网络空间测绘在安全领域的应用（上）

近年来，网络空间测绘已经跻身为网络通信技术、网络空间安全、地理学等多学科融合的前沿领域。

该领域聚焦于构建网络空间信息的“全息地图”，致力于建立面向全球网络的实时观测、准确采样、映射和预测的强大基础设施。

通过采用网络探测、数据采集、信息汇聚、深度分析以及可视化等手段，网络空间测绘对网络空间资源属性以及网络资源间的关联关系进行建模和表达，实现全球网络空间全要素全息数字化映射和可视化地图展示，从而反映网络空间资源的状态变化、网络行为和使用者意图。

在数字化时代，网络空间测绘被视为实现数字化生产、生活和治理的基础设施之一。其作用不仅局限于提供全球网络的详实地图，还与网络空间的发展演进相互作用，相互影响，为构建全球网络空间命运共同体提供新的视角和先进技术。

具体而言，网络空间测绘在应用场景方面主要涉及网络安全、数字化管理以及测绘定义网络等领域。而在这三个方向的层层递进中，网络安全应用可谓测绘的起步。那么，网络空间测绘在安全领域究竟发挥着怎样的作用呢？

一、网络空间测绘的发展

自2008年以来，国内外纷纷涌现了网络空间资源测绘领域的相关工作，其中M国作为最早和最成熟开展网络空间资源测绘的国家，在国家安全和商业应用领域都取得了系统性的进展。

在M国，2008年启动了SHINE计划（SHodan INtelligenceExtraction），该计划专注于对M国本土关键基础设施相关设备的网络和安全态势进行监测和分析。其目标是搭建本国关键基础设施安全保护框架的基础支撑，为网络空间安全提供有力支持。

2012年11月，M国国防高级研究计划局（DARPA）发布了“PLAN X”计划，后来更名为Project IKE。该计划旨在构建面向网络空间作战支撑的数字地图，使J事人员能够通过可视化的方式建立、执行和增强网络空间的作战方案。

这一举措推动了数字地图技术在J事领域的应用，为网络空间的防御和攻击提供了新的工具和视角。

2013年曝光的“藏宝图计划”更是以全网数据为对象，实现了多层次大规模信息探测和分析。该计划的目标是将整个网络空间的所有设备在任何地点、任何时间的动态都纳入监控中，绘制近乎实时的、交互式的多维度全球网络空间地图。这一计划在全球范围内推动了网络空间测绘的技术创新和发展。

此外，在商用领域，国内外陆续推出了一系列面向公众开放的互联网网络空间测绘和资源检索系统及服务。

早期主要有国外的http://shodan.io、http://censys.io，以及中国的http://zoomeye.org、fofa.so等。这些系统和服务针对全球联网设备和服务进行探测，结合用户社区收集和公开漏洞数据等，形成了集社区运营、网络空间测绘、资产数据搜索和漏洞风险关联于一体的互联网商业服务体系。这些平台不仅输出了部分能力到其他领域，同时也促进了全球范围内的信息共享和合作。

二、网络空间测绘在安全领域的应用

在当前网络安全领域中，一些活跃的网络空间测绘商用系统的设计思想和初期理念基本参考了2012年发布的一篇匿名黑客报告-《InternetCensus 2012》。

该报告描述了研究者首次利用Nmap脚本引擎(NSE)在互联网上对数量惊人的无认证或默认认证的嵌入式设备进行了探测，并侵入这些设备，构建了Carna Botnet，一个包含约42万台探测用的僵尸网络。

随后，利用Carna Botnet对全网IPv4地址进行了广泛扫描，包括常用端口、ICMP Ping、反向DNS和SYN等。通过对扫描数据的分析，研究者估算了IP地址的使用情况，并最终在报告中呈现了全球网络空间IP使用情况的动态图。

这份早期的匿名报告展示了当前网络空间测绘系统所遵循的主要技术思路和工作步骤。商用系统通常借鉴了这些思路，包括使用先进的扫描引擎（如Nmap）、构建庞大的探测网络、广泛扫描网络中的设备和端口，以及通过数据分析和可视化呈现多维度的网络状态。

这些设计思想强调了对网络空间的全方位观测和探测，为网络安全从业者提供了更深入、全面的认知，帮助其更好地理解和应对潜在的网络威胁。在商用系统的发展中，这些初期理念为构建更强大、智能化的网络测绘工具奠定了基础，从而提高了网络安全的整体水平。

1.基础探测

网络空间测绘系统中基础探测部分的理念和技术主要源自于两个开源项目，分别是Nmap（Network Mapper）和Zmap。

Nmap是由Gordon Lyon于1997年开发的网络扫描引擎，通过发包和回包分析实现对网络中主机和设备的探测分析，广泛应用于网络管理和网络安全领域。另一个项目Zmap则诞生于2013年，由Zakir Durumeric、Eric Wustrow和J. Alex Halderman在密歇根大学创建，主要用于网络安全研究。