摘要:
如今,网络空间日益复杂,越来越多的终端设备如智能手机、打印机、网络摄像头、数字媒体设备等也加入到网络空间中。通过网络空间资产探测,可以及时发现潜在的安全风险,避免被不法之徒攻击。基于此,论述了国内外网络空间资产探测相关研究成果,并简要介绍了网络探测中的常用的网络空间资产主动探测方法及其关键技术,归纳和梳理了主动探测的优点和缺点,为网络空间资产探测技术研究人员提供借鉴。
0
引言
随着网络的不断发展以及用户对网络使用需求的急剧增长,网络规模不断扩大、网络空间趋于复杂。通过网络空间资产探测,可以及时发现潜在的安全风险,避免被不法之徒攻击。在国家把网络空间安全概念提升到一个重要的层次时,其更显重要。在网络攻防对抗中,首先得了解网络,要了解网络空间,就需要对网络空间进行资产探测。
网络空间资产探测技术作为网络安全的重要基础技术,是通过主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,为网络设备进行画像。
近年来,网络资产探测技术已成为网络安全领域的研究热点,各国都对此进行了深入研究。如美国国防部先进研究项目局(Defense Advanced Research Projects Agency,DRAPA)驱动的X计划,旨在通过快速绘制网络战场地图,提高国家网络战能力,协助制定作战计划,促进网络战任务的高效推进。美国国土资源部(United States Department of Homeland Security,DHS)驱动的SHINE计划,通过Shodan等网络空间扫描引擎监控美国关键基础设施网络资源的安全状态,在本地网络空间地址列表上进行安全态势感知,并定期向工业控制系统应急小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)推送安全通知,确保关键基础设施网络安全的安全。
我国目前也已在进行相关方面的研究。我国已经实现对网络空间网际互连协议(Internet Protocol,IP)地址的扫描,达到资源探测的目的,且能够对每个IP地址的资源进行识别。但相较于目前国外的技术能力,还需进一步突破基于指纹比对的网络组件精准探测技术。基于指纹库的网络设备组件识别技术,是网络空间探测系统的核心技术。该技术可对设备的特定端口进行请求,判断端口是否开放,并根据端口返回信息,并利用自主研制的指纹比对技术,结合自主研制的指纹库,对设备类型及所使用的组件进行识别。
在工业控制服务探测方面,国内专门针对网络空间工业控制服务深度探测技术研究起步相对较晚。目前,通过网络的主动探测技术可以为一些重要的工业控制系统提供在线监测和识别能力,并可以支持典型的数据采集与监视控制系统(Supervisory control and data acquisition,SCADA)、可编程逻辑控制器(Programmable logic controller,PLC)等工业控制系统(设备),Modbus等工业控制协议,以及与工业控制相关的通用网络服务。但与国外相比,我国的工业控制服务探测技术还存在许多问题,如支持工控设备/协议等服务数量不足、感知深度不足。与网络空间大量存在的标准化的信息系统不同,工业控制系统及相关服务存在大量非标准私有的控制协议组件,或同一种工控协议存在多个未公开版本的情况,大多数工业控制服务细节掌握在相关厂家自己手里。
目前,我国需要进一步对相关联网特征进行深入研究,精准提取其指纹信息,提供感知广度和扫描效率。同时还需要结合不同网络资产特点,加强对海量联网设备信息高效率扫描、隐蔽式探测和被动式感知等联网服务态势感知技术的研究,确保全方位、多角度的对网络空间存在的网络资产服务进行准确感知和高效测绘。