1 网络空间要素构成(来源[1])

  • 地理环境层。它是各类网络空间要素依附的载体,强调网络空间要素的地理属性,如网络基础设施和网络行为主体的地理位置、空间分布和区域特性,涉及距离、尺度、区域、边界、空间映射等概念。

  • 网络环境层。主要是各类网络空间要素形成的节点和链路,即逻辑拓扑关系,又可分为物理环境和逻辑环境,包含各种网络设备、网络应用、软件、数据、IP地址、协议端口等。

  • 行为主体层。包含实体角色和虚拟角色,关注网络行为主体(即实体角色或虚拟角色)的交互行为及其社会关系,包括信息流动、虚拟社区、公共活动空间等。

  • 业务环境层。主要包括业务部门重点关注的各类网络安全事件(案件)、网络安全服务主体、网络安全保护对象等。地理环境层、网络环境层、行为主体层和业务环境层 4 个层次的要素之间相互联系、相互影响,共同构成网络空间要素体系。

网络空间“挂图”主要是指网络空间要素可视化表达、网络空间关系可视化描述和网络安全事件可视化分析等;“作战”是指能够支撑业务,使资产底数更清楚、事件发现更精确、威胁定位更准确、威胁分析更智能、威胁溯源更自动,有效辅助超大规模社会协同与海量网络安全事件场景下的指挥决策,如图2所示。

因此“挂图作战”的关键意义在于“作战”一定是基于“挂图”的,两者要从割裂走向有机整合。

图2 网络空间可视化表达的内涵与技术路径(来源[1])

网络空间具有高度的复杂性,并与地理空间高度关联,共同构成了人类活动的现实空间。要绘制一组能够实时、动态、真实反应网络空间并将其与地理空间统一融合的网络空间地图,需要多种技术相融合。①以地理空间可视化为基础,融入网络安全事件和网络空间资产数据,从地理、资产、事件维度丰富可视化表达,全面展示和描述网络空间资源的分布和属性,实现网络空间要素的可视化表达。②在网络空间要素表达基础上,探讨社会人、网络、地理空间与数字化信息数据间的相互关联和影响,将网络拓扑关系映射到地理空间,实现网络关系的可视化。③ 以事件为触发条件,通过图形快速串联事件、资产和地理要素,明晰各要素之间的互动关系,形成一组动态、实时、可靠、有效的网络空间作战指挥地图,提高业务部门在事件发现、取证定位、追踪溯源方面的能力和效率,使职能部门工作更加智能化、自动化、可视化。

3. 网络空间坐标系:“挂图作战”极富创新性的落地工具

第2部分虽对“挂图作战”的基本理念进行了剖析,进行了理想化和预期性的设计,在实践落地中仍需要由易到难,分步实施,努力摸索出一条路径。

结合新近技术方法和工具的成熟程度,采用网络空间坐标系是进行网络空间可视化表达的第一步。目前除了将网络空间投射到经纬度上,实现地理环境的可视化外,先期一种比较容易落地的方法是将网络环境进行部分可视化。采用清华大学王继龙教授团队的一项研究成果《A Coordinated View of Cyberspace》[2],引入IP地址、端口号、AS域号等表征网络互联特性的协议类维度进行投影,取得了不错的效果。

例如采用希尔伯特曲线将IP地址1维空间外推至2维,解决稀疏空间的可视化问题,可用于展现网络资源分布规律,如图3所示。

图3 2维IP地址可视化,一个方格代表一段IP地址,颜色不同表示该段IP地址利用率不同(来源[2])

采用IP地址+端口号形成3维空间,用于展现网络服务、网络流量的特征分布,洞察细粒度的网络行为变化,如图4所示。例如监测重点单位或区域的节点特定网络服务流量变化情况,以该坐标系下的三维信息作为特征,实施基线配置检查,快速有效定位脆弱点,有利于发现异常服务和流量。

图4 IP地址+端口号(z轴)3维空间,颜色不同区分出入流量(来源[2])

与生成2维IP地址空间一样,生成2维AS号空间作为一个平面,再辅以以流量为度量的连接表达,构成3维空间,形成跨地域的网络空间宏观视图,对大尺度地理范围内域间路由连接关系进行可视化监测和分析,可以发现路由劫持等网络安全事件,如图5所示。

图5 AS号+IP地址数(z轴)3维空间。金黄色立柱表示对应AS域IP地址数。红色弧线连接流量起始和终点AS。(来源[2])

以上举例了3类新的网络空间可视化方法,着重突出了网络属性,分别有各自擅长的场景。在实际中,为了实现底层地理空间-中层网络协议空间-上层行为语义空间的多层映射,我们可以同时采用多种表达方法,分别刻画网络空间的不同层次,通过串联起一组图,力求达到同时支持“全面看见”和“局部刻画”的要求。

4. 典型需求场景的“挂图作战”设计

根据前面的分析,本质是对网络属性刻画的缺失,导致了很多场景分析和响应的效率低下,甚至对异常“看不见”、“抓不住”。在《发展网络空间可视化技术支撑网络安全综合防控体系建设》一文中提到“依托网络安全态势感知平台,将网络空间地图与平台智慧大脑有机结合,实现网络空间的‘挂图作战’。”

可以分析得出,跟踪打磨公安机关网络安全态势感知类的主要需求,将可落地的网络地图实现与平台智慧大脑进行结合,有希望实现网络空间“挂图作战”由理念转变为现实。为此,我们调研分析了若干类公安网络监管的需求,初步设计了“挂图作战”方法,如表1所示。

表1 公安网络监管主要场景的“挂图作战”设计

序号

场景

“挂图作战”初步设计

1

DDoS攻击监测

  • 地理图展示控制端-肉鸡-受害者攻击链路的地理分布

  • 2维IP图展示攻击链路上的IP地址分布和流量,利于复现分析

  • 2维AS图展示AS级攻击链路和流量,帮助找到攻击链路上对应组织

2

针对新型病毒、漏洞的影响面评估及预防

  • 地理图展示各区域受影响节点的统计情况,用颜色深浅表示受影响的程度

  • 2维IP图展示受影响设施IP地址分布

  • 2维AS图展示受影响设施所在AS域分布

  • 基于链路大数据分析出的节点重要程度排序筛选出受影响的重要节点,如网络汇聚点、骨干交换点等,再确定受影响的链路

  • 根据后台链路数据库,自动生成受影响链路图

3

辖区内关基单位资产的持续监测

  • 地理图定位关基资产位置

  • 3维IP-端口图展示关基运行的网络服务和流量大小,形成基线视图。当流量发生异常,视图将与基线视图不同;对不同的程度进行度量,推断关基遭受的网络攻击

4

链路关键节点监控

  • 地理图定位关键节点位置

  • 3维IP-端口图展示关键节点的出入流量大小,形成基线视图。当流量发生异常,视图将与基线视图不同;对不同的程度进行度量,推断关键节点遭受的网络攻击

5

网络空间链路可视化

  • 根据路由探测得到的链路构建图数据库,采用图数据库可视化方式进行展现

5. 与平台智慧大脑进行结合的启示建议

公网安[2020]1960号文[3]明确提出“建设平台智慧大脑,依托平台和大数据开展实时监测、通报预警、应急处置、安全防护、指挥调度等工作,并与公安机关有关安全保卫平台对接,形成条块结合、纵横联通、协同联动的综合防控大格局。”

公安网络空间“挂图作战”内在动力和平台智慧大脑“实时监测、通报预警、应急处置、安全防护、指挥调度”的设计要求相呼应,本质都力求对安全事件刻画到位,并且要便于分析、决策、指挥人员更好地理解和协作应对异常情况。在平台智慧大脑的构建过程中,有以下两点建议:

1). “挂图作战”着眼于与平台智慧大脑共同构建“条块结合、纵横联通、协同联动”大格局。这表示需要对网络空间事件全过程的各类数据进行收集、汇聚、分析和展现。目前看来,运用网络空间可视化技术和工具来实现这个概念,道路还比较漫长。在实际落地过程中,我们需要由易到难地迭代实现,无法一步到位。理解并运用好已有的网络空间坐标系是使“挂图作战”概念真正实现的第一步,在市场上产品也能领先一步。

2). 须聚焦典型场景,基于建议的技术路线快速开发原型,随着业务理解深入不断修正产品和服务。网络空间“挂图作战”概念的提出,已成为各地公安科技强警背景下的高频词,结合“平台智慧大脑”,将为市面上智慧大脑型产品形成标杆案例提供最佳契机。

参考资料

[1] 郭启全, 高春东, 郝蒙蒙, 等. 发展网络空间可视化技术支撑网络安全综合防控体系建设[J]. 中国科学院院刊, 2020, 35(7): 917-924.

[2] Miao C, Wang J, Zhuang S, et al. ACoordinated View of Cyberspace[J]. arXiv preprint arXiv:1910.09787, 2019.

[3] 公安部1960号《贯彻落实网络安全等保制度和关保制度的指导意见》全文. https://new.qq.com/rain/a/20200911A0GUKJ00.

声明:本文来自360天枢智库,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。