谈谈网络空间测绘在国家级断电断网事件上的应用
2021-06-17
来源: ZoomEye
一、传统现实空间数据与网络空间数据
传统现实空间数据被认为是基础战略资源,随着现实空间的不断拥抱互联网,“万物互联”的时代已经开启,那么对应的网络空间的数据必然也成为了基础的战略资源,这也是我们认为“漏洞与数据是网络安全的两大基石”[1]的根本之一。
数据挖掘的本质是从数据中提取事先未知、潜在有用和最终可理解的知识,传统空间数据挖掘的过程可以大体归纳为:数据准备(数据收集、整理等)、数据挖掘(数据分类、聚合、特征提取等)、数据完觉后处理(知识的解释、评价等),数据经过挖掘分析蜕变成为知识,知识经一步升华为智慧,由此去帮助决策者做出合理的决策。这跟我们提出的网络空间测绘的两个核心关键点:“1、获取更多的数据。2、赋予数据灵魂。”的理念是基本一致的。
传统空间数据具有“空间性、时间性、多维性、海量性、复杂性、不确定性”等特性,网络空间数据同样具备这些特性,由此我们提出了基于时空数据的“动态测绘”理念,强调网络空间数据在空间性及时间性上的关联,对于数据多维性我们提出了“交叉测绘”理念,另外我们提出的“行为测绘”则强调了网络空间数据的复杂性及不确定性等等。
数据挖掘分析是一个“仁者见仁、智者见智”的事情,取决于实施者的对数据的认知、理解、思维视角及层次,而最终得到不同的知识结论。对于网络空间测绘来说,我们希望能看到更多不一样的不同境界不同视角的实践者获取到更多不同的数据知识,而目前看到的网络空间测绘领域更多的是某些单一、乏味的视角,这些在我看来都不算是真正的测绘,形成不了更多高层次的知识及智慧,那更谈不上做出合理的决策了。如在2014年心脏流血漏洞事件测绘中最终得到当时全球国家安全应急响应能力的排名(中国排名102位),由此得到我国急需加强安全应急响应能力的策略,这就是一个典型从数据挖掘分析到知识智慧最终到决策的案例。
二、国家级断电断网事件测绘
“万物互联”的时代,现实空间逐步走向互联网化,那么我们也可以通过网络空间上的一些数据变化来观察现实空间某些事件发展的情况,这个都是基于网络时空数据挖掘并结合现实空间某局部空间事件发展的“动态测绘”理念,最终打通网络空间与现实空间的数据联系,形成独特的视角下知识结论。
战争或者武装冲突是关系现实空间社会经济发展的重大事件,当代社会里的战争基本局部战争为主,在传统空间测绘里曾有人对2011年爆发的叙利亚战争前后夜晚光线遥感图像对比来评估叙利亚内战时空演变及经济难民影响的空间分布等等。“讽刺”是的战争已经开始蔓延映射到网络空间里,2019年委内瑞拉全国出现大规模停电,导致交通、医疗、通讯及基础设施的瘫痪,时任委内瑞拉总统马杜罗指责美国策划了对该国电力系统的“网络攻击”,目的是通过全国范围的大停电,制造混乱,迫使政府下台。
针对2019年委内瑞拉大停电事件,知道创宇404实验室研究员们利用全球主动测绘搜索引擎ZoomEye结合“动态测绘”理念对委内瑞拉停电期间该国的网络空间数据进行了挖掘分析,最终实现了对该国的网络空间核心基础设置网络空间及物理空间的映射分布:“在全国大范围停电期间,委内瑞拉首都加拉加斯、首都附近的卡拉沃沃州 (该州有自己的发电厂)以及西边的梅里达仍然能有电力供应,统计断电期间识别出的组件,主要包括路由器、摄像头、Windows 系统等,民众常用的路由器类型 ZTE ZXV10 W300 则没有出现。可见在全国大范围停电期间, 有限的电力仅仅被用于国家机器的正常运转。”
网络空间设备运转依赖于电力的供应,所以通过大规模的停电事件期间对影响地区进行“时空测绘”对我们定位事件的进展及对网络关键基础及重要的信息系统,甚至对现实空间经济及社会稳定影响有着直观的反映。
如果说停电对于网络空间来说是被迫的行为,那么因为某些突发事件导致的国家级的断网也是一种非常值得去挖掘分析的事件。今年(2021年)3月,在著名的全球学术分享交流平台ResearchGate(researchgate.net)上来自美国德克萨斯大学圣安东尼奥分校网络安全和分析中心的两位研究者Antonio Mangino 、Elias Bou-Harb发布了一篇论文:
《A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage》 [3]
《对国家主导的断网的多维网络取证调查(译文)》[4]
2019年11月针对乌克兰客机在伊朗上空被击落导致多个国家176人死亡事件引发的大量的抗议活动伊朗政府随即实施了网络关闭,从2019年11月16日开始持续了整整一周,该论文针对这一事件通过互联网背景辐射流量及ZoomEye动态测绘数据进行追踪分析及网络取证,最后还关联了比特币市场交易趋势的关联分析。
在阅读这篇论文之前如果对“互联网背景辐射(Internet background radiation,IBR)”的概念不是很了解的,可以先看看来自浙江大学研究者武秋韵, 丁伟的论文《基于动态暗网的互联网扫描行为分析》[5],简单而言就是IBR就利用那些配置了路由但是没有被使用的IP地址收集这些包括僵尸网络、蠕虫、DDOs攻击、扫描等发出单向流量。这个有点类似于不需要去批量搞买VPS部署的“蜜罐”,相比ZoomEye这种“主动测绘”的系统,可以说这算一种“被动测绘”的机制。
我们回到上面伊朗事件的论文里可以看出在伊朗断网期间通IBR的分析结果趋势图跟ZoomEye主动探测结果趋势是相吻合的(如下图2),这也说明了网络空间测绘在此类断网事件追踪上的价值及意义,当然论文里提到了在断网事件对伊朗重要关键技术设施的影响:“对于国家主导的断网而言,一些重要的国家网络将会得以保持。我们的研究发现,在此次伊朗断网期间,一部分应用于政府和基础设施的网络得以保持。”
比较有意思的是该论文里通过评估Blockchain.com提供的比特币加密货币交换数据,从而研究伊朗断网与全球比特币挖矿趋势之间的存在线性相关,当然也提出了这种相关性可能是多种因素造成的,主要是伊朗大量开采的加密货币设备。从全球的矿机分布数据来看伊朗占了4%,排名世界前5名(该数据来源于互联网具体数据来源及时间不详细) [6](如下图3),所以说通过网络空间测绘来实现比特币的价格成为可能?!
三、总结
网络空间与现实空间息息相关,网络空间数据也是基础的战略资源,对这些数据的掌握及挖掘利用才是实力的真正体现。空间与时间是数据的基本属性,“动态测绘”理念就是强调两者的相关性,然后通过各种数据挖掘分析手段发现更多的不同维度的知识。形成知识的能力取决于实施者的对数据的认知、理解、思维视角及层次,网络空间测绘也不仅仅是漏洞影响面评估那点事。附上我们最新的slogan: “ZoomEye * 真测绘,全球赛博空间测绘领导者!”