谈谈网络空间测绘在国家级断电断网事件上的应用

文摘 2024-10-09 15:20 湖南

作者：heige

时间：2021年6月9日

一、传统现实空间数据与网络空间数据

传统现实空间数据被认为是基础战略资源，随着现实空间的不断拥抱互联网，“万物互联”的时代已经开启，那么对应的网络空间的数据必然也成为了基础的战略资源，这也是我们认为“漏洞与数据是网络安全的两大基石”[1]的根本之一。

数据挖掘的本质是从数据中提取事先未知、潜在有用和最终可理解的知识，传统空间数据挖掘的过程可以大体归纳为：数据准备（数据收集、整理等）、数据挖掘（数据分类、聚合、特征提取等）、数据完觉后处理（知识的解释、评价等），数据经过挖掘分析蜕变成为知识，知识经一步升华为智慧，由此去帮助决策者做出合理的决策。这跟我们提出的网络空间测绘的两个核心关键点：“1、获取更多的数据。2、赋予数据灵魂。”的理念是基本一致的。

传统空间数据具有“空间性、时间性、多维性、海量性、复杂性、不确定性”等特性，网络空间数据同样具备这些特性，由此我们提出了基于时空数据的“动态测绘”理念，强调网络空间数据在空间性及时间性上的关联，对于数据多维性我们提出了“交叉测绘”理念，另外我们提出的“行为测绘”则强调了网络空间数据的复杂性及不确定性等等。

数据挖掘分析是一个“仁者见仁、智者见智”的事情，取决于实施者的对数据的认知、理解、思维视角及层次，而最终得到不同的知识结论。对于网络空间测绘来说，我们希望能看到更多不一样的不同境界不同视角的实践者获取到更多不同的数据知识，而目前看到的网络空间测绘领域更多的是某些单一、乏味的视角，这些在我看来都不算是真正的测绘，形成不了更多高层次的知识及智慧，那更谈不上做出合理的决策了。如在2014年心脏流血漏洞事件测绘中最终得到当时全球国家安全应急响应能力的排名（中国排名102位），由此得到我国急需加强安全应急响应能力的策略，这就是一个典型从数据挖掘分析到知识智慧最终到决策的案例。

二、国家级断电断网事件测绘

“万物互联”的时代，现实空间逐步走向互联网化，那么我们也可以通过网络空间上的一些数据变化来观察现实空间某些事件发展的情况，这个都是基于网络时空数据挖掘并结合现实空间某局部空间事件发展的“动态测绘”理念，最终打通网络空间与现实空间的数据联系，形成独特的视角下知识结论。

战争或者武装冲突是关系现实空间社会经济发展的重大事件，当代社会里的战争基本局部战争为主，在传统空间测绘里曾有人对2011年爆发的叙利亚战争前后夜晚光线遥感图像对比来评估叙利亚内战时空演变及经济难民影响的空间分布等等。“讽刺”是的战争已经开始蔓延映射到网络空间里，2019年委内瑞拉全国出现大规模停电，导致交通、医疗、通讯及基础设施的瘫痪，时任委内瑞拉总统马杜罗指责美国策划了对该国电力系统的“网络攻击”，目的是通过全国范围的大停电，制造混乱，迫使政府下台。

针对2019年委内瑞拉大停电事件，知道创宇404实验室研究员们利用全球主动测绘搜索引擎ZoomEye结合“动态测绘”理念对委内瑞拉停电期间该国的网络空间数据进行了挖掘分析，最终实现了对该国的网络空间核心基础设置网络空间及物理空间的映射分布：“在全国大范围停电期间，委内瑞拉首都加拉加斯、首都附近的卡拉沃沃州（该州有自己的发电厂）以及西边的梅里达仍然能有电力供应，统计断电期间识别出的组件，主要包括路由器、摄像头、Windows 系统等，民众常用的路由器类型 ZTE ZXV10 W300 则没有出现。可见在全国大范围停电期间，有限的电力仅仅被用于国家机器的正常运转。”

详细报告请参考《ZoomEye 网络空间测绘——委内瑞拉停电事件对其网络关键基础设施和重要信息系统影响》[2]

网络空间设备运转依赖于电力的供应，所以通过大规模的停电事件期间对影响地区进行“时空测绘“对我们定位事件的进展及对网络关键基础及重要的信息系统，甚至对现实空间经济及社会稳定影响有着直观的反映。

如果说停电对于网络空间来说是被迫的行为，那么因为某些突发事件导致的国家级的断网也是一种非常值得去挖掘分析的事件。今年（2021年）3月，在著名的全球学术分享交流平台ResearchGate（researchgate.net）上来自美国德克萨斯大学圣安东尼奥分校网络安全和分析中心的两位研究者Antonio Mangino 、Elias Bou-Harb发布了一篇论文：

《A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage》 [3]

《对国家主导的断网的多维网络取证调查（译文）》[4]

2019年11月针对乌克兰客机在伊朗上空被击落导致多个国家176人死亡事件引发的大量的抗议活动伊朗政府随即实施了网络关闭，从2019年11月16日开始持续了整整一周，该论文针对这一事件通过互联网背景辐射流量及ZoomEye动态测绘数据进行追踪分析及网络取证，最后还关联了比特币市场交易趋势的关联分析。

在阅读这篇论文之前如果对“互联网背景辐射(Internet background radiation，IBR)”的概念不是很了解的，可以先看看来自浙江大学研究者武秋韵, 丁伟的论文《基于动态暗网的互联网扫描行为分析》[5]，简单而言就是IBR就利用那些配置了路由但是没有被使用的IP地址收集这些包括僵尸网络、蠕虫、DDOs攻击、扫描等发出单向流量。这个有点类似于不需要去批量搞买VPS部署的“蜜罐”，相比ZoomEye这种“主动测绘”的系统，可以说这算一种“被动测绘”的机制。

我们回到上面伊朗事件的论文里可以看出在伊朗断网期间通IBR的分析结果趋势图跟ZoomEye主动探测结果趋势是相吻合的（如下图2），这也说明了网络空间测绘在此类断网事件追踪上的价值及意义，当然论文里提到了在断网事件对伊朗重要关键技术设施的影响：“对于国家主导的断网而言，一些重要的国家网络将会得以保持。我们的研究发现，在此次伊朗断网期间，一部分应用于政府和基础设施的网络得以保持。”

比较有意思的是该论文里通过评估Blockchain.com提供的比特币加密货币交换数据，从而研究伊朗断网与全球比特币挖矿趋势之间的存在线性相关，当然也提出了这种相关性可能是多种因素造成的，主要是伊朗大量开采的加密货币设备。从全球的矿机分布数据来看伊朗占了4%，排名世界前5名（该数据来源于互联网具体数据来源及时间不详细） [6]（如下图3），所以说通过网络空间测绘来实现比特币的价格成为可能？！

三、总结

网络空间与现实空间息息相关，网络空间数据也是基础的战略资源，对这些数据的掌握及挖掘利用才是实力的真正体现。空间与时间是数据的基本属性，“动态测绘”理念就是强调两者的相关性，然后通过各种数据挖掘分析手段发现更多的不同维度的知识。形成知识的能力取决于实施者的对数据的认知、理解、思维视角及层次，网络空间测绘也不仅仅是漏洞影响面评估那点事。附上我们最新的slogan: “ZoomEye * 真测绘，全球赛博空间测绘领导者！”

最后我想对所有剑客们说一句话：你可以成为天下第一剑客，也可以成为天大第一pwn剑客，当然你如果非要来个“天下第一”，成为天下第一胖剑客我也无话可说 ... (欲练神功，无需自宫，找黑哥就行)

四、参考链接

[1]《趣访“漏洞之王”黑哥，探寻知道创宇十年网络资产测绘之路！》

https://mp.weixin.qq.com/s/dvFAVH17AnDS_r0kOG620A

[2]《ZoomEye 网络空间测绘——委内瑞拉停电事件对其网络关键基础设施和重要信息系统影响》

https://paper.seebug.org/869/

[3] A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage

https://www.researchgate.net/publication/350499300_A_Multidimensional_Network_Forensics_Investigation_of_a_State-Sanctioned_Internet_Outage

[4]《（译文）对国家主导的断网的多维网络取证调查》

https://paper.seebug.org/1603/

[5]《基于动态暗网的互联网扫描行为分析》

http://www.zjujournals.com/eng/article/2020/1008-973X/202008013.shtml

[6] https://www.dw.com/zh/%E4%B8%AD%E5%9B%BD%E7%9B%91%E7%AE%A1%E6%9C%BA%E6%9E%84%E5%B0%81%E6%9D%80%E8%99%9A%E6%8B%9F%E8%B4%A7%E5%B8%81-%E6%AF%94%E7%89%B9%E5%B8%81%E5%86%8D%E8%B7%B3%E6%B0%B4/a-57587013

往期热门

(点击图片跳转)

ZoomEye 更新 | 威胁情报&域名关联两大独家特性上线！

看我如何通过 ZoomEye 发现后门设备

关于 ZoomEye-python 更新这件事

黑哥虾撩

古典过期黑客，江湖人称苏坡黑、黑锅、黑大壮等，自称黑哥尔！

最新文章

MCP实现了我在1年+前的想法

大模型（ChatGPT）“语料污染”第一真实案例

分享一个“细思极恐”的提示词

AI Agent 2.0 时代 Claude Computer Use 提示词注入攻击演示 --模拟真实攻击场景

9.8 小于 9.11？真相居然与圣经相关～

大模型时代已经来临！AI Agent 进入2.0时代，然而我发现我错了...

聊聊《技术的本质》

关于“猥琐流”

简单聊聊网络空间测绘纵横之道

是的！“仁者见仁、智者见智”才是真正的“赋予数据灵魂”

谈谈网络空间测绘在国家级断电断网事件上的应用

趣访“漏洞之王”黑哥，探寻知道创宇十年网络资产测绘之路

对话知道创宇“黑哥”：视野和格局将决定网络空间测绘的未来！

降维打击：从《三体》到现代战争的技术演变

黑哥2023年内部培训视频合集

跟ChatGPT o1探讨黎巴嫩突发寻呼机(BP机)爆炸事件技术可行性

同道｜KCon 2024

宝宝梦蝶

聊聊大家不太关注的polyfill.io供应链攻击事件

【知道创宇404实验室】CVE-2024-4577从漏洞广告到勒索攻击只用了2天

【知道创宇招聘】渗透测试工程师部分岗位开放

bye 2023, hello 2024

"Operation Triangulation" 卡巴斯基被黑 - 续

巴以冲突网络空间态势感知

KCon 2023 补记

ChatGPT解读刀郎罗刹海市，ChatGPT越来越蠢被实锤

刀郎的格局不需要洗

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉