一、傳統現實空間數據與網絡空間數據
傳統現實空間數據被認為是基礎戰略資源,隨著現實空間的不斷擁抱互聯網,“萬物互聯”的時代已經開啟,那么對應的網絡空間的數據必然也成為了基礎的戰略資源,這也是我們認為“漏洞與數據是網絡安全的兩大基石”[1]的根本之一。
數據挖掘的本質是從數據中提取事先未知、潛在有用和最終可理解的知識,傳統空間數據挖掘的過程可以大體歸納為:數據準備(數據收集、整理等)、數據挖掘(數據分類、聚合、特征提取等)、數據完覺后處理(知識的解釋、評價等),數據經過挖掘分析蛻變成為知識,知識經一步升華為智慧,由此去幫助決策者做出合理的決策。這跟我們提出的網絡空間測繪的兩個核心關鍵點:“1、獲取更多的數據。2、賦予數據靈魂。”的理念是基本一致的。
傳統空間數據具有“空間性、時間性、多維性、海量性、復雜性、不確定性”等特性,網絡空間數據同樣具備這些特性,由此我們提出了基于時空數據的“動態測繪”理念,強調網絡空間數據在空間性及時間性上的關聯,對于數據多維性我們提出了“交叉測繪”理念,另外我們提出的“行為測繪”則強調了網絡空間數據的復雜性及不確定性等等。
數據挖掘分析是一個“仁者見仁、智者見智”的事情,取決于實施者的對數據的認知、理解、思維視角及層次,而最終得到不同的知識結論。對于網絡空間測繪來說,我們希望能看到更多不一樣的不同境界不同視角的實踐者獲取到更多不同的數據知識,而目前看到的網絡空間測繪領域更多的是某些單一、乏味的視角,這些在我看來都不算是真正的測繪,形成不了更多高層次的知識及智慧,那更談不上做出合理的決策了。如在2014年心臟流血漏洞事件測繪中最終得到當時全球國家安全應急響應能力的排名(中國排名102位),由此得到我國急需加強安全應急響應能力的策略,這就是一個典型從數據挖掘分析到知識智慧最終到決策的案例。
二、國家級斷電斷網事件測繪
“萬物互聯”的時代,現實空間逐步走向互聯網化,那么我們也可以通過網絡空間上的一些數據變化來觀察現實空間某些事件發展的情況,這個都是基于網絡時空數據挖掘并結合現實空間某局部空間事件發展的“動態測繪”理念,最終打通網絡空間與現實空間的數據聯系,形成獨特的視角下知識結論。
戰爭或者武裝沖突是關系現實空間社會經濟發展的重大事件,當代社會里的戰爭基本局部戰爭為主,在傳統空間測繪里曾有人對2011年爆發的敘利亞戰爭前后夜晚光線遙感圖像對比來評估敘利亞內戰時空演變及經濟難民影響的空間分布等等。“諷刺”是的戰爭已經開始蔓延映射到網絡空間里,2019年委內瑞拉全國出現大規模停電,導致交通、醫療、通訊及基礎設施的癱瘓,時任委內瑞拉總統馬杜羅指責美國策劃了對該國電力系統的“網絡攻擊”,目的是通過全國范圍的大停電,制造混亂,迫使政府下臺。
針對2019年委內瑞拉大停電事件,知道創宇404實驗室研究員們利用全球主動測繪搜索引擎ZoomEye結合“動態測繪”理念對委內瑞拉停電期間該國的網絡空間數據進行了挖掘分析,最終實現了對該國的網絡空間核心基礎設置網絡空間及物理空間的映射分布:“在全國大范圍停電期間,委內瑞拉首都加拉加斯、首都附近的卡拉沃沃州 (該州有自己的發電廠)以及西邊的梅里達仍然能有電力供應,統計斷電期間識別出的組件,主要包括路由器、攝像頭、Windows 系統等,民眾常用的路由器類型 ZTE ZXV10 W300 則沒有出現。可見在全國大范圍停電期間, 有限的電力僅僅被用于國家機器的正常運轉。”
網絡空間設備運轉依賴于電力的供應,所以通過大規模的停電事件期間對影響地區進行“時空測繪”對我們定位事件的進展及對網絡關鍵基礎及重要的信息系統,甚至對現實空間經濟及社會穩定影響有著直觀的反映。
如果說停電對于網絡空間來說是被迫的行為,那么因為某些突發事件導致的國家級的斷網也是一種非常值得去挖掘分析的事件。今年(2021年)3月,在著名的全球學術分享交流平臺ResearchGate(researchgate.net)上來自美國德克薩斯大學圣安東尼奧分校網絡安全和分析中心的兩位研究者Antonio Mangino 、Elias Bou-Harb發布了一篇論文:
《A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage》 [3]
《對國家主導的斷網的多維網絡取證調查(譯文)》[4]
2019年11月針對烏克蘭客機在伊朗上空被擊落導致多個國家176人死亡事件引發的大量的抗議活動伊朗政府隨即實施了網絡關閉,從2019年11月16日開始持續了整整一周,該論文針對這一事件通過互聯網背景輻射流量及ZoomEye動態測繪數據進行追蹤分析及網絡取證,最后還關聯了比特幣市場交易趨勢的關聯分析。
在閱讀這篇論文之前如果對“互聯網背景輻射(Internet background radiation,IBR)”的概念不是很了解的,可以先看看來自浙江大學研究者武秋韻, 丁偉的論文《基于動態暗網的互聯網掃描行為分析》[5],簡單而言就是IBR就利用那些配置了路由但是沒有被使用的IP地址收集這些包括僵尸網絡、蠕蟲、DDOs攻擊、掃描等發出單向流量。這個有點類似于不需要去批量搞買VPS部署的“蜜罐”,相比ZoomEye這種“主動測繪”的系統,可以說這算一種“被動測繪”的機制。
我們回到上面伊朗事件的論文里可以看出在伊朗斷網期間通IBR的分析結果趨勢圖跟ZoomEye主動探測結果趨勢是相吻合的(如下圖2),這也說明了網絡空間測繪在此類斷網事件追蹤上的價值及意義,當然論文里提到了在斷網事件對伊朗重要關鍵技術設施的影響:“對于國家主導的斷網而言,一些重要的國家網絡將會得以保持。我們的研究發現,在此次伊朗斷網期間,一部分應用于政府和基礎設施的網絡得以保持。”
比較有意思的是該論文里通過評估Blockchain.com提供的比特幣加密貨幣交換數據,從而研究伊朗斷網與全球比特幣挖礦趨勢之間的存在線性相關,當然也提出了這種相關性可能是多種因素造成的,主要是伊朗大量開采的加密貨幣設備。從全球的礦機分布數據來看伊朗占了4%,排名世界前5名(該數據來源于互聯網具體數據來源及時間不詳細) [6](如下圖3),所以說通過網絡空間測繪來實現比特幣的價格成為可能?!
三、總結
網絡空間與現實空間息息相關,網絡空間數據也是基礎的戰略資源,對這些數據的掌握及挖掘利用才是實力的真正體現。空間與時間是數據的基本屬性,“動態測繪”理念就是強調兩者的相關性,然后通過各種數據挖掘分析手段發現更多的不同維度的知識。形成知識的能力取決于實施者的對數據的認知、理解、思維視角及層次,網絡空間測繪也不僅僅是漏洞影響面評估那點事。附上我們最新的slogan: “ZoomEye * 真測繪,全球賽博空間測繪領導者!”
