公开/公告号CN112667765A
专利类型发明专利
公开/公告日2021-04-16
原文格式PDF
申请/专利权人 远江盛邦(北京)网络安全科技股份有限公司;
申请/专利号CN202110301313.0
申请日2021-03-22
分类号G06F16/29(20190101);G06F16/36(20190101);G06K9/62(20060101);
代理机构11369 北京远大卓悦知识产权代理有限公司;
代理人靳雪华
地址 100089 北京市海淀区农大南路1号院2号楼6层办公A-603
入库时间 2023-06-19 10:38:35
技术领域
本发明涉及网络空间地图技术领域,特别涉及一种网络空间地图构建方法。
背景技术
网络空间作为由人类作为“上帝”结合计算机网络与虚拟现实创造出的独立空间,是一个数字化、信息化、智能化的虚拟世界,目前已经发展为平行于地理空间的第二大空间,深刻影响人类的社会生活。网络空间突破了传统物理空间的时空限制,传统地理空间特征在网络空间重要性降低,因此网络空间地图学研究与传统地理地图学研究存在重要差别。关于网络空间地图学研究目前几乎处于空白,对于网络空间本源探索非常局限,尚未建立基本的概念模型和空间理论基础,导致网络空间地图领域研究举步维艰。
地图的态是对环境的描述,以测绘为手段,把所有目标分解为点线面体,地图的势是基于环境所展现的活动,活动主题不同,展现的势不同,传统地图可以有不同的主题。网络空间底图是对网络空间的环境进行描述的地图,这是网络空间地图的基础部分,当前主要以测绘为主要手段,而后将测绘得到的网络空间环境和地理地图对应后得到网络空间地图,目前,关于网络空间地图的构建领域仍旧空白,构建网络空间地图意义重大,例如,能够在网络空间层面实时监测攻击事件、暗网情报等,例如电磁环境、网络停电、通过漏洞的攻击等。因而,如何构建准确的网络空间地图对于网络安全具有重要的意义。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种网络空间地图构建方法,通过由资源测绘得到的资源数据进行归并融合、特征分析,以及构建知识图谱后,与地理空间下的地理位置进行匹配映射形成网络空间地图,使得网络空间地图得以构建,便于对网络空间资产进行分析和管理。
为了实现这些目的和其它优点,本发明提供了一种网络空间地图构建方法,包括:
在网络空间内进行资源测绘得到各种资源的数据后,将所述资源的数据归并融合并分析,建模形成网络空间主体模型;
对所述网络空间主体模型进行特征分析,并构建知识图谱;
将构建的所述知识图谱与地理空间下的地理位置进行匹配映射后,形成网络空间地图。
优选的是,所述的网络空间地图构建方法中,所述资源包括网络空间实体资源和网络空间虚拟资源;
其中,所述网络空间实体资源指以IP为表达的信息资产。
优选的是,所述的网络空间地图构建方法中,将所述资源的数据进行归并融合前,先将所述资源的数据进行清理和转换。
优选的是,所述的网络空间地图构建方法中,在网络空间内进行资源测绘得到各种资源的数据的方式具体包括:
主动测量指通过主动测绘对网络空间资产主体对象描述,包括工控物联网探测和IPv4/IPv6探测的多源探测、暗网探测;
情报收集指通过主动爬取、数据收集、数据订阅获取情报数据;
被动分析指通过数据包流量对关键协议进行的资产主体对象描述,包括路由分析、远程管理分析、网络服务分析、网络管理分析、工控物联网分析、无线网络分析,以及网络基础服务分析。
优选的是,所述的网络空间地图构建方法中,在网络空间内进行资源测绘得到各种资源的数据的方法为:在网络空间内获取各种网络资产后,通过所述网络资产的设备指纹确定相应网络资产的身份,即得到各种资源的数据。
优选的是,所述的网络空间地图构建方法中,将所述资源的数据进行归并融合并分析指将所述资源的数据通过特征关联、信息情报关联以及智能目标学习的方法进行归并融合并分析;
其中,特征关联中具体包括以下特征:PDNS、whois、网络拓扑、IP地址定位、证书、搜索引擎以及地理地址;
信息情报关联中具体包括以下情报:公开会议与社团、社工库,以及会议注册信息;
智能目标学习即目标的预测,具体包括:通过目标的暴露面画像进行目标预测、根据行业应用进行目标预测,以及根据特殊应用进行目标预测。
优选的是,所述的网络空间地图构建方法中,对所述网络空间主体模型进行特征分析,并构建知识图谱包括:对所述网络空间主体模型进行特征分析以识别出目标,而后根据各个所述目标的社会信息、网络信息以及地理信息间的关系构建知识图谱;
其中,所述社会信息包括:组织结构、通信地址,以及行业属性;
所述网络信息包括:应用层、传输层、物理层和网络层;
所述地理信息包括:经纬度和国家、省、市以及街道。
一种网络空间地图构建装置,包括:
测绘处理模块,其在网络空间内进行资源测绘得到各种资源的数据后,将所述资源的数据进行清理和转换,而后归并融合并分析,建模形成网络空间主体模型;
分析构建模块,其对所述网络空间主体模型进行特征分析,并构建知识图谱;
匹配构建模块,其将构建的所述知识图谱与地理空间下的地理位置进行匹配映射后,形成网络空间地图。
一种网络空间地图构建设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前述的网络空间地图构建方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如前述的网络空间地图构建方法的步骤。
本发明至少包括以下有益效果:
本发明的网络空间地图构建方法中,通过由资源测绘得到的资源数据进行归并、融合、特征分析,以及构建知识图谱后,与地理空间下的地理位置进行匹配形成网络空间地图,使得构建的网络空间地图更加准确。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明所述的网络空间地图构建方法的关系图;
图2为本发明所述的资源的分类图;
图3为本发明所述的对资源的数据的处理原理图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加,且各种近似、非理想修改、或非关键元件的构型改变均在本申请保护范围之内。
如图1-3所示,本发明提供一种网络空间地图构建方法,包括:
在网络空间内进行资源测绘得到各种资源的数据后,将所述资源的数据归并融合并分析,建模形成网络空间主体模型;
对所述网络空间主体模型进行特征分析,并构建知识图谱;
将构建的所述知识图谱与地理空间下的地理位置进行匹配映射后,形成网络空间地图。
在上述方案中,首先在网络空间内进行资源测绘得到各种资源的数据后,然后将资源的数据进行归并融合,使得同类的数据融合,以减少后续数据处理量,而后对数据进行分析,建模形成网络空间主体模型,再对得到的网络空间主体模型进行特征分析,以构建知识图谱,通过知识图谱形成的各个资源之间的关联能够清晰的表述各种资源之间的联系,最后将知识图谱与地理空间下的地理位置进行匹配映射后,形成在网络层面上资源间具有关联的网络空间地图,便于在网络层面上进行资源的识别,且构建的网络空间地图更加准确。
一个优选方案中,所述资源包括网络空间实体资源和网络空间虚拟资源;
其中,所述网络空间实体资源指以IP为表达的信息资产。
在上述方案中,网络空间的主体不再以人为最小单元,而是以网络空间资产为代表的活动主体,而网络空间资产是指数据空间资产用户,即由实体资源和虚拟资源组成,因而设置资源包括网络空间实体资源和网络空间虚拟资源,使得获取的资源更加全面,其中网络空间实体资源指包括交换机、路由器、服务器等的主体资源,网络空间虚拟资源则包括各种服务、数据、账号、漏洞、口令,以及情报威胁等。
一个优选方案中,将所述资源的数据进行归并融合前,先将所述资源的数据进行清理和转换。
在上述方案中,在将资源的数据进行归并融合前,先将资源的数据进行清理和转换能够对数据进行初步的处理,进而减少干扰数据对处理结果的影响,还能减少数据处理量,提高效率。
一个优选方案中,在网络空间内进行资源测绘得到各种资源的数据的方式具体包括:
主动测量指通过主动测绘对网络空间资产主体对象描述,包括工控物联网探测和IPv4/IPv6探测的多源探测、暗网探测;
情报收集指通过主动爬取、数据收集、数据订阅获取情报数据;
被动分析指通过数据包流量对关键协议进行的资产主体对象描述,包括路由分析、远程管理分析、网络服务分析、网络管理分析、工控物联网分析、无线网络分析,以及网络基础服务分析。
在上述方案中,通过主动探测、情报收集以及被动分析的方式得到各种资源的数据,使得资源获取的更加全面。其中,被动分析是对网络资源中通联关系,以及时空变化的分析,例如路由分析包括BGP、OSPF;远程管理分析包括RDP、X11、SSH、Telnet、VNC;网络服务分析指深度分析HTTP协议;网络管理分析包括NetConf、SNMP、TR069、IGMP、ICMP;工控物联网分析包括Opc、Modbus、S7、IEC103/104等;无线网络分析包括WIFI、4G、5G等;基础服务分析包括DHCP、DNS、NTP、Cisco CDP。
一个优选方案中,在网络空间内进行资源测绘得到各种资源的数据的方法为:在网络空间内获取各种网络资产后,通过所述网络资产的设备指纹确定相应网络资产的身份,即得到各种资源的数据。
在上述方案中,网络空间内的任何网络资产均能通过由不同的协议栈指纹和应用指纹组成的设备指纹进行表示,因而,在网络空间内获取各种网络资产后,通过所述网络资产的设备指纹能够确定相应网络资产的身份,即得到各种资源的数据。
一个优选方案中,将所述资源的数据进行归并融合并分析指将所述资源的数据通过特征关联、信息情报关联以及智能目标学习的方法进行归并融合并分析;
其中,特征关联中具体包括以下特征:PDNS、whois、网络拓扑、IP地址定位、证书、搜索引擎以及地理地址;
信息情报关联中具体包括以下情报:公开会议与社团、社工库,以及会议注册信息;
智能目标学习即目标的预测,具体包括:通过目标的暴露面画像进行目标预测、根据行业应用进行目标预测,以及根据特殊应用进行目标预测。
在上述方案中,通过特征关联、信息情报关联以及智能目标学习的方法进行归并并融合,使得处理数据分析更加充分和准确,其中,PDNS又包括IP和域名的关联,即网段是否相同,子域名、行业标签、区域标签、域名外链是否相同;whois包括姓名、邮箱是否相同;证书包括机构、根证书、邮箱,以及证书链是否相同;地理地址包括地理关联、FAX关联,以及门牌号是否相同。另外,智能目标学习通过建立的数据库实现,数据库由包含各种目标的剖面信息、行业中惯用网络空间资产,或特殊应用组成,而后通过对目标的暴露面画像与由包含各种目标的剖面信息组成的数据库内的数据进行比对,就能确定目标,通过检测到的诸如银行常用的支付系统,学校常用的教育系统等网络空间资产与由行业中惯用的网络空间资产的对比,确定目标。
一个优选方案中,对所述网络空间主体模型进行特征分析,并构建知识图谱包括:对所述网络空间主体模型进行特征分析以识别出目标,而后根据各个所述目标的社会信息、网络信息以及地理信息间的关系构建知识图谱;
其中,所述社会信息包括:组织结构、通信地址,以及行业属性;
所述网络信息包括:应用层、传输层、物理层和网络层;
所述地理信息包括:经纬度和国家、省、市以及街道。
一种网络空间地图构建装置,包括:
测绘处理模块,其在网络空间内进行资源测绘得到各种资源的数据后,将所述资源的数据进行清理和转换,而后归并融合并分析,建模形成网络空间主体模型;
分析构建模块,其对所述网络空间主体模型进行特征分析,并构建知识图谱;
匹配构建模块,其将构建的所述知识图谱与地理空间下的地理位置进行匹配映射后,形成网络空间地图。
在上述方案中,首先通过测绘处理模块在网络空间内进行资源测绘得到各种资源的数据后,然后将资源的数据进行归并融合,使得同类的数据融合,以减少后续数据处理量,而后对数据进行分析,建模形成网络空间主体模型,分析构建模块再对得到的网络空间主体模型进行特征分析后构建知识图谱,通过知识图谱形成的各个资源之间的关联能够清晰的表述各种资源之间的联系,最后通过匹配构建模块将知识图谱与地理空间下的地理位置进行匹配映射后,形成在网络层面上资源间具有关联的网络空间地图,便于在网络层面上进行资源的识别,且构建的网络空间地图更加准确。
一种网络空间地图构建设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前述的网络空间地图构建方法的步骤。
在上述方案中,所述网络空间地图构建设备可以是机器人。所述网络空间地图构建设备可包括,但不仅限于,处理器、存储器,例如所述网络空间地图构建设备还可以包括输入输出设备、网络接入设备、总线等。所称处理器可以是中央处理单元,以及其他通用处理器等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。所述存储器可以是网络空间地图构建设备的内部存储单元,例如网络空间地图构建设备的硬盘或内存。所述存储器也可以是所述网络空间地图构建设备的外部存储设备,例如所述网络空间地图构建设备上配备的插接式硬盘,智能存储卡,安全数字卡,闪存卡等。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如前述的网络空间地图构建方法的步骤。
在上述方案中,所述存储器还可以既包括所述网络空间地图构建设备的内部存储单元也包括外部存储设备,所述存储器用于存储所述计算机程序以及所述网络空间地图构建设备所需的其他程序和数据。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
机译: 用于估计车辆的位置的设备及其方法,用于构建其地图的设备和用于构建地图的方法
机译: 网络空间地图模型创建方法和设备
机译: 字典施工设备,地图创建设备,搜索设备,字典构建方法,地图创建方法,搜索方法和程序