面向电力行业的网络空间地图技术研究*

许勇刚，王利斌，杨 阳，胡宇宣，尹 琴

(国网思极网安科技(北京)有限公司，北京 102209)

0 引言

在现今世界不稳定因素日益增多、国际关系复杂化的大局下，我国电力网络如何有效识别边界资产(已知资产和未知资产)并进行资产画像，如何对已知资产涉及的空间要素进行分类展示，如何对未知资产可信值进行计算，网络空间和现实空间的地图如何映射？针对以上问题，本文提出以电力关键业务网络和重要目标网络为主要探测对象，实时地掌握网络的重要对象、节点属性、存活状态、基础服务、拓扑结构等深度信息，结合未知资产的可信度，实现电力行业网络空间资产的数据分析展示，及构建电力网络的网络空间地图的目的。

1 国内外研究现状

1.1 国外研究现状

境外网站探测主要以SHODAN系统为主，SHODAN是John Matherly在大学期间开发的网络空间搜索引擎，2008年开始，美国国土安全部(DHS)SHINE(SHodan INtelligence Extraction)计 划 的 推 动，使 得SHODAN对工控设备的识别能力大大提高，现在其主要的业务模式如图1所示。SHODAN系统对电力行业的分析是通过协议(BACNET/HAVC)或产品制造商角度来进行的。

图1 SHODAN示例图

以电网、电力、能源及相关域名作为关键词在SHODAN系统上进行检索，可发现数据量如表1所示(数据均只取中国境内数据，检索数量总量未剔除脏数据，真实数据量约占比为71%)。

表1 境外平台数据表

根据《电力系统数据通信网IP地址规划分析》可以得知，国家电网公司为各省网络设备和互联网地址规划4个IPv4 B类地址段(含预留2个IPv4 B类地址段)，预期国家电网单个省公司分配262 136个IPv4地址，预留131 068个IPv4地址[1]，电力网络内仅国家电网公司数据通信网内已经使用50个IPv4 B类地址段(50个IPv4 B类预留地址段仅能够作为新增业务系统应急使用)[2]，据此数据估算，SHODAN系统检索资产与实际资产相差甚远，并且SHODAN系统无法识别国内主流应用，无法根据行业分类准确检索电力行业的资产数量，这也是迫在眉睫需要解决的问题。

1.2 国内研究现状

国内网络测绘产品主要聚焦在互联网侧的资产发现，通过探测引擎实现对互联网资产存活状态及指纹信息的快速探测，如针对国内主流设备(例如TP-link、D-link等)、应用(例如用友OA、泛微OA等)等进行探测。但是国内网络测绘产品缺少针对电力行业的行业指纹、行业协议、行业端口等行业模块的探测，也缺乏对电力行业所属的供应商分析，仍有指纹识别性能低，无法全面、动态感知电力行业网络资源等问题。针对国内主流的检索系统进行数据分析，其中数据量如表2所示(数据均只取中国境内数据，检索数量总量未剔除脏数据，真实数据量约占比为68%)。

表2 国内平台数据表

除了通信数据网与调度数据网等传统资产对IP地址使用之外，电力网络新业务还占据有海量的IP地址，这些新业务集中在云计算、物联网应用系统、电网公司工作人员电子终端等方面，而根据《国家电网公司下一代互联网地址需求量分析》[2]，新业务IP预期约为241个，而这些资产的梳理画像是互联网侧画像中容易被遗漏的部分。

2 研究理念

本文研究电力网络空间下已知资产、未知资产分布，并对其进行指纹探测分析，针对电力行业网络体系架构，分析电力行业网络结构特征，研究电力行业网络资源测绘的地图，通过大型行业专网结构下的典型数据测绘规范，达到对电力行业网络地图标准化测绘、规范化管理、高效化应用的效果。

网络空间复杂多变，单一探测手段或分析方法难以获取和还原电力网络资产源信息。要完整标识一个IP地址的多维属性，并明确标识未知IP地址与电力网络相关的可信度，需要对目标进行多维度的探测分析，当面向大规模网络探测时，优化探测算法、可信算法和数据模型对提高效率显得尤为重要，在此基础上还需要突破网络传输质量的自适应目标探测的相关技术。本文涉及的研究方法主要针对电力资产(可见资产和未知资产)进行探测，对未知资产的可信度进行识别，对已知资产多维度信息进行展示，并根据已知资产和未知资产的网络空间要素、空间特征结合地理空间进行资产地图的绘制。

3 研究方法

3.1 电力行业未知资产可信度识别技术

电力行业资产分为可见资产和未知资产，可见资产是指通过IP地址段、备案域名、ICP备案、证书等强相关信息可以明确标识为电力行业资产，例如:*.s***.com.cn。未知资产是没有明确标识，但是可以根据ICO标签或者设备供应链、集团下属的分子公司，判断为电力行业内的相关资产，这样就需要对资产数据可信度[3]进行判别，可信度越高，代表电力行业资产是目标资产的可能性越高。针对电力行业资产数据可信度本文进行如下公式计算(以设定关键条目出现的总次数为20次举例)：

其中，DC为数据可信度(Data Credibility)，其通过四个部分进行计算，其中包括第一可信区域Fi，触发第一可信区域的关键条目次数为n，对第一可信区域涉及的不同关键条目代表的可信值(Da)求均值，并以关键条目出现的次数作为幂次(X)，对基础可信值(基础可信值默认为1)乘0.8加上第一可信区域的条目可信值计算，可得知第一可信区域的可信值。

针对第二可信区域Se，对涉及到的不同关键条目代表的可信值(Ds)求均值，并以关键条目出现的次数作为幂次(Y)，对基础可信值(基础可信值默认为1)乘0.8加上第二可信区域的条目可信值计算，可得知第二可信区域的可信值。第三可信区域同理可得。

针对未涉及可信区域En，通过总条目数减去第一、第二、第三可信区域命中条目，将已剩余条目数量作为幂次，对基础可信值(基础可信值默认为1)乘0.8减去未涉及区域的条目可信值计算，可得未涉及可信区域的可信值。

最终的数据可信度是由第一可信区域、第二可信区域、第三可信区域以及未涉及可信区域取均值，数据可信度数值在[5，+∞)认为是可信资产，可以计入电力行业资产范围；数据可信度数值在[3，5)认为是第一可信区间资产，核验后的确信资产标记可以计入电力行业资产；数据可信度数值在[2，3)认为是第二可信区间资产，人工二次核验后的确信资产标记可以计入电力行业资产；数据可信度数值在[1，2)认为是第三可信区间资产，资产备案信息完全核验后的确信资产标记可以计入电力行业资产；数据可信度数值在[0，1)认为是不可信资产，不计入电力行业资产范围。

3.2 电力行业已知资产相关空间要素探测

电力行业已知资产相关空间要素繁多，通常同一域名上不同路径可能有数十个不同的访问站点，并对应数十个系统或设备，而每个系统又可能会从硬件层到业务层匹配不同的空间要素。针对同一个域名在不同路径、不同端口情况下存在不同业务系统的情况，以单一IP/域名为基础节点来分析，单一IP/域名包含端口、路径、服务、协议、组件、组件版本、设备类型、厂商名称、设备信息、型号、操作系统、系统版本、电力行业标签、所属组织、网站内容、域名、国家、省、市、县、主机名称、运营商、经度、纬度、状态等多维度信息内容，通过对协议进行分类处理，抽取共性匹配字段进行展示。由于电力行业信息资产80%以上的目标采用HTTP/HTTPS协议，针对其HTTP/HTTPS协议进行了全面的关键字提取，包括并不限于电力行业信息资产涉及的行业特色协议、报文信息等。基于AC多模匹配算法(Aho-Corasick Automaton)使得一份数据可同时对数百个甚至数千个规则的特征进行比对，能够快速在行业专属库中识别对应的数据关系。源数据处理方法分为以下几种：

(1)将不同路径、不同端口上的信息进行数据裁剪后，针对核心数据进行展示；

(2)将不同路径、不同端口上的信息按照枚举的模式分类展示；

(3)将数据按照分级分类的方法，构造树形数据结构，将不同路径、不同端口的信息形成树形结构的第一级结构，然后将第一级结构涉及的组件、协议、操作系统等信息形成第二级结构，剩余信息形成树形结构的第三级结构。

本文主要是通过对第三级数据结构进行处理，展示数据源于空间要素的树形结构。

3.3 电力行业网络空间地图绘制

电力行业的资产地图绘制不同于常规网络拓扑，专指描绘电力行业网络空间节点及空间要素特征与地理空间的映射关系图[4]。依据节点可视化映射时所基于的空间相对特征信息类型，可将电力行业网络空间节点(已知资产/未知资产)进行链接，实现链接就需要将网络中信息要素和传递要素特征转为数字化描述，要素的空间特征相对地理空间要素表现得更为抽象和复杂。针对电力行业资产地图绘制[5]，除了考虑到网络空间要素、空间特征之外，还需要将地理空间要素和网络空间要素之间通过约束关系形成堆叠，也就是地理空间的地形地貌、交通、港口等信息需要和网络空间中安全设备、路由设备、交换设备等传输介质之间形成基本约束关系，网络空间的传输介质和地理空间的地形地貌形成资产绘制的底图，在底图上填充网络空间要素就形成电力行业的网空地图绘制，如图2模型所示[6-9]。

图2 网络地图基本模型

模型第一层是电力行业地理空间要素图，依据行业内实际覆盖范围以及服务对象来确定必要的地理空间要素，例如楼宇位置、关键设施、交通、地貌、居民地、港口等。地理空间要素图作为网络空间地图的底图将与纠缠约束关系图、网络空间要素图共同形成电力行业网络空间地图。

模型第二层是电力行业地理空间与网络空间关系图，指网络空间的业务系统对应到地理空间的区域和分布结构，例如s***.com，既对应北京市**区**路**号，又对应西安市**区**路**号和成都市**区**路**号。网络空间的关键节点可能对应地理空间多个要素。模型第二层的核心是将地理空间与网络空间的“纠缠”关系、“约束”关系进行体现。

模型第三层是电力行业网络空间要素图，依据空间特征可将网络空间要素抽象为实体点要素、虚拟点要素、传输线要素和无形态要素，表3[10]是网络空间要素所属要素类型和空间特征的数字化描述，网络空间节点和网络空间要素间以邻接、关联和依赖形成结构关系，基于要素的可信程度和要素“关系”的强弱弱化距离和方向的概念，强调网络空间各节点要素中信息流转的过程路径和最终去向[11-15]。

表3 网络空间要素对照表

4 实验分析

实验使用的网络空间数据包括SHODAN系统和国内测绘平台中IP定位数据、互联网拓扑数据等电力行业关键资产信息数据，如表4所示。

表4 SHODAN、国内测绘平台数据对照表

对上述数据去重后进行二次分析，去重后数据共计380 122条，基于表4数据识别出来的电力行业资产进行可信资产和未知资产划分(按照可信区间进行划分)，数量分布如表5所示。

表5 可信资产梳理表

根据表5分析得知，可信资产占据总数据的0.22%，第一可信区间资产占据总数据的1.65%，第二可信区间资产占据总数据的5.21%，第三可信区间资产占据总数据的6.57%。

SHODAN系统和国内测绘平台资产中存在的未知资产可信度判别问题可以通过3.1节提及的方法解决，但就基础数据源而言，SHODAN系统和国内测绘平台探测范围仅为常见端口，对比电力行业中存在较多的非标准端口和高端口仍有不足，需要重新通过资产测绘的模式进行探测。探测后对比SHODAN和国内测绘平台的检测模式出现数据质量和数量的变化，发现可信资产数量提升302%，第一可信区间资产数量提升226%，第二可信区间资产数量提升163%，第三可信区间资产数量提升159%。

将表6网络测绘数据叠加到地理空间数据上进行可视化表达，实现地理与网络空间在叠加状态下绘制电力行业网络空间地图，依据网络空间地图层次模型，结合可信资产梳理范围。以可信资产在铜川市分布情况为例，网络空间可信资产要素图与遥感影像图叠加形成的网络空间地图如图3所示。以资产在铜川市分布情况为例，网络空间资产可信全要素图与路图叠加形成的网络空间地图如图4所示。网络空间可信资产要素图与楼宇图形成的网络空间地图如图5所示。

图4 网络空间资产可信全要素图与路图的叠加

图5 网络空间可信资产要素图与楼宇图

表6 资产探测表

图3 网络空间可信资产要素图与遥感影像图的叠加

5 结论

在网络空间防护体系中，网络空间地图面向全网资产，具有最广阔的目标范围和最接近实战的安全视角，可为威胁感知、快速预警和综合防御提供重要支撑。针对电力行业网络特点(数量大、类型多、动态持续变化、信息繁杂且不规则、供应链复杂等)，提出对未知资产的可信度分析，对已知资产的空间要素探测，形成网络空间要素图，以地理空间要素图作为网络空间地图的底图，结合纠缠约束关系图、网络空间要素图共同形成电力行业网络空间地图。