一、傳統(tǒng)現(xiàn)實空間數(shù)據(jù)與網(wǎng)絡空間數(shù)據(jù)
傳統(tǒng)現(xiàn)實空間數(shù)據(jù)被認為是基礎戰(zhàn)略資源,隨著現(xiàn)實空間的不斷擁抱互聯(lián)網(wǎng),“萬物互聯(lián)”的時代已經(jīng)開啟,那么對應的網(wǎng)絡空間的數(shù)據(jù)必然也成為了基礎的戰(zhàn)略資源,這也是我們認為“漏洞與數(shù)據(jù)是網(wǎng)絡安全的兩大基石”[1]的根本之一。
數(shù)據(jù)挖掘的本質是從數(shù)據(jù)中提取事先未知、潛在有用和最終可理解的知識,傳統(tǒng)空間數(shù)據(jù)挖掘的過程可以大體歸納為:數(shù)據(jù)準備(數(shù)據(jù)收集、整理等)、數(shù)據(jù)挖掘(數(shù)據(jù)分類、聚合、特征提取等)、數(shù)據(jù)完覺后處理(知識的解釋、評價等),數(shù)據(jù)經(jīng)過挖掘分析蛻變成為知識,知識經(jīng)一步升華為智慧,由此去幫助決策者做出合理的決策。這跟我們提出的網(wǎng)絡空間測繪的兩個核心關鍵點:“1、獲取更多的數(shù)據(jù)。2、賦予數(shù)據(jù)靈魂。”的理念是基本一致的。
傳統(tǒng)空間數(shù)據(jù)具有“空間性、時間性、多維性、海量性、復雜性、不確定性”等特性,網(wǎng)絡空間數(shù)據(jù)同樣具備這些特性,由此我們提出了基于時空數(shù)據(jù)的“動態(tài)測繪”理念,強調(diào)網(wǎng)絡空間數(shù)據(jù)在空間性及時間性上的關聯(lián),對于數(shù)據(jù)多維性我們提出了“交叉測繪”理念,另外我們提出的“行為測繪”則強調(diào)了網(wǎng)絡空間數(shù)據(jù)的復雜性及不確定性等等。
數(shù)據(jù)挖掘分析是一個“仁者見仁、智者見智”的事情,取決于實施者的對數(shù)據(jù)的認知、理解、思維視角及層次,而最終得到不同的知識結論。對于網(wǎng)絡空間測繪來說,我們希望能看到更多不一樣的不同境界不同視角的實踐者獲取到更多不同的數(shù)據(jù)知識,而目前看到的網(wǎng)絡空間測繪領域更多的是某些單一、乏味的視角,這些在我看來都不算是真正的測繪,形成不了更多高層次的知識及智慧,那更談不上做出合理的決策了。如在2014年心臟流血漏洞事件測繪中最終得到當時全球國家安全應急響應能力的排名(中國排名102位),由此得到我國急需加強安全應急響應能力的策略,這就是一個典型從數(shù)據(jù)挖掘分析到知識智慧最終到?jīng)Q策的案例。
二、國家級斷電斷網(wǎng)事件測繪
“萬物互聯(lián)”的時代,現(xiàn)實空間逐步走向互聯(lián)網(wǎng)化,那么我們也可以通過網(wǎng)絡空間上的一些數(shù)據(jù)變化來觀察現(xiàn)實空間某些事件發(fā)展的情況,這個都是基于網(wǎng)絡時空數(shù)據(jù)挖掘并結合現(xiàn)實空間某局部空間事件發(fā)展的“動態(tài)測繪”理念,最終打通網(wǎng)絡空間與現(xiàn)實空間的數(shù)據(jù)聯(lián)系,形成獨特的視角下知識結論。
戰(zhàn)爭或者武裝沖突是關系現(xiàn)實空間社會經(jīng)濟發(fā)展的重大事件,當代社會里的戰(zhàn)爭基本局部戰(zhàn)爭為主,在傳統(tǒng)空間測繪里曾有人對2011年爆發(fā)的敘利亞戰(zhàn)爭前后夜晚光線遙感圖像對比來評估敘利亞內(nèi)戰(zhàn)時空演變及經(jīng)濟難民影響的空間分布等等。“諷刺”是的戰(zhàn)爭已經(jīng)開始蔓延映射到網(wǎng)絡空間里,2019年委內(nèi)瑞拉全國出現(xiàn)大規(guī)模停電,導致交通、醫(yī)療、通訊及基礎設施的癱瘓,時任委內(nèi)瑞拉總統(tǒng)馬杜羅指責美國策劃了對該國電力系統(tǒng)的“網(wǎng)絡攻擊”,目的是通過全國范圍的大停電,制造混亂,迫使政府下臺。
針對2019年委內(nèi)瑞拉大停電事件,知道創(chuàng)宇404實驗室研究員們利用全球主動測繪搜索引擎ZoomEye結合“動態(tài)測繪”理念對委內(nèi)瑞拉停電期間該國的網(wǎng)絡空間數(shù)據(jù)進行了挖掘分析,最終實現(xiàn)了對該國的網(wǎng)絡空間核心基礎設置網(wǎng)絡空間及物理空間的映射分布:“在全國大范圍停電期間,委內(nèi)瑞拉首都加拉加斯、首都附近的卡拉沃沃州 (該州有自己的發(fā)電廠)以及西邊的梅里達仍然能有電力供應,統(tǒng)計斷電期間識別出的組件,主要包括路由器、攝像頭、Windows 系統(tǒng)等,民眾常用的路由器類型 ZTE ZXV10 W300 則沒有出現(xiàn)。可見在全國大范圍停電期間, 有限的電力僅僅被用于國家機器的正常運轉。”
網(wǎng)絡空間設備運轉依賴于電力的供應,所以通過大規(guī)模的停電事件期間對影響地區(qū)進行“時空測繪”對我們定位事件的進展及對網(wǎng)絡關鍵基礎及重要的信息系統(tǒng),甚至對現(xiàn)實空間經(jīng)濟及社會穩(wěn)定影響有著直觀的反映。
如果說停電對于網(wǎng)絡空間來說是被迫的行為,那么因為某些突發(fā)事件導致的國家級的斷網(wǎng)也是一種非常值得去挖掘分析的事件。今年(2021年)3月,在著名的全球學術分享交流平臺ResearchGate(researchgate.net)上來自美國德克薩斯大學圣安東尼奧分校網(wǎng)絡安全和分析中心的兩位研究者Antonio Mangino 、Elias Bou-Harb發(fā)布了一篇論文:
《A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage》 [3]
《對國家主導的斷網(wǎng)的多維網(wǎng)絡取證調(diào)查(譯文)》[4]
2019年11月針對烏克蘭客機在伊朗上空被擊落導致多個國家176人死亡事件引發(fā)的大量的抗議活動伊朗政府隨即實施了網(wǎng)絡關閉,從2019年11月16日開始持續(xù)了整整一周,該論文針對這一事件通過互聯(lián)網(wǎng)背景輻射流量及ZoomEye動態(tài)測繪數(shù)據(jù)進行追蹤分析及網(wǎng)絡取證,最后還關聯(lián)了比特幣市場交易趨勢的關聯(lián)分析。
在閱讀這篇論文之前如果對“互聯(lián)網(wǎng)背景輻射(Internet background radiation,IBR)”的概念不是很了解的,可以先看看來自浙江大學研究者武秋韻, 丁偉的論文《基于動態(tài)暗網(wǎng)的互聯(lián)網(wǎng)掃描行為分析》[5],簡單而言就是IBR就利用那些配置了路由但是沒有被使用的IP地址收集這些包括僵尸網(wǎng)絡、蠕蟲、DDOs攻擊、掃描等發(fā)出單向流量。這個有點類似于不需要去批量搞買VPS部署的“蜜罐”,相比ZoomEye這種“主動測繪”的系統(tǒng),可以說這算一種“被動測繪”的機制。
我們回到上面伊朗事件的論文里可以看出在伊朗斷網(wǎng)期間通IBR的分析結果趨勢圖跟ZoomEye主動探測結果趨勢是相吻合的(如下圖2),這也說明了網(wǎng)絡空間測繪在此類斷網(wǎng)事件追蹤上的價值及意義,當然論文里提到了在斷網(wǎng)事件對伊朗重要關鍵技術設施的影響:“對于國家主導的斷網(wǎng)而言,一些重要的國家網(wǎng)絡將會得以保持。我們的研究發(fā)現(xiàn),在此次伊朗斷網(wǎng)期間,一部分應用于政府和基礎設施的網(wǎng)絡得以保持。”
比較有意思的是該論文里通過評估Blockchain.com提供的比特幣加密貨幣交換數(shù)據(jù),從而研究伊朗斷網(wǎng)與全球比特幣挖礦趨勢之間的存在線性相關,當然也提出了這種相關性可能是多種因素造成的,主要是伊朗大量開采的加密貨幣設備。從全球的礦機分布數(shù)據(jù)來看伊朗占了4%,排名世界前5名(該數(shù)據(jù)來源于互聯(lián)網(wǎng)具體數(shù)據(jù)來源及時間不詳細) [6](如下圖3),所以說通過網(wǎng)絡空間測繪來實現(xiàn)比特幣的價格成為可能?!
三、總結
網(wǎng)絡空間與現(xiàn)實空間息息相關,網(wǎng)絡空間數(shù)據(jù)也是基礎的戰(zhàn)略資源,對這些數(shù)據(jù)的掌握及挖掘利用才是實力的真正體現(xiàn)。空間與時間是數(shù)據(jù)的基本屬性,“動態(tài)測繪”理念就是強調(diào)兩者的相關性,然后通過各種數(shù)據(jù)挖掘分析手段發(fā)現(xiàn)更多的不同維度的知識。形成知識的能力取決于實施者的對數(shù)據(jù)的認知、理解、思維視角及層次,網(wǎng)絡空間測繪也不僅僅是漏洞影響面評估那點事。附上我們最新的slogan: “ZoomEye * 真測繪,全球賽博空間測繪領導者!”
