网络空间地图测绘理论体系白皮书
AI智能总结
2023 网地络图空测间绘理论体系白皮书 CONTENTS 01前言001 02网络空间测绘研究背景003 2.1网络空间的起源004 2.2传统测绘理论004 2.3网络空间测绘相关工作007 03测绘体系框架概念定义011 3.1网络空间012 3.2网络空间地图测绘012 3.3体系框架总体思路013 04测绘体系框架应用实践017 4.1网络空间地形图018 4.2网络空间地志图023 4.3网络空间战略图026 05总结与展望 参考资料029 合作单位署名031 01前言 网络空间地图测绘理论体系白皮书 随着互联网、移动通信、人工智能等技术的快速发展,网络空间已成为人们生活和工作中不可或缺的重要组成部分。网络空间测绘,通过对网络空间中的各种资源进行实时监测和分析,实现对网络空间的态势感知,可以帮助识别网络威胁、检测网络攻击,并及时采取相应的安全防护措施,提高网络安全防御和应急响应的能力,保护网络空间的安全稳定运行。 站在攻击者视角,攻击者往往需要通过网络空间测绘的各种手段搜集攻击目标的各种信息,以找出目标网络的突破口,其中最常用到的就是各种网络空间搜索引擎。它们普遍通过定期、持续地对全网IP地址和端口进行扫描,分析其硬件设备以及承载的协议、服务内容等信息,构建一个包含各种资源属性的网络资产数据库。攻击者利用这些数据库,从一个IP、一个域名开始,逐步扩展深挖,发现攻击目标网络的突破口,完成攻击前置工作。 站在防守方视角,防守者希望对自身在网络空间中暴露给外部可访问的各类资源形成的攻击面进行防护,需要利用网络空间测绘各种手段对自身网络空间资产进行梳理,特别是其中对外的接口,往往需要做更多的防护和检查。攻击面管理被视为向主动安全转变的开始,可以实现尽早洞察安全威胁、采取适当措施来缓解威胁和降低风险的功能。 本文首先通过对传统地图测绘理论和相对主流的网空测绘理论体系进行梳理,介绍了网络空间测绘相关研究进展;其次提出了攻防对抗下的网络空间地图测绘理论体系框架,通过把地图、地志、对抗方针融入到多粒度、多层次、多视图、强动态的网络空间测绘全息地图中,以支撑网络安全攻防对抗场景需求;然后依次介绍基于此理论体系框架在地形图、地志图、战略图上的部分应用实践;最后总结并提出了后续研究展望,引导网络空间测绘未来研究发展方向。 002 网络0研空究间2背测景绘 本节主要介绍网络空间测绘中的已有相关工作。 2.1网络空间的起源 网络空间的英文Cyberspace一词,最早出现于外国小说[1][2],主要表示通过计算机设备进入的信息聚合体空间。在2001年美国发布的《保护信息系统的国家计划》中首次提出了网络空间(Cyberspace)的表述[5]。2008年美国第54号国家安全总统令(NSPD)和第23号国土安全总统令(HSPD)中定义Cyberspace是信息环境中的一个整体域,由独立且互相依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统[1][3][4]。后续以色列、意大利、俄罗斯等国家也提出各自定义[4],强调网络空间的基础设施和数据内容。2016年,方滨兴院士初步提出了构成网络空间的四要素定义[4],并在2018年对其进行了深化解释[6]。 2.2传统测绘理论 传统测绘是指研究测定描述地球自然地理要素(地貌)和地表人工设施(地物)形状、大小等属性的理论和技术。它为情报分析提供重要产品[7],情报分析产品从低到高可分为描述性(反映事物基本情况)、解释性(阐明事物间因果关系)、评估性(估量事物面临机遇风险)和预测性(预测未来某种/多种合乎逻辑的状况[9])分析产品四类[8]。 地图是传统测绘产出的基础情报产品之一,往往具有客观介绍环境基础属性的描述性[7]。地图可以分为普通地图和专题地图。普通地图主要表示地表自然地理要素和影响行动等人工障碍物设施,如地形图、海图、航空图等等。如图2.1左侧地形图,主要表示山地、平原等各种地貌、地物要素;海图主要表示海岸性质、海底地貌、地质等地理要素和航行障碍物、助航设施等航海要素;航空图主要表示与空中航行有关的居住地、道路、水系等地理要素和机场、垂直障碍物等航空要素。 图2.1地形图示例[11](左)和地貌图示例[12](右) 专题地图则是以普通地图为底图,着重表示一个专题内容、用以满足某种特殊需要的地图,如地质图、地貌图、水文图、人口图、交通图、历史图等。如图2.1右侧的地貌图[10],强调各种不同地貌标志,如平原、丘陵;图2.2左侧水文图[13],强调降水、蒸发、径流、暴雨、洪水、泥沙、水质、冰情等水文要素特征值的地理分布情况;图2.2右侧的交通图[14],强调交通运输布局状况。 图2.2水文图示例:北京市水文图[13](左)和交通图示例:中国台湾交通图[14](右) 地志则是测绘产出的另一种情报产品。它是指根据需要,对某一地域的自然地理条件和社会因素及其对行动的影响,进行综合记述和评价的一种资料[15][16],同时具有描述性、解释性和评估性[7]。普通地志一般包括环境的组成和价值,自然条件、交通运输、通信、社会情况、经济情况、战略要地及综合评价等[18]。特种地志则主要表明影响特定行动的自然和人工地理要素,如气象志、江河志等[18],强调对特定兵行动的影响评价。 如图2.3所示,地志图中不仅包含传统地图,还包含各种注记,其内容范围比传统地图更广,也是制定对抗方针的重要前提[17],同时兼具阐述事物因果关系的解释性以及分析基本信息对行动影响的评估性。 图2.3地志图示例:日军罗芒岛与瑟马塔岛屿地志图[17] 进一步在地志的基础上,需要制定关于行动的基本企图,即对抗方针。它主要包括对抗战略、对抗目标的确定和关于引导对抗胜利发展的重大原则决定[19],结合战略战术,如孙子兵法、三十六计等,考虑进攻路线、进攻方式、备选方案等。如图2.4所示,展现对抗方针的战役态势图[22]具有一定程度预测性。 图2.41949年天津战役[20]和2022年俄乌战争的顿巴斯之战[21] 总体而言,传统测绘可以产出地图、地志、对抗方针等递进式包含多种特性的情报分析产品,为对抗行动提供支撑。 2.3网络空间测绘相关工作 测绘一词虽来源于地理测绘,但网络空间测绘的内涵很早就已出现。2006年,美国国安局的藏宝图计划,以全网态势感知、侦察和攻击推演为目标,对网络空间进行多层次的信息探测和数据分析,形成大规模情报能力[23][30]。2012年,美国国防部国防高级研究计划局启动网络战发展项目“X计划”,目的是生成网络空间作战态势图、制定作战方案、实施网络作战行动等[25][26]。2014年,俄罗斯卡巴斯基实验室发布网络威胁地图,致力于网络活动情况的实时表达[28][29]。2015年,美国国土局的SHINE计划,主要针对美国本土网络安全态势感知,建立美国本土网络空间关键基础设施信息数据库,监测关键行业网络可达性及安全态势,发现弱点设备和系统[23][24]。 而国内首次相对系统性地提出“网络空间测绘”一词,是在2016年[25],解放军信息工程大学罗向阳等人认为构建网络空间地图的技术称为“网络空间测绘”。如图2.5左侧所示,他们提出的三层三空间映射的网空测绘理论体系框架,把网络空间测绘分为探测、映射、绘制层,强调把网络空间的实体资源向地理空间映射、虚拟资源向社会空间映射。进一步在2018年[27],如图2.5右侧所示,他们认为应该将网络空间与地理空间信息在一个统一的时空框架下进行无缝融合和数据挖掘与应用,提出了高度结合地理空间的网空测绘理论体系框 架。 图2.5三层三空间映射的网空测绘理论体系框架[25](左)和高度结合地理空间的网空测绘理论体系框架[27](右) 同年,信息工程研究所郭莉等人[23]将网络空间资源测绘定义为“对网络空间中的各类虚实资源及其属性进行探测、分析和绘制的全过程”,强调将网络空间、地理空间和社会空间进行相互映射,将虚拟、动态的网络空间资源绘制成一份动态、实时、可靠的网络空间地图。。如图2.6所示,他们提出的结合探测(Detecting)、分析(Analyzing)、绘制(Visualizing)、应用(Applying)四个步骤循环过程(DAVALoop)的网络空间资源测绘体系:通过对各种网络空间实虚资源进行协同探测,获取探测数据;进一步对这些数据进行融合分析和时空映射,形成网络空间资源知识库;在此基础上,通过关联组织和可视表达来构建网络空间资源全息地图;最后,根据不同的场景目标按需应用这一全息地图,利用迭代演进使得测绘能力不断提升。 图2.6四步骤迭代演进的网空测绘理论体系框架[23] 由上可知,网络空间测绘目标是绘制网络空间地图的观点被研究者普遍认可,而网络空间测绘的具体内容和相关技术,则根据不同研究者思路有所偏重。不过,大多数网络空间测绘理论体系,都离不开探测、分析、绘制这三个核心模块。下面分这三块进行简要介绍。 全量探测:针对某个具体对象进行探测,其目的是为了获取该对象的原始数据,用于描述该对象的相关属性值,解决该对象是什么的基础问题。而在网络空间测绘的全量探测研究中,主要面临的问题是探测对象的范围以及具体对象的探测技术深度。 映射分析:从更通用的角度上看,在网络空间探测获取到探测对象的基础数据之后,一方面需要针对探测对象作进一步分析处理,把基础探测数据,逐步抽象到类别标签代表的信息、知识,深入回答探测对象是什么、怎么样的问题;另一方面则需要在探测对象之间、各层次空间之间建立关联映射,从不同角度和视图描述探测对象,并基于其关联到的其他对象,刻画探测对象在网络空间的相对位置和作用。 展示绘制:已有网络空间地图制图方法相关研究,根据网络空间及其要素的地理空间相关性可分成地理空间强相关、弱相关、空间无关的三种类型[33]。地理空间强相关(基于地理信息系统的网络空间可视化模型)表示网络空间中在地理上具有明确空间位置的要素,以地理坐标系为基础,侧重表达网络空间要素的地理属性特征;地理空间弱相关(基于网络拓扑的网络空间可视化模型):表示网络空间中在地理空间上没有明确位置,或者地理空间位置并不重要,但是要素和要素之间有相对的空间关系;非空间相关(基于隐喻的网络空间可视化模型):描述的对象主要有两类,一类是网络空间本身;另一类则是网络中与空间无关的要素。同时施群山等人[34]提出了基于图论-时空对象的网络空间测绘表达模型,将网络空间测绘表达对象概括为网络空间资源、关系、事件3类,并结合网络空间资源跨层、要素关联、事件多发、尺度多变的特点,遵循以图论为基础、结合多粒度时空对象模型、强化时间属性3个原则。 总而言之,本文提出的攻防对抗下的网络空间地图测绘理论体系,是在前述相关研究背景和工作的基础上,通过对传统测绘理论和相对主流的网空测绘理论体系进行融合扩展,把地图、地志、对抗方针融入到多粒度、多层次、多视图、强动态的网络空间测绘全息地图中,以支撑网络安全攻防对抗场景需求、指引网络空间测绘研究发展方向。 下面进行具体介绍。 0测概绘念定体3义系框架 本节主要介绍本文中定义的网络空间和网络空间测绘,及攻防对抗下的网络空间地图测绘理论体系框架总体思路。 3.1网络空间 本文中所指的网络空间,基本沿用方滨兴院士的定义[4][6],即网络空间是构建在信息通信技术基础设施之上的人造空间,用以支撑人们在该空间中开展各类与信息通信技术相关的活动。 如图3.1所示,组成网络空间运行体系的基本四要素包括载体、资源、主体和操作,即网络空间测绘的对象和范围。 载体是网络空间的软硬件设施,是提供信息通信的系统层面的集合,如互联网、物联网、工控网、移动网、内网、专网等等一系列网络环境。资源是在网络空间中流转的数据内容,包括人类用户及机器用户能够理解、识别和处理的信号状态,如IP、域名、证书、网站、视频、音频等一系列数据资源。主体是网络用户,包括人类用户以及机器用户。操作是对网络
