一、傳統(tǒng)現(xiàn)實(shí)空間數(shù)據(jù)與網(wǎng)絡(luò)空間數(shù)據(jù)

        傳統(tǒng)現(xiàn)實(shí)空間數(shù)據(jù)被認(rèn)為是基礎(chǔ)戰(zhàn)略資源，隨著現(xiàn)實(shí)空間不斷擁抱互聯(lián)網(wǎng)，“萬物互聯(lián)”的時(shí)代已經(jīng)開啟，對應(yīng)的網(wǎng)絡(luò)空間的數(shù)據(jù)必然也成為了基礎(chǔ)的戰(zhàn)略資源，這也是我們認(rèn)為“漏洞與數(shù)據(jù)是網(wǎng)絡(luò)安全的兩大基石”的根本之一。

        數(shù)據(jù)挖掘的本質(zhì)是從數(shù)據(jù)中提取事先未知、潛在有用和最終可理解的知識，傳統(tǒng)空間數(shù)據(jù)挖掘的過程可以大體歸納為：數(shù)據(jù)準(zhǔn)備(數(shù)據(jù)收集、整理等)、數(shù)據(jù)挖掘(數(shù)據(jù)分類、聚合、特征提取等)、數(shù)據(jù)完覺后處理(知識的解釋、評價(jià)等)，數(shù)據(jù)經(jīng)過挖掘分析蛻變成為知識，知識進(jìn)一步升華為智慧，由此去幫助決策者做出合理的決策。這跟我們提出的網(wǎng)絡(luò)空間測繪的兩個(gè)核心關(guān)鍵點(diǎn)“1、獲取更多的數(shù)據(jù)。2、賦予數(shù)據(jù)靈魂”的理念是基本一致的。

        傳統(tǒng)空間數(shù)據(jù)具有“空間性、時(shí)間性、多維性、海量性、復(fù)雜性、不確定性”等特性，網(wǎng)絡(luò)空間數(shù)據(jù)同樣具備這些特性，由此我們提出了基于時(shí)空數(shù)據(jù)的“動(dòng)態(tài)測繪”理念，強(qiáng)調(diào)網(wǎng)絡(luò)空間數(shù)據(jù)在空間性及時(shí)間性上的關(guān)聯(lián)，對于數(shù)據(jù)多維性我們提出了“交叉測繪”理念，另外我們提出的“行為測繪”則強(qiáng)調(diào)了網(wǎng)絡(luò)空間數(shù)據(jù)的復(fù)雜性及不確定性等。

        數(shù)據(jù)挖掘分析是一個(gè)“仁者見仁、智者見智”的事情，取決于實(shí)施者對數(shù)據(jù)的認(rèn)知、理解、思維視角及層次，而最終得到不同的知識結(jié)論。對于網(wǎng)絡(luò)空間測繪來說，我們希望能看到更多不一樣的、不同境界和不同視角的實(shí)踐者獲取到更多不同的數(shù)據(jù)知識，而目前看到的網(wǎng)絡(luò)空間測繪領(lǐng)域更多的是某些單一、乏味的視角，這些在我看來都不算是真正的測繪，形成不了更多高層次的知識及智慧，更談不上做出合理的決策了。如在2014年心臟流血漏洞事件測繪中最終得到當(dāng)時(shí)全球國家安全應(yīng)急響應(yīng)能力的排名(中國排名102位)，由此得到我國急需加強(qiáng)安全應(yīng)急響應(yīng)能力的策略，這就是一個(gè)典型的從數(shù)據(jù)挖掘分析到知識智慧最終到?jīng)Q策的案例。

        二、國家級斷電斷網(wǎng)事件測繪

        “萬物互聯(lián)”的時(shí)代，現(xiàn)實(shí)空間逐步走向互聯(lián)網(wǎng)化，那么我們也可以通過網(wǎng)絡(luò)空間上的一些數(shù)據(jù)變化來觀察現(xiàn)實(shí)空間某些事件發(fā)展的情況，這都是基于網(wǎng)絡(luò)時(shí)空數(shù)據(jù)挖掘并結(jié)合現(xiàn)實(shí)空間某局部空間事件發(fā)展的“動(dòng)態(tài)測繪”理念，最終打通網(wǎng)絡(luò)空間與現(xiàn)實(shí)空間的數(shù)據(jù)聯(lián)系，形成獨(dú)特的視角下的知識結(jié)論。

        戰(zhàn)爭或者武裝沖突是關(guān)系現(xiàn)實(shí)空間社會(huì)經(jīng)濟(jì)發(fā)展的重大事件，當(dāng)代社會(huì)里的戰(zhàn)爭基本以局部戰(zhàn)爭為主，在傳統(tǒng)空間測繪里曾有人對2011年爆發(fā)的敘利亞戰(zhàn)爭前后夜晚光線遙感圖像對比來評估敘利亞內(nèi)戰(zhàn)時(shí)空演變及經(jīng)濟(jì)難民影響的空間分布等。“諷刺”的是戰(zhàn)爭已經(jīng)開始蔓延映射到網(wǎng)絡(luò)空間里，2019年委內(nèi)瑞拉全國出現(xiàn)大規(guī)模停電，導(dǎo)致交通、醫(yī)療、通訊及基礎(chǔ)設(shè)施癱瘓，時(shí)任委內(nèi)瑞拉總統(tǒng)馬杜羅指責(zé)美國策劃了對該國電力系統(tǒng)的“網(wǎng)絡(luò)攻擊”，目的是通過全國范圍的大停電，制造混亂，迫使政府下臺。

        針對2019年委內(nèi)瑞拉大停電事件，知道創(chuàng)宇404實(shí)驗(yàn)室的研究員們利用全球主動(dòng)測繪搜索引擎ZoomEye結(jié)合“動(dòng)態(tài)測繪”理念對委內(nèi)瑞拉停電期間該國的網(wǎng)絡(luò)空間數(shù)據(jù)進(jìn)行了挖掘分析，最終實(shí)現(xiàn)了對該國的網(wǎng)絡(luò)空間核心基礎(chǔ)設(shè)置網(wǎng)絡(luò)空間及物理空間的映射分布：“在全國大范圍停電期間，委內(nèi)瑞拉首都加拉加斯、首都附近的卡拉沃沃州(該州有自己的發(fā)電廠)以及西邊的梅里達(dá)仍然能有電力供應(yīng)，統(tǒng)計(jì)斷電期間識別出的組件，主要包括路由器、攝像頭、Windows系統(tǒng)等，民眾常用的路由器類型ZTE ZXV10 W300則沒有出現(xiàn)。可見在全國大范圍停電期間，有限的電力僅僅被用于國家機(jī)器的正常運(yùn)轉(zhuǎn)。”

        圖1

        詳細(xì)報(bào)告請參考《ZoomEye網(wǎng)絡(luò)空間測繪——委內(nèi)瑞拉停電事件對其網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)影響》

        網(wǎng)絡(luò)空間設(shè)備運(yùn)轉(zhuǎn)依賴于電力的供應(yīng)，所以通過大規(guī)模停電事件期間對影響地區(qū)進(jìn)行“時(shí)空測繪”對我們定位事件的進(jìn)展、對網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)及重要的信息系統(tǒng)，甚至對現(xiàn)實(shí)空間經(jīng)濟(jì)及社會(huì)穩(wěn)定影響有著直觀的反映。

        如果說停電對于網(wǎng)絡(luò)空間來說是被迫的行為，那么因?yàn)槟承┩话l(fā)事件導(dǎo)致的國家級斷網(wǎng)也是一種非常值得去挖掘分析的事件。今年(2021年)3月，在著名全球?qū)W術(shù)分享交流平臺ResearchGate上，來自美國德克薩斯大學(xué)圣安東尼奧分校網(wǎng)絡(luò)安全和分析中心的兩位研究者Antonio Mangino、Elias Bou-Harb發(fā)布了一篇論文：

        《A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage》

        《對國家主導(dǎo)的斷網(wǎng)的多維網(wǎng)絡(luò)取證調(diào)查(譯文)》

        2019年11月，針對烏克蘭客機(jī)在伊朗上空被擊落導(dǎo)致多個(gè)國家176人死亡事件引發(fā)的大量的抗議活動(dòng)，伊朗政府隨即實(shí)施了網(wǎng)絡(luò)關(guān)閉，從2019年11月16日開始持續(xù)了整整一周。該論文針對這一事件通過互聯(lián)網(wǎng)背景輻射流量及ZoomEye動(dòng)態(tài)測繪數(shù)據(jù)進(jìn)行追蹤分析及網(wǎng)絡(luò)取證，最后還進(jìn)行了比特幣市場交易趨勢的關(guān)聯(lián)分析。

        在閱讀這篇論文之前如果對“互聯(lián)網(wǎng)背景輻射(Internet background radiation，IBR)”的概念不是很了解，可以先看看來自浙江大學(xué)研究者武秋韻、丁偉的論文《基于動(dòng)態(tài)暗網(wǎng)的互聯(lián)網(wǎng)掃描行為分析》。簡單而言就是IBR利用那些配置了路由但是沒有被使用的IP地址收集包括僵尸網(wǎng)絡(luò)、蠕蟲、DDoS攻擊、掃描等發(fā)出的單向流量。類似于不需要去批量購買VPS部署的“蜜罐”，相比ZoomEye這種“主動(dòng)測繪”的系統(tǒng)，可以說這算一種“被動(dòng)測繪”的機(jī)制。

        回到上面伊朗事件的論文里，可以看出在伊朗斷網(wǎng)期間，IBR的分析結(jié)果趨勢圖跟ZoomEye的主動(dòng)探測結(jié)果趨勢是相吻合的(如下圖2)，這也說明了網(wǎng)絡(luò)空間測繪在此類斷網(wǎng)事件追蹤上的價(jià)值及意義。當(dāng)然，論文里提到了斷網(wǎng)事件對伊朗重要關(guān)鍵基礎(chǔ)設(shè)施的影響：“對于國家主導(dǎo)的斷網(wǎng)而言，一些重要的國家網(wǎng)絡(luò)將會(huì)得以保持。我們的研究發(fā)現(xiàn)，在此次伊朗斷網(wǎng)期間，一部分應(yīng)用于政府和基礎(chǔ)設(shè)施的網(wǎng)絡(luò)得以保持。”

        圖2

        比較有意思的是，該論文里通過評估提供的比特幣加密貨幣交換數(shù)據(jù)，從而研究伊朗斷網(wǎng)與全球比特幣挖礦趨勢之間存在的線性相關(guān)，當(dāng)然也提出了這種相關(guān)性可能是多種因素造成的，主要是伊朗大量開采的加密貨幣設(shè)備。從全球的礦機(jī)分布數(shù)據(jù)來看，伊朗占4%，排名世界前5名(該數(shù)據(jù)來源于互聯(lián)網(wǎng)，具體數(shù)據(jù)來源及時(shí)間不詳)(如下圖3)，所以通過網(wǎng)絡(luò)空間測繪來實(shí)現(xiàn)比特幣的價(jià)格預(yù)測或成為可能?!

        三、總結(jié)

        網(wǎng)絡(luò)空間與現(xiàn)實(shí)空間息息相關(guān)，網(wǎng)絡(luò)空間數(shù)據(jù)也是基礎(chǔ)的戰(zhàn)略資源，對這些數(shù)據(jù)的掌握及挖掘利用才是實(shí)力的真正體現(xiàn)。空間與時(shí)間是數(shù)據(jù)的基本屬性，“動(dòng)態(tài)測繪”理念就是強(qiáng)調(diào)兩者的相關(guān)性，然后通過各種數(shù)據(jù)挖掘分析手段發(fā)現(xiàn)更多不同維度的知識。形成知識的能力取決于實(shí)施者對數(shù)據(jù)的認(rèn)知、理解、思維視角及層次，網(wǎng)絡(luò)空間測繪也不僅僅是漏洞影響面評估那點(diǎn)事。

        最后，附上我們最新的slogan:“ZoomEye*真測繪，全球賽博空間測繪領(lǐng)導(dǎo)者!”

《電鰻快報(bào)》