網(wǎng)絡(luò)空間信息系統(tǒng)模型與應(yīng)用

王繼龍，莊姝穎，繆蔥蔥，安常青

（1.清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院，北京 100084；2.清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系，北京 100084；3.清華大學(xué)北京信息科學(xué)與技術(shù)國(guó)家研究中心，北京 100084）

1 引言

隨著互聯(lián)網(wǎng)的普及以及信息技術(shù)的發(fā)展，網(wǎng)絡(luò)逐漸空間化，網(wǎng)絡(luò)空間作為人類(lèi)新的疆域已取得廣泛共識(shí)，如何更好地探索和表達(dá)網(wǎng)絡(luò)空間受到各國(guó)的廣泛關(guān)注。2012 年起，美國(guó)相繼啟動(dòng)“藏寶圖計(jì)劃”[1]和“X 計(jì)劃”[2]，用于研究實(shí)時(shí)、交互的全球互聯(lián)網(wǎng)地圖，為網(wǎng)絡(luò)空間信息的研究提供了基礎(chǔ)支撐。2014 年，俄羅斯卡巴斯基實(shí)驗(yàn)室[3]發(fā)布網(wǎng)絡(luò)威脅地圖，致力于網(wǎng)絡(luò)活動(dòng)情況的實(shí)時(shí)表達(dá)。2018年，中國(guó)互聯(lián)網(wǎng)安全大會(huì)（CISC,China Internet Security Conference）中展出了智慧城市系統(tǒng)，對(duì)網(wǎng)絡(luò)基礎(chǔ)信息進(jìn)行整合后集中顯示，實(shí)時(shí)監(jiān)測(cè)并及時(shí)響應(yīng)網(wǎng)絡(luò)安全攻擊。

然而，目前網(wǎng)絡(luò)空間測(cè)量和態(tài)勢(shì)感知工作所面臨的一個(gè)共性問(wèn)題是缺乏網(wǎng)絡(luò)空間自身的坐標(biāo)系和地圖支持，往往還在使用傳統(tǒng)的地理信息系統(tǒng)，難以真正展現(xiàn)網(wǎng)絡(luò)空間的特點(diǎn)和規(guī)律。

網(wǎng)絡(luò)空間作為平行于物理空間的新世界，至今尚未建立真正意義上的空間模型。物理空間中有相應(yīng)的空間坐標(biāo)系、地圖、地理信息系統(tǒng)作為信息表達(dá)基礎(chǔ)；網(wǎng)絡(luò)空間突破了傳統(tǒng)物理空間的時(shí)空限制，使傳統(tǒng)物理空間特征在網(wǎng)絡(luò)空間的重要性降低，因此急需建立網(wǎng)絡(luò)空間自身的空間模型和空間信息系統(tǒng)。

基于之前關(guān)于網(wǎng)絡(luò)空間坐標(biāo)系和網(wǎng)絡(luò)空間地圖的研究工作[4]，本文提出了多尺度、多維度、多視圖的網(wǎng)絡(luò)空間信息系統(tǒng)模型。具體貢獻(xiàn)如下。

1)應(yīng)用地理信息系統(tǒng)的方法論進(jìn)行交叉學(xué)科研究，初步對(duì)網(wǎng)絡(luò)空間的空間特性和網(wǎng)絡(luò)空間信息系統(tǒng)進(jìn)行系統(tǒng)化的定義和描述，分析網(wǎng)絡(luò)空間不同于地理空間的特性和規(guī)律，建立網(wǎng)絡(luò)空間自身的空間模型和空間信息系統(tǒng)的難點(diǎn)和挑戰(zhàn)，為網(wǎng)絡(luò)空間信息系統(tǒng)的研究奠定理論基礎(chǔ)。

2)針對(duì)傳統(tǒng)網(wǎng)絡(luò)空間表達(dá)模型的缺陷，本文在恒定網(wǎng)絡(luò)空間坐標(biāo)系設(shè)計(jì)的基礎(chǔ)上，定量分析了Hilbert 曲線映射算法在網(wǎng)絡(luò)空間的層次性、區(qū)域性表達(dá)，以滿足用戶(hù)對(duì)不同觀察粒度下網(wǎng)絡(luò)空間要素的可視化需求。

3)建立網(wǎng)絡(luò)空間信息系統(tǒng)模型。本文圍繞著如何從多尺度、多維度、多視圖的角度表達(dá)虛擬網(wǎng)絡(luò)空間這一關(guān)鍵問(wèn)題，設(shè)計(jì)網(wǎng)絡(luò)空間比例尺，用于多尺度表達(dá)復(fù)雜多樣的空間信息；構(gòu)建2 種多維度表達(dá)模型，基于網(wǎng)絡(luò)空間信息系統(tǒng)可實(shí)現(xiàn)坐標(biāo)維度擴(kuò)展的表達(dá)方法這一重要特征，支持不同場(chǎng)景下網(wǎng)絡(luò)空間的多維度信息表達(dá)；結(jié)合網(wǎng)絡(luò)空間地圖和物理空間地圖，提供多視圖全面觀察網(wǎng)絡(luò)空間的方法。

4)研發(fā)網(wǎng)絡(luò)空間信息系統(tǒng)原型，將其應(yīng)用于網(wǎng)絡(luò)空間資源要素的定位和表達(dá)、流量監(jiān)控與故障管理以及網(wǎng)絡(luò)安全攻擊可視化等場(chǎng)景，取得良好可視化效果。

2 網(wǎng)絡(luò)空間的空間特性

網(wǎng)絡(luò)空間現(xiàn)已成為繼陸、海、空、天的第五大疆域，目前尚未形成統(tǒng)一的基本空間概念模型，導(dǎo)致網(wǎng)絡(luò)空間的表達(dá)研究仍缺乏基礎(chǔ)共識(shí)。本節(jié)借鑒地理信息系統(tǒng)的探索思路，對(duì)網(wǎng)絡(luò)空間的空間特性和網(wǎng)絡(luò)空間信息系統(tǒng)進(jìn)行初步的系統(tǒng)化描述和定義，并分析后續(xù)研究面臨的關(guān)鍵技術(shù)難點(diǎn)和挑戰(zhàn)，為網(wǎng)絡(luò)空間信息系統(tǒng)的研究奠定理論基礎(chǔ)。

1)網(wǎng)絡(luò)空間特性

網(wǎng)絡(luò)空間作為獨(dú)立存在的多維度虛擬空間[5]，具有以下特性。

①距離無(wú)關(guān)性。不同于地理空間中距離的概念，網(wǎng)絡(luò)空間的信息傳輸本質(zhì)以及通信設(shè)備導(dǎo)致的時(shí)空壓縮，使其任意節(jié)點(diǎn)間的距離體現(xiàn)在瞬時(shí)的網(wǎng)絡(luò)時(shí)延中，與物理距離無(wú)關(guān)，突破了傳統(tǒng)時(shí)空限制，構(gòu)成一個(gè)無(wú)傳統(tǒng)距離概念的空間。

② 復(fù)雜性。網(wǎng)絡(luò)空間由復(fù)雜多樣的異質(zhì)網(wǎng)元構(gòu)成，既包括實(shí)體資源如服務(wù)器、交換機(jī)、鏈路、終端節(jié)點(diǎn)等基礎(chǔ)設(shè)施，也包含應(yīng)用服務(wù)、賬號(hào)、直接或間接連接互聯(lián)網(wǎng)的系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)等虛擬資源。在不同網(wǎng)絡(luò)層次、觀察粒度下，表現(xiàn)出不同的空間資源要素。

③變化性。網(wǎng)絡(luò)空間中海量信息自由流動(dòng)，導(dǎo)致網(wǎng)絡(luò)空間瞬時(shí)多樣。同時(shí)，網(wǎng)絡(luò)用戶(hù)既可以成為信息發(fā)布者，也可以成為信息接收者，其行為的多樣性直接導(dǎo)致溝通對(duì)象動(dòng)態(tài)變化。因此，兼具穩(wěn)定性和實(shí)時(shí)性將成為網(wǎng)絡(luò)空間的表達(dá)基礎(chǔ)。

④ 區(qū)域性。網(wǎng)絡(luò)空間的網(wǎng)絡(luò)特性，使其超越了傳統(tǒng)意義上的地理概念[6]，形成了新的空間區(qū)域形式，包括局域網(wǎng)、部分連續(xù)的IP（Internet protocol）地址段等，對(duì)外表現(xiàn)出明顯的網(wǎng)絡(luò)特征（路由、流量、用戶(hù)行為等）相似性。

正因?yàn)樯鲜鼍W(wǎng)絡(luò)空間的空間特性，基于地理信息系統(tǒng)表達(dá)網(wǎng)絡(luò)空間難以體現(xiàn)其獨(dú)有的特點(diǎn)和規(guī)律。地理空間中，表達(dá)模型通過(guò)投影映射將三維球面轉(zhuǎn)換成二維平面，以經(jīng)度和緯度作為基礎(chǔ)向量構(gòu)建二維地理坐標(biāo)系，同時(shí)提供了比例尺等概念用于明確地理空間尺度[7]，促進(jìn)了地理空間統(tǒng)一繪制背版的形成。網(wǎng)絡(luò)空間弱化了距離等概念，類(lèi)似的簡(jiǎn)單直觀模型并不存在。如何借鑒地理空間學(xué)的相關(guān)理論，建立網(wǎng)絡(luò)空間自身的空間模型和空間信息系統(tǒng)將成為研究的熱點(diǎn)和難點(diǎn)。

2)網(wǎng)絡(luò)空間信息系統(tǒng)

地理信息系統(tǒng)依賴(lài)于計(jì)算機(jī)的存儲(chǔ)功能。將實(shí)際生活中的物理信息存儲(chǔ)在地理信息系統(tǒng)數(shù)據(jù)庫(kù)中，使人們能將實(shí)際生活中的空間信息模擬化[8]。類(lèi)似地，網(wǎng)絡(luò)空間信息系統(tǒng)的構(gòu)建則主要考慮如何基于網(wǎng)絡(luò)測(cè)量數(shù)據(jù)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)空間信息的可視化表達(dá)。具體研究主要包含以下3 個(gè)方面。

①網(wǎng)絡(luò)空間坐標(biāo)系。網(wǎng)絡(luò)空間坐標(biāo)系作為網(wǎng)絡(luò)空間信息表達(dá)的重要參照基礎(chǔ)，至今尚未形成統(tǒng)一的坐標(biāo)向量、空間維度定義。考慮到網(wǎng)絡(luò)空間復(fù)雜多變的空間特性，本文試圖回答如何選取類(lèi)似經(jīng)緯度的恒定坐標(biāo)向量維度；如何設(shè)計(jì)坐標(biāo)系映射方法，滿足能夠控制坐標(biāo)系統(tǒng)參數(shù)實(shí)現(xiàn)網(wǎng)絡(luò)信息層次化表達(dá)的需求；如何反映網(wǎng)絡(luò)空間的區(qū)域特性等基礎(chǔ)性問(wèn)題，完成網(wǎng)絡(luò)空間自身坐標(biāo)系的構(gòu)建。

② 網(wǎng)絡(luò)空間信息系統(tǒng)模型。網(wǎng)絡(luò)空間數(shù)據(jù)量大且維度多樣，如何從多尺度、多維度、多視圖的角度表達(dá)虛擬網(wǎng)絡(luò)空間，將成為網(wǎng)絡(luò)空間信息系統(tǒng)模型研究的關(guān)鍵。本文借鑒地理信息系統(tǒng)模型研究的方法論，首先，設(shè)計(jì)網(wǎng)絡(luò)空間比例尺，用于伸縮表示復(fù)雜網(wǎng)絡(luò)資源要素的層次結(jié)構(gòu)，符合人類(lèi)由遠(yuǎn)及近認(rèn)知網(wǎng)絡(luò)空間信息的思維。其次，通過(guò)疊加圖層或者添加新的空間坐標(biāo)維度的方式，構(gòu)建特定主題的網(wǎng)絡(luò)空間專(zhuān)題地圖，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)空間多維信息表達(dá)。最后，研究網(wǎng)絡(luò)空間與物理空間的映射方法，完成數(shù)據(jù)的篩選整合以及多視圖表達(dá)，構(gòu)建網(wǎng)絡(luò)空間信息系統(tǒng)。

③應(yīng)用場(chǎng)景可視化。為了滿足用戶(hù)基于網(wǎng)絡(luò)空間信息系統(tǒng)的多方面需求，體現(xiàn)網(wǎng)絡(luò)空間信息系統(tǒng)的重要作用，本文以網(wǎng)絡(luò)空間要素定位和表達(dá)、網(wǎng)絡(luò)空間監(jiān)控與管理以及網(wǎng)絡(luò)空間安全等場(chǎng)景為例，實(shí)現(xiàn)網(wǎng)絡(luò)空間深層次剖析和可視化。

3 傳統(tǒng)網(wǎng)絡(luò)空間表達(dá)模型

近年來(lái)，有關(guān)網(wǎng)絡(luò)空間可視化表達(dá)的研究主要集中于2 種模型。一種是基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型，即基于地理坐標(biāo)系映射網(wǎng)絡(luò)空間，側(cè)重于表達(dá)網(wǎng)絡(luò)空間要素的地理屬性特征；另一種是基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)空間可視化模型，以拓?fù)鋵W(xué)理論為基礎(chǔ)，基于單元與連接線等描述形式表達(dá)網(wǎng)絡(luò)空間的拓?fù)溥B接關(guān)系，并采用空間剖分降維的方式描述子單元拓?fù)湫畔ⅰ＿@2 種模型對(duì)于網(wǎng)絡(luò)空間信息系統(tǒng)的建立均提供了一定的借鑒和指導(dǎo)意義，但均難以從本源角度描述網(wǎng)絡(luò)空間的空間特性及規(guī)律。

3.1 基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型

基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型關(guān)注虛擬網(wǎng)絡(luò)空間與物理空間的融合。文獻(xiàn)[9-10]最早開(kāi)啟基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型的研究，從傳統(tǒng)地理學(xué)領(lǐng)域的研究核心“空間”與“位置”出發(fā)，定義網(wǎng)絡(luò)空間是由信息網(wǎng)絡(luò)連接而成的計(jì)算機(jī)空間的集合，網(wǎng)絡(luò)位置則是網(wǎng)絡(luò)基礎(chǔ)載體與傳統(tǒng)地理空間基礎(chǔ)設(shè)施之間的映射，通過(guò)該映射關(guān)系實(shí)現(xiàn)網(wǎng)絡(luò)空間與物理空間之間的關(guān)聯(lián)。地理網(wǎng)絡(luò)空間模型以地理坐標(biāo)系為基礎(chǔ)，其繪制方法可借鑒傳統(tǒng)的地理地圖學(xué)原理，是目前主流的網(wǎng)絡(luò)空間描述和表達(dá)方案，被工業(yè)界和學(xué)術(shù)界廣泛應(yīng)用。

縱觀目前的研究，基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型主要從網(wǎng)絡(luò)基礎(chǔ)載體、性能參數(shù)以及應(yīng)用安全等角度描述網(wǎng)絡(luò)空間。文獻(xiàn)[11]研究DNS（domain name system）泛播服務(wù)載體的地理分布特征，通過(guò)匹配客戶(hù)端對(duì)應(yīng)的DNS 服務(wù)載體構(gòu)建映射關(guān)系，精確繪制DNS 服務(wù)載體的真實(shí)地理坐標(biāo)，進(jìn)而協(xié)助研究網(wǎng)絡(luò)空間DNS 服務(wù)的負(fù)載均衡問(wèn)題。Huffakr 等[12]將網(wǎng)絡(luò)空間進(jìn)行空間劃分，并將每個(gè)空間映射到相應(yīng)地理區(qū)域，在此基礎(chǔ)上，每個(gè)機(jī)構(gòu)通過(guò)管轄該區(qū)域的基礎(chǔ)載體，即可實(shí)現(xiàn)網(wǎng)絡(luò)空間區(qū)域的自治系統(tǒng)管理。此外，CAIDA（center for applied internet data analysis）還繪制了網(wǎng)絡(luò)空間流量流向在地理空間的分布圖[13]，以及Witty 蠕蟲(chóng)宿主主機(jī)的地理空間分布與時(shí)空傳播模型圖[14]，有助于指導(dǎo)地理基礎(chǔ)設(shè)施部署和地理安全防范。

基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型基于地理坐標(biāo)系映射網(wǎng)絡(luò)空間，表達(dá)網(wǎng)絡(luò)空間要素的地理屬性特征，協(xié)助從地理空間層面完成網(wǎng)絡(luò)空間的管理。網(wǎng)絡(luò)空間依托于地理實(shí)體存在，因此網(wǎng)絡(luò)空間的時(shí)空關(guān)系可以在地理空間中體現(xiàn)。但是網(wǎng)絡(luò)空間作為獨(dú)立的虛擬新空間，突破了傳統(tǒng)物理空間的時(shí)空限制，地理距離的意義極大淡化，且具有獨(dú)特的網(wǎng)絡(luò)區(qū)域性以及層次結(jié)構(gòu)，使傳統(tǒng)地理空間特征在網(wǎng)絡(luò)空間的重要性降低。因此，基于地理信息系統(tǒng)的網(wǎng)絡(luò)空間可視化模型無(wú)法真正揭示網(wǎng)絡(luò)空間的本源空間特性。

3.2 基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)空間可視化模型

另一部分研究學(xué)者認(rèn)為，對(duì)于網(wǎng)絡(luò)空間而言，其物理距離的概念正逐漸弱化，而拓?fù)溥B接關(guān)系對(duì)于認(rèn)知網(wǎng)絡(luò)空間顯得尤其重要。因此，他們利用網(wǎng)絡(luò)單元（V）和鏈路（E）將網(wǎng)絡(luò)空間抽象成網(wǎng)絡(luò)拓?fù)潢P(guān)系圖G(V,E)，進(jìn)而構(gòu)建基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)空間可視化模型，將虛擬的網(wǎng)絡(luò)空間抽象成多層次的拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)，完成網(wǎng)絡(luò)空間與拓?fù)淇臻g之間的映射。其中網(wǎng)絡(luò)拓?fù)涞臉?gòu)建與繪制可借鑒傳統(tǒng)拓?fù)鋵W(xué)原理。

拓?fù)渚W(wǎng)絡(luò)空間模型的研究主要圍繞自治系統(tǒng)（AS,autonomous system）層、路由器層和IP 層，實(shí)現(xiàn)多層次的網(wǎng)絡(luò)空間描述和表達(dá)。AS 層拓?fù)淠Ｐ鸵訟S 為基礎(chǔ)單元，將網(wǎng)絡(luò)空間進(jìn)行粗粒度的空間劃分，以反映整個(gè)網(wǎng)絡(luò)空間要素的連接關(guān)系。Mahadevan 等[15]結(jié)合邊界網(wǎng)管協(xié)議（BGP,border gateway protocol）數(shù)據(jù)和Traceroute 測(cè)量數(shù)據(jù)等多元數(shù)據(jù)集，提出基于聯(lián)合概率分布精確繪制網(wǎng)絡(luò)空間AS 拓?fù)溥B接關(guān)系圖的方法。路由器層拓?fù)淠Ｐ蛯?zhuān)注描述網(wǎng)絡(luò)空間的局部連接特征。Keys 等[16]利用研發(fā)的別名解析系統(tǒng)，構(gòu)建網(wǎng)絡(luò)空間局部區(qū)域拓?fù)鋱D，實(shí)現(xiàn)網(wǎng)絡(luò)空間子區(qū)域管理。IP 層拓?fù)淠Ｐ蛣t通過(guò)探測(cè)鏈路層的連接情況，支持主機(jī)和接口級(jí)別的網(wǎng)絡(luò)空間拓?fù)湫畔⒖梢暬墨I(xiàn)[17]基于SNMP（simple network management protocol）構(gòu)建實(shí)體單元的拓?fù)鋱D，有助于網(wǎng)絡(luò)空間實(shí)體單元和連接鏈路的管理。

綜上所述，拓?fù)渚W(wǎng)絡(luò)空間模型基于拓?fù)潢P(guān)系能較好地映射網(wǎng)絡(luò)空間，其中每個(gè)網(wǎng)絡(luò)空間單元可以由多個(gè)網(wǎng)絡(luò)空間子單元構(gòu)成，進(jìn)而將網(wǎng)絡(luò)空間進(jìn)行剖分降維，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間多層次、細(xì)粒度的認(rèn)知。但拓?fù)渚W(wǎng)絡(luò)空間可視化模型存在一定的本質(zhì)問(wèn)題，考慮到網(wǎng)絡(luò)空間瞬時(shí)多樣的特性，隨著網(wǎng)絡(luò)中新節(jié)點(diǎn)的加入與舊節(jié)點(diǎn)的離開(kāi)，可能導(dǎo)致拓?fù)涔?jié)點(diǎn)時(shí)刻動(dòng)態(tài)變化，該模型無(wú)法提供恒定的描述和表達(dá)網(wǎng)絡(luò)空間的方法，更不滿足坐標(biāo)系自身恒定不變的要求。

4 網(wǎng)絡(luò)空間坐標(biāo)系

對(duì)于網(wǎng)絡(luò)空間而言，上述基于地理信息系統(tǒng)、網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)空間可視化模型均存在一定的表達(dá)缺陷，因此亟需構(gòu)建網(wǎng)絡(luò)空間自身的坐標(biāo)系作為網(wǎng)絡(luò)空間信息系統(tǒng)的參照基礎(chǔ)。其中虛擬復(fù)雜的網(wǎng)絡(luò)空間特性為坐標(biāo)系設(shè)計(jì)帶來(lái)了幾個(gè)重大挑戰(zhàn)。1)網(wǎng)絡(luò)空間的空間維度的多少。2)是否存在類(lèi)似經(jīng)緯度的恒定編號(hào)系統(tǒng)可作為基礎(chǔ)的空間維度向量。3)如何定義基礎(chǔ)二維、三維坐標(biāo)系。4)如何表達(dá)網(wǎng)絡(luò)空間的層次性、區(qū)域性特點(diǎn)。本節(jié)主要圍繞上述問(wèn)題探討網(wǎng)絡(luò)空間本源坐標(biāo)系的構(gòu)建方法，設(shè)計(jì)網(wǎng)絡(luò)空間統(tǒng)一繪制背板。

4.1 基礎(chǔ)坐標(biāo)向量

網(wǎng)絡(luò)空間坐標(biāo)系設(shè)計(jì)的關(guān)鍵在于基礎(chǔ)坐標(biāo)向量的選取，在地理信息系統(tǒng)中體現(xiàn)為經(jīng)度和緯度。考慮到網(wǎng)絡(luò)空間的空間特性，基向量的選取需要遵循正交、恒定以及層次化、細(xì)粒度揭示網(wǎng)絡(luò)空間的原則，并思考如何在該向量空間中表征網(wǎng)絡(luò)異構(gòu)載體、數(shù)據(jù)、用戶(hù)和交互操作等。

根據(jù)某高校關(guān)于網(wǎng)絡(luò)空間坐標(biāo)系和網(wǎng)絡(luò)空間地圖的研究發(fā)現(xiàn)[4]，在復(fù)雜多變的網(wǎng)絡(luò)空間中，IP地址、邏輯端口地址、自治系統(tǒng)編號(hào)（ASN,autonomous system number）等一些恒定的編號(hào)系統(tǒng)，適合作為網(wǎng)絡(luò)空間維度向量的候選者。其中，基于IP 地址映射網(wǎng)絡(luò)空間不僅支持網(wǎng)絡(luò)資源要素的定位，而且允許表示坐標(biāo)系中主機(jī)之間的網(wǎng)絡(luò)通信交互。邏輯端口作為識(shí)別網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)，雖然無(wú)法在網(wǎng)絡(luò)空間中唯一定位要素的空間位置，但是可以在IP 地址的基礎(chǔ)上實(shí)現(xiàn)特定需求下的網(wǎng)絡(luò)應(yīng)用層信息的表達(dá)。AS 作為網(wǎng)絡(luò)空間域間業(yè)務(wù)往來(lái)和通信的基本單位，將其設(shè)計(jì)為基礎(chǔ)坐標(biāo)向量有利于描述IP 地址空間的自治域聚合特征以及AS 層次的空間信息。

4.2 坐標(biāo)系設(shè)計(jì)

進(jìn)一步地，在給定坐標(biāo)向量的基礎(chǔ)上，本節(jié)將詳細(xì)描述網(wǎng)絡(luò)空間二維、三維坐標(biāo)系的設(shè)計(jì)，同時(shí)構(gòu)造映射算法使其能夠控制坐標(biāo)系統(tǒng)參數(shù)，實(shí)現(xiàn)空間信息的層次化表達(dá)，并滿足坐標(biāo)平面的連續(xù)性和聚合性，以反映網(wǎng)絡(luò)空間區(qū)域的概念。

4.2.1 IP 坐標(biāo)系

本文借鑒Irwin 等[18]的研究以及某高校研究[4]中有關(guān)IP 坐標(biāo)系的設(shè)計(jì)思想，構(gòu)建以IP 地址為基礎(chǔ)的二維網(wǎng)絡(luò)空間坐標(biāo)系作為網(wǎng)絡(luò)空間信息系統(tǒng)模型的參照基礎(chǔ)。考慮到一維IP 坐標(biāo)系以直線和點(diǎn)的形式表達(dá)網(wǎng)絡(luò)空間相對(duì)離散且不太直觀，因此，需要引入空間填充算法實(shí)現(xiàn)低維空間和高維空間之間關(guān)聯(lián)映射，將網(wǎng)絡(luò)空間聚類(lèi)到2n2n× 的二維IP地址空間平面，其中n表示二維空間階數(shù)。

如圖1 所示，空間填充曲線主要包括Scan 曲線、Z 曲線[19]、Gray 曲線[20]和Hilbert 曲線[21]。最簡(jiǎn)單的Scan 曲線將一維空間中值為S的點(diǎn)映射到二維空間中，其坐標(biāo)為＜x,y＞=＜Smod 2n,Sdiv 2n＞。Gray 曲線基于格雷碼，通常采用遞歸方式進(jìn)行構(gòu)造，為獲取m階Gray 曲線，需將一階Gray 曲線網(wǎng)格由(m-1)階Gray 曲線進(jìn)行旋轉(zhuǎn)填充，其一維空間中的值S可通過(guò)對(duì)網(wǎng)格坐標(biāo)的格雷碼進(jìn)行位交叉操作得到。Z 曲線、Hilbert 曲線對(duì)于給定的象限，其繪制方式與Gray 曲線類(lèi)似，同樣是由象限的位置以及所在大方形的曲線走勢(shì)所決定。

圖1 空間填充曲線（n=3）

網(wǎng)絡(luò)空間二維IP 坐標(biāo)系映射算法的選取應(yīng)遵循一定的層次性、連續(xù)性以及聚合性原則。具體定義如下。

層次性。網(wǎng)絡(luò)空間由復(fù)雜多樣的異質(zhì)網(wǎng)元構(gòu)成，需要通過(guò)控制填充曲線的階數(shù)n以表示網(wǎng)絡(luò)空間的不同層次粒度。如圖1 所示，n=3，可將IPv4（Internet protocol version 4）地址空間劃分為64 個(gè)子網(wǎng)，其中每個(gè)子網(wǎng)的網(wǎng)絡(luò)部分地址按照填充曲線構(gòu)造方式排列。觀察發(fā)現(xiàn)，除Scan 曲線外，其余映射算法在縮放過(guò)程中隨著n的增加，對(duì)每個(gè)子網(wǎng)的網(wǎng)格依次進(jìn)行層次分解（四等分），在保留子網(wǎng)相對(duì)位置不變的同時(shí)，可得到該IP 地址前綴下的網(wǎng)絡(luò)展開(kāi)。直到n=16 得到整個(gè)IPv4 地址空間，符合網(wǎng)絡(luò)空間在不同網(wǎng)絡(luò)層次、觀察粒度下的資源要素的表達(dá)需求。

連續(xù)性。希望一維連續(xù)IP 地址/網(wǎng)絡(luò)部分地址在二維空間中也連續(xù)，保留曲線上網(wǎng)絡(luò)空間數(shù)據(jù)的局部性。

定義1一維空間R與二維空間Rd之間的一一映射記作Q，若對(duì)于IP1∈R,IP2∈R,IP1≠I(mǎi)P2,且d(IP1,IP2)≤ 1，映射后d(Q(IP1),Q(IP2))≤ 1記為IP1和IP2連續(xù)，否則記為不連續(xù)，其中d為歐氏距離。如圖1 所示，Scan 曲線、Z 曲線、Gray 曲線均存在“跳躍”，Hilbert 曲線則處處連續(xù)。通過(guò)改變階數(shù)n計(jì)算不連續(xù)概率，如圖2(a)所示。從圖2(a)中可看出，Hilbert 曲線的連續(xù)性最優(yōu)，Scan 曲線次之，Z 曲線的不連續(xù)概率最高。

聚合性。為了反映網(wǎng)絡(luò)空間新的區(qū)域組織形式，在二維空間中，填充曲線最好能夠體現(xiàn)較高程度的區(qū)域IP 地址聚合的特性。具體地，在整個(gè)n=16的IPv4 地址空間中，給定隨機(jī)起點(diǎn)的正方形區(qū)域D(2m× 2m)，設(shè)D內(nèi)所有IP 地址聚合得到的最長(zhǎng)子網(wǎng)掩碼長(zhǎng)度為L(zhǎng)，對(duì)于給定的m，L越大表示聚合粒度越細(xì)，且L最大為32 -2m，引入作為聚合性評(píng)價(jià)指標(biāo)K。通過(guò)改變區(qū)域D大小，執(zhí)行蒙特卡洛隨機(jī)模擬法，得到K的均值隨m變化的曲線如圖2(b)所示。從圖2(b)中可看出，Hilbert 曲線相比于Scan 曲線的聚合程度更高。

圖2 評(píng)價(jià)指標(biāo)

綜上所述，對(duì)比4 種空間填充曲線，Hilbert 曲線映射算法在表達(dá)網(wǎng)絡(luò)空間的層次性、連續(xù)性、聚合性上存在一定的優(yōu)勢(shì)。以 IPv4 地址空間中10.0.0.0/24 子網(wǎng)為例，基于Hilbert 曲線映射算法構(gòu)建的二維IP 坐標(biāo)系如圖3(a)所示。最細(xì)粒度下每個(gè)網(wǎng)格代表一個(gè)IP 地址，觀察發(fā)現(xiàn)子網(wǎng)10.0.0.0/26、10.0.0.64/26、10.0.0.128/26、10.0.0.192/26 下的IP地址相鄰且聚合成網(wǎng)絡(luò)區(qū)域，能夠較好地反映網(wǎng)絡(luò)空間的特性和規(guī)律。

圖3 網(wǎng)絡(luò)空間坐標(biāo)系

4.2.2 AS 坐標(biāo)系

4.2.1節(jié)所述以IP 地址為基礎(chǔ)的二維坐標(biāo)系可以滿足多數(shù)場(chǎng)景下網(wǎng)絡(luò)空間的表達(dá)需求，然而受限于部分AS 的IP 段分配并不連續(xù)，例如，AS4809下分配241 個(gè)不同的IPv4 地址段，這些離散的地址段在二維IP 坐標(biāo)系中的聚合程度不高，使IP 坐標(biāo)系對(duì)網(wǎng)絡(luò)空間AS 級(jí)別流量、拓?fù)湟约肮籼卣鞯刃畔⒌谋磉_(dá)缺乏一定的直觀性。

本文在之前關(guān)于網(wǎng)絡(luò)空間AS 坐標(biāo)系研究的基礎(chǔ)上[4]，進(jìn)一步豐富了第三維坐標(biāo)的含義，用作之后網(wǎng)絡(luò)空間信息系統(tǒng)的另一參照基礎(chǔ)。AS 作為單一管理體系下多個(gè)路由器的集合，是網(wǎng)絡(luò)空間域間業(yè)務(wù)往來(lái)和通信的基本單位。上述空間填充曲線均可作為升維算法將指定范圍的一維ASN 映射到二維AS 坐標(biāo)系空間，本文仍選擇Hilbert 曲線構(gòu)建AS 坐標(biāo)系的基礎(chǔ)二維平面。此外，考慮到二維AS 坐標(biāo)系局限于AS 要素的表達(dá)，而IP 地址作為網(wǎng)絡(luò)空間的關(guān)鍵要素難以得到體現(xiàn)，因此可添加AS 下IP 地址分配的時(shí)間序列作為第三維矢量與之正交構(gòu)建三維AS 坐標(biāo)系，進(jìn)一步描述網(wǎng)絡(luò)主機(jī)間的信息交互，具體示意如圖3(b)所示。

5 網(wǎng)絡(luò)空間信息系統(tǒng)

網(wǎng)絡(luò)空間信息系統(tǒng)與地理信息系統(tǒng)類(lèi)似，都是基于計(jì)算機(jī)對(duì)空間信息數(shù)據(jù)進(jìn)行分析、處理、存儲(chǔ)和可視化的工具，其中空間信息定義為具有坐標(biāo)定位的實(shí)體之間的聯(lián)系以及相互作用的表征。

網(wǎng)絡(luò)空間信息系統(tǒng)與地理信息系統(tǒng)不同，地理信息系統(tǒng)以地理坐標(biāo)系為基礎(chǔ)，網(wǎng)絡(luò)空間信息系統(tǒng)以網(wǎng)絡(luò)空間坐標(biāo)系為基礎(chǔ)。

本節(jié)主要研究如何在網(wǎng)絡(luò)空間自身坐標(biāo)系的基礎(chǔ)上，設(shè)計(jì)網(wǎng)絡(luò)空間信息系統(tǒng)模型。

5.1 網(wǎng)絡(luò)空間信息系統(tǒng)模型

網(wǎng)絡(luò)空間信息系統(tǒng)的基本設(shè)計(jì)要點(diǎn)是，在選定的網(wǎng)絡(luò)空間坐標(biāo)系基礎(chǔ)上，支持對(duì)網(wǎng)絡(luò)空間的多尺度、多維度和多視圖表達(dá)，并且能夠?qū)崿F(xiàn)網(wǎng)絡(luò)空間信息系統(tǒng)與地理信息系統(tǒng)之間的映射。

1)網(wǎng)絡(luò)空間的多尺度表達(dá)設(shè)計(jì)

多尺度表達(dá)是人類(lèi)由遠(yuǎn)及近認(rèn)知空間信息的基礎(chǔ)。地理信息系統(tǒng)中，比例尺決定了實(shí)地輪廓轉(zhuǎn)變?yōu)橹茍D表象的縮小程度，在不同的尺度下地理要素及其屬性特征會(huì)發(fā)生不同程度的聚合或分裂[22]，使地理信息內(nèi)容的顯示呈現(xiàn)一定的層次性。

網(wǎng)絡(luò)空間信息系統(tǒng)也應(yīng)具備對(duì)海量資源要素在不同粒度下的定位和表達(dá)能力。以二維IP 坐標(biāo)系為例，其定義模型保證了坐標(biāo)系的可伸縮和層次化特性，參照地理測(cè)度量綱系統(tǒng)，本文初步進(jìn)行了網(wǎng)絡(luò)空間信息系統(tǒng)模型的比例尺設(shè)計(jì)，將網(wǎng)絡(luò)空間的層次結(jié)構(gòu)劃分三層：自治域、網(wǎng)絡(luò)、主機(jī)，實(shí)現(xiàn)網(wǎng)絡(luò)空間全域覆蓋和本源描述。

圖4 通過(guò)在IANA（Internet assigned number authority）搜集數(shù)據(jù)，從多個(gè)比例尺尺度對(duì)網(wǎng)絡(luò)空間要素進(jìn)行描述與表達(dá)。首先從自治域?qū)油瓿蓪?duì)整個(gè)網(wǎng)絡(luò)空間的映射與劃分，圖4(a)中不同灰度值表示不同網(wǎng)絡(luò)空間要素AS 映射在二維IP 平面中的區(qū)域位置，不同符號(hào)代表AS 名稱(chēng)，右側(cè)顯示AS 的統(tǒng)計(jì)數(shù)據(jù)，其中比例尺1:/20 下一個(gè)像素點(diǎn)實(shí)際為包含212個(gè)IP 地址的子網(wǎng)。接著可伸縮表示自治域在網(wǎng)絡(luò)層次結(jié)構(gòu)下的展開(kāi)，在1:/24、1:/28 比例尺下分別采用不同灰度表示AS 下的骨干網(wǎng)、接入網(wǎng)、物聯(lián)網(wǎng)等IP 地址分布信息，進(jìn)而細(xì)粒度表示部分網(wǎng)絡(luò)層資源要素的區(qū)域性，其中地理空間中分散的點(diǎn)在網(wǎng)絡(luò)空間中可能聚合成塊。圖4(b)則基于多尺度認(rèn)知下的最小觀測(cè)粒度，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層的進(jìn)一步展開(kāi)，結(jié)合網(wǎng)絡(luò)空間要素組件探測(cè)和識(shí)別技術(shù)[23-24]，重點(diǎn)突出校園網(wǎng)下主機(jī)級(jí)別的屬性聚合特征，如鏈路、路由器、交換機(jī)等，符合人類(lèi)由遠(yuǎn)及近認(rèn)知網(wǎng)絡(luò)空間信息的思維，同時(shí)可以滿足不同管理人員的可視化需求。

圖4 網(wǎng)絡(luò)空間要素定位和表達(dá)

2)網(wǎng)絡(luò)空間的多維度表達(dá)設(shè)計(jì)

具體設(shè)計(jì)了2 種多維度表達(dá)模型：一種與地理信息系統(tǒng)類(lèi)似，通過(guò)在基礎(chǔ)地圖上疊加圖層的方式實(shí)現(xiàn)多維度信息的表達(dá)；另一種與地理信息系統(tǒng)不同，通過(guò)添加新的空間坐標(biāo)維度刻畫(huà)網(wǎng)絡(luò)空間的多維度信息，在物理空間中，很難添加三維以上的空間維度，而在網(wǎng)絡(luò)空間這個(gè)虛擬空間卻很容易添加新的空間維度，因此基于坐標(biāo)維度擴(kuò)展的表達(dá)方法是網(wǎng)絡(luò)空間信息系統(tǒng)的重要特征。本文以網(wǎng)絡(luò)流量專(zhuān)題地圖和網(wǎng)絡(luò)拓?fù)鋵?zhuān)題地圖為例，闡述了在IP坐標(biāo)系以及AS 坐標(biāo)系底圖的基礎(chǔ)上，添加第三維坐標(biāo)系或疊加圖層的多維度表達(dá)方法。

①網(wǎng)絡(luò)流量專(zhuān)題地圖

為了反映網(wǎng)絡(luò)空間中流量的分布規(guī)律及其相互關(guān)系，本文將識(shí)別服務(wù)的邏輯端口（port）分別與IP 地址、ASN 正交構(gòu)成三維坐標(biāo)系，設(shè)計(jì)網(wǎng)絡(luò)空間流量專(zhuān)題地圖。

圖5(a)顯示三維IP-Port坐標(biāo)系下訪問(wèn)某主頁(yè)的源HTTP（hypertext transfer protocol）流量分布，數(shù)據(jù)來(lái)源于某學(xué)校門(mén)戶(hù)網(wǎng)站被動(dòng)采集的網(wǎng)絡(luò)日志[25]。以A 類(lèi)地址范圍1.0.0.0/8 為例，在比例尺1:/32 下，（x,y）表示某一IP：port 一天內(nèi)發(fā)起HTTP 請(qǐng)求的次數(shù)，其在三維坐標(biāo)中的分布情況反映了該主頁(yè)的流行程度以及用戶(hù)請(qǐng)求狀態(tài)，觀察發(fā)現(xiàn)源IP 地址流量主要集中在注冊(cè)端口以及動(dòng)態(tài)端口，并未存在異常流量。通過(guò)將基于TCP/IP（transmission control protocol/Internet protocol）的網(wǎng)絡(luò)應(yīng)用服務(wù)產(chǎn)生的流量繪制在網(wǎng)絡(luò)空間流量專(zhuān)題地圖中，有助于直觀表達(dá)互聯(lián)網(wǎng)業(yè)務(wù)及流量往來(lái)情況。類(lèi)似地，在二維AS 坐標(biāo)系的基礎(chǔ)上添加端口維度與之正交，能夠表示AS 聚合條件下流量分布及端口使用情況。

相比于地理信息系統(tǒng)，網(wǎng)絡(luò)空間流量專(zhuān)題地圖擺脫了地理維度的束縛，在網(wǎng)絡(luò)空間基礎(chǔ)底圖構(gòu)建的骨架上，定位和體現(xiàn)與流量專(zhuān)題內(nèi)容有關(guān)的相互關(guān)系，協(xié)助執(zhí)行網(wǎng)絡(luò)監(jiān)控任務(wù)以及與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)取證。

② 網(wǎng)絡(luò)空間拓?fù)鋵?zhuān)題地圖

鑒于網(wǎng)絡(luò)空間拓?fù)鋵?zhuān)題地圖需要反映網(wǎng)絡(luò)拓?fù)涞陌l(fā)展變化以及動(dòng)態(tài)規(guī)律，本文采用疊加圖層的方式，在保持底圖恒定的同時(shí)層次化描述實(shí)時(shí)的拓?fù)溥B接信息。圖5(b)以三維AS 坐標(biāo)系為例，說(shuō)明網(wǎng)絡(luò)空間拓?fù)鋵?zhuān)題地圖的優(yōu)越性。具體地，AS 間流量往來(lái)關(guān)系定義了高級(jí)別的全局互聯(lián)網(wǎng)拓?fù)洌梢詭椭脩?hù)深入了解網(wǎng)絡(luò)對(duì)等生態(tài)系統(tǒng)的技術(shù)、安全等需求。圖5(b)在AS 坐標(biāo)系上疊加圖層，采用飛線表示部分自治域之間的流量往來(lái)，發(fā)現(xiàn)IP 數(shù)目較多的AS 往往具有較豐富的拓?fù)溥B接關(guān)系。與傳統(tǒng)AS 層拓?fù)淠Ｐ拖啾龋W(wǎng)絡(luò)空間拓?fù)鋵?zhuān)題地圖提供了詳細(xì)描述和表達(dá)的能力，而非使用抽象的點(diǎn)和線來(lái)表示拓?fù)潢P(guān)系。

圖5 專(zhuān)題地圖

此外，通過(guò)在IP 坐標(biāo)系的基礎(chǔ)上疊加拓?fù)鋱D層，可伸縮實(shí)現(xiàn)不同粒度下的網(wǎng)絡(luò)拓?fù)浔磉_(dá)，包括網(wǎng)絡(luò)拓?fù)洹⒙酚赏負(fù)湟约爸鳈C(jī)拓?fù)涞龋瑓f(xié)助不同級(jí)別的網(wǎng)絡(luò)管理人員檢查硬件配置情況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的瓶頸和故障。

3)網(wǎng)絡(luò)空間的多視圖表達(dá)設(shè)計(jì)

本文重點(diǎn)關(guān)注網(wǎng)絡(luò)空間與地理空間之間的相互映射和協(xié)同表達(dá)，同時(shí)和同步使用網(wǎng)絡(luò)空間地圖和地理地圖表達(dá)同一對(duì)象。觀察發(fā)現(xiàn)，地理地圖和網(wǎng)絡(luò)空間地圖在空間信息表達(dá)形式上的側(cè)重點(diǎn)有所不同，圖6 描述了一個(gè)/16 子網(wǎng)下的不同任播地址（黑色和灰色）在網(wǎng)絡(luò)空間的分布情況。任播作為一種網(wǎng)絡(luò)尋址和路由策略，設(shè)計(jì)用于將單個(gè)客戶(hù)端路由到“最近”的服務(wù)器節(jié)點(diǎn)，其中一組服務(wù)器節(jié)點(diǎn)共享相同的任播地址。很明顯，任播地址在地理地圖中往往呈現(xiàn)廣泛的離散分布狀態(tài)，而在網(wǎng)絡(luò)空間地圖中收斂至一個(gè)點(diǎn)（/24 子網(wǎng)地址），體現(xiàn)了對(duì)相同數(shù)據(jù)集[26]的不同呈現(xiàn)方式。

圖6 網(wǎng)絡(luò)空間地圖下任播地址的分布

結(jié)合網(wǎng)絡(luò)空間地圖和地理空間地圖同時(shí)表達(dá)網(wǎng)絡(luò)空間要素提供了一種多視圖全面觀察網(wǎng)絡(luò)空間的方法，具體映射可通過(guò)對(duì)IP 地址定位庫(kù)[27-30]執(zhí)行數(shù)據(jù)庫(kù)操作實(shí)現(xiàn)。其中難點(diǎn)在于IP 地址定位庫(kù)存在一定的缺失和不準(zhǔn)確性，借鑒文獻(xiàn)[31]提出的一種基于數(shù)據(jù)一致性（DCR,data consistency rate）分配投票份額的多數(shù)據(jù)庫(kù)融合方法，本文在現(xiàn)有數(shù)據(jù)庫(kù)的基礎(chǔ)上融合多點(diǎn)Ping、Traceroute 測(cè)量結(jié)果，提高IP 地址定位的精度，用于網(wǎng)絡(luò)空間信息系統(tǒng)多視圖的構(gòu)建。

5.2 應(yīng)用場(chǎng)景實(shí)例

以上述坐標(biāo)系與模型理論為基礎(chǔ)研發(fā)的網(wǎng)絡(luò)空間信息系統(tǒng)原型，適用于網(wǎng)絡(luò)資產(chǎn)管理、網(wǎng)絡(luò)性能監(jiān)控、網(wǎng)絡(luò)安全態(tài)勢(shì)感知等不同場(chǎng)景。本節(jié)以DDoS（distributed denial of service）攻擊態(tài)勢(shì)分析和勒索病毒態(tài)勢(shì)分析為例，具體介紹網(wǎng)絡(luò)空間信息系統(tǒng)原型的應(yīng)用方式和優(yōu)勢(shì)。

5.2.1 DDoS 攻擊態(tài)勢(shì)分析

網(wǎng)絡(luò)攻擊已成為互聯(lián)網(wǎng)的背景流量，無(wú)時(shí)不在、無(wú)處不在，其中DDoS 攻擊是最難應(yīng)對(duì)的一種安全威脅。

圖7 為網(wǎng)絡(luò)空間信息系統(tǒng)下，某高校校園主頁(yè)遭受DDoS 安全攻擊時(shí)的可視化表達(dá)，其中飛線表示攻擊方向，線的粗細(xì)表示攻擊流量。從圖7(a)中可觀察到分散的攻擊源IP 地址段，受益于IP 坐標(biāo)系下信息系統(tǒng)模型的多尺度表達(dá)，網(wǎng)絡(luò)安全人員能夠基于比例尺伸縮顯示傀儡主機(jī)所屬的自治域、網(wǎng)絡(luò)、機(jī)構(gòu)、屬性類(lèi)別等網(wǎng)絡(luò)空間信息，屏蔽攻擊源IP 地址發(fā)送的數(shù)據(jù)分組，從而實(shí)現(xiàn)對(duì)DDoS 的有效追蹤、防范以及漏洞修復(fù)。圖7(b)則對(duì)IP 地址空間進(jìn)行AS 聚合，在AS 坐標(biāo)系下表達(dá)AS 級(jí)別的攻擊信息，有助于快速定位攻擊源所屬的自治系統(tǒng)。進(jìn)一步在AS 坐標(biāo)系下，借助拓?fù)鋵?zhuān)題地圖顯示DDoS攻擊的AS 拓?fù)渎窂剑蓪?shí)現(xiàn)對(duì)攻擊源的拓?fù)渌菰春桶l(fā)現(xiàn)，進(jìn)而指導(dǎo)在攻擊時(shí)更改互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的連接性。

圖7 DDoS 攻擊場(chǎng)景

此外，借助多視圖表達(dá)中地理地圖顯示的源與目的IP 的地理分布特性，可以進(jìn)一步實(shí)現(xiàn)基于地理坐標(biāo)系的定位追蹤。

5.2.2 勒索病毒態(tài)勢(shì)分析

網(wǎng)絡(luò)空間信息系統(tǒng)可通過(guò)添加時(shí)間維度，表達(dá)網(wǎng)絡(luò)病毒隨時(shí)間發(fā)展的態(tài)勢(shì)，協(xié)助安全管理人員根據(jù)病毒宿主的網(wǎng)絡(luò)區(qū)域的變化建立傳播模型，分析病毒內(nèi)部特征。

2017 年5 月12 日，勒索病毒wannacry 在全球爆發(fā)，圖8 繪制了中國(guó)范圍內(nèi)wannacry 感染數(shù)據(jù)在不同坐標(biāo)系下的可視化表達(dá)，其中左下角顯示隨時(shí)間變化的感染主機(jī)數(shù)目的統(tǒng)計(jì)數(shù)據(jù)，高亮表示感染的主機(jī)IP 地址段以及對(duì)應(yīng)的AS。相比于地理信息系統(tǒng)局限于地理信息的表達(dá)，網(wǎng)絡(luò)空間信息系統(tǒng)更能反映病毒感染的時(shí)空特性。如圖8(a)所示，wannacry 呈現(xiàn)平穩(wěn)的增長(zhǎng)速度以及持續(xù)的感染時(shí)間，約7 h 達(dá)到峰值，且不同AS 均受到不同程度的感染。圖8(b)以IP 坐標(biāo)系為背板，觀察發(fā)現(xiàn)病毒宿主往往分布在相鄰的IP 地址段，表現(xiàn)出一定的網(wǎng)絡(luò)區(qū)域特性，且通過(guò)選擇表示AS4837 中國(guó)169 骨干網(wǎng)下對(duì)應(yīng)的IP 地址分布，可直觀呈現(xiàn)該AS 下感染的主機(jī)數(shù)量及嚴(yán)重程度。

圖8 中國(guó)范圍內(nèi)wannacry 感染數(shù)據(jù)在不同坐標(biāo)系下的可視化表達(dá)

在預(yù)防和修復(fù)方面，用戶(hù)可以伸縮顯示主機(jī)所處的AS、網(wǎng)絡(luò)、機(jī)構(gòu)等網(wǎng)絡(luò)信息，配合網(wǎng)絡(luò)空間流量專(zhuān)題地圖的使用，分析被感染主機(jī)的異常流量端口，協(xié)助相應(yīng)的網(wǎng)絡(luò)管理人員及早防范和發(fā)布補(bǔ)丁。

6 結(jié)束語(yǔ)

針對(duì)網(wǎng)絡(luò)空間的空間信息系統(tǒng)建模問(wèn)題，本文分析了傳統(tǒng)地理信息系統(tǒng)和網(wǎng)絡(luò)拓?fù)湫畔⑾到y(tǒng)在描述網(wǎng)絡(luò)空間方面的不足，以網(wǎng)絡(luò)空間坐標(biāo)系為基礎(chǔ)坐標(biāo)系，提出了一種多尺度、多維度、多視圖的網(wǎng)絡(luò)空間信息系統(tǒng)模型，滿足不同網(wǎng)絡(luò)層次、不同觀察粒度下的網(wǎng)絡(luò)空間要素的表達(dá)需求。本文還進(jìn)一步闡述了網(wǎng)絡(luò)空間地圖比例尺、網(wǎng)絡(luò)空間專(zhuān)題地圖以及網(wǎng)絡(luò)空間地圖與地理地圖的映射等關(guān)鍵技術(shù)，并基于上述理論和技術(shù)基礎(chǔ)，實(shí)現(xiàn)了網(wǎng)絡(luò)空間信息系統(tǒng)的原型系統(tǒng)，應(yīng)用于DDoS 攻擊態(tài)勢(shì)分析、勒索病毒態(tài)勢(shì)分析等場(chǎng)景。實(shí)際效果表明，網(wǎng)絡(luò)空間信息系統(tǒng)與傳統(tǒng)地理信息系統(tǒng)相比，更有助于直接表達(dá)網(wǎng)絡(luò)空間特性，更便于網(wǎng)絡(luò)空間事務(wù)的展現(xiàn)和處理。