CN109981346B - 基于自治系统的网络空间坐标系创建方法及装置 - Google Patents
基于自治系统的网络空间坐标系创建方法及装置 Download PDFInfo
- Publication number
- CN109981346B CN109981346B CN201910128925.7A CN201910128925A CN109981346B CN 109981346 B CN109981346 B CN 109981346B CN 201910128925 A CN201910128925 A CN 201910128925A CN 109981346 B CN109981346 B CN 109981346B
- Authority
- CN
- China
- Prior art keywords
- network space
- coordinate system
- network
- dimensional
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012800 visualization Methods 0.000 claims abstract description 44
- 230000000007 visual effect Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 9
- 238000013507 mapping Methods 0.000 claims description 94
- 239000013598 vector Substances 0.000 claims description 35
- 238000009826 distribution Methods 0.000 claims description 24
- 238000013461 design Methods 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 10
- 230000001174 ascending effect Effects 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000002567 autonomic effect Effects 0.000 claims 1
- 239000000203 mixture Substances 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 22
- 238000011160 research Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000003745 diagnosis Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000008439 repair process Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 241000526657 Microchloa Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 101150014732 asnS gene Proteins 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000000653 nervous system Anatomy 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000004577 thatch Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T17/00—Three dimensional [3D] modelling, e.g. data description of 3D objects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开了一种基于自治系统的网络空间坐标系创建方法及装置,其中,该方法包括:确定网络空间坐标系;构建三维网络空间坐标系框架;根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型;设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理。该方法可基于统一恒定背板的网络空间多维信息可视化包括AS拓扑,IP地址构成,网络资源要素信息及层次化结构等,并适用于多种网络空间安全攻击及网络管理场景可视化。
Description
技术领域
本发明涉及网络空间建模和可视化技术领域,特别涉及一种基于自治系统的网络空间坐标系创建方法及装置。
背景技术
网络空间作为“人造”的数字化、信息化、智能化的虚拟空间,目前已经被各个国家广泛关注并上升到国家安全层面。美国在《网络空间安全国家战略》明确了网络空间安全的战略地位,并将网络空间定义为“确保国家关键基础设施正常运转的‘神经系统’和国家控制系统”。《英国网络安全战略》认为网络空间是由数字网络构成互动域,用于存储、修改和传输信息,是国家的重要战略资源载体。
近年来,我国在《国家网络空间安全战略》定义网络空间包括互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成,并积极推进网络空间安全领域的研究。与此同时,其作为平行于地理空间的第二大空间,正在深刻影响人们的生产和生活方式。
但是目前关于网络空间的研究比较局限,究其原因在于尚未建立基本的概念模型和空间理论基础,受限于传统地理坐标系和网络拓扑坐标系缺乏从本源角度表达网络空间的模型和工具。
其中,建立空间模型最根本的任务是构建网络空间坐标系,以地理空间为例,地图学研究通过投影映射将三维球面转换成二维平面,以经度和纬度作为基础向量构建二维地理坐标系,形成地理空间统一绘制背版。对于网络空间而言,传统基于成熟理论模型如地理坐标系和拓扑坐标系的研究只能将网络空间映射到其他空间来表达单一维度的信息,比如地理特性、拓扑关系等,无法提供恒定、全面、直观描述和表达网络空间的方法。亟需构建网络空间特有的坐标体系架构和地图模型,实现空间建模和网络场景可视化。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种基于自治系统的网络空间坐标系创建方法,该方法可基于统一恒定背板的网络空间多维信息可视化包括AS(Autonomous System,自治系统)拓扑,IP地址构成,网络资源要素信息及层次化结构等,并适用于多种网络空间安全攻击及网络管理场景可视化。
本发明的另一个目的在于提出一种基于自治系统的网络空间坐标系创建装置。
为达到上述目的,本发明一方面实施例提出了一种基于自治系统的网络空间坐标系创建方法,包括:确定网络空间坐标系;构建三维网络空间坐标系框架;根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型;设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理。
本发明实施例的基于自治系统的网络空间坐标系创建方法,通过提出以自治系统编号(ASN,Autonomous System Number)为基础矢量的二维网络空间坐标系框架设计方案,选取Hilbert映射算法实现一维ASN升维可视化。然后,确定将该AS下的IP地址分配时间序列作为第三维基础矢量与AS地址正交,构建三维网络空间坐标系框架,并对网络空间关键属性IP地址进行分析和映射。再构建网络空间地图模型支持网络空间的可视化表达,基于矩形树图的方式支持网络空间多尺度遍历及网络空间对象定位,层次化、可伸缩表达网络空间本源要素如AS下的网络构成及网络下的IP构成,同时支持网络拓扑可视化,引入拓扑专题地图的概念,采用力导向算法对网络空间AS拓扑关系进行可视化呈现。最终,设计地图应用场景并实现可视化,发明一款多维展现网络空间的地图装置。
另外,根据本发明上述实施例的基于自治系统的网络空间坐标系创建方法还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述网络空间坐标系为二维坐标系,所述确定网络空间坐标系,包括:根据预设算法将一维自治系统编号映射到二维坐标空间;所述根据预设算法将一维自治系统编号映射到二维坐标空间,包括:采用Hilbert映射算法对自治系统编号进行升维映射,确定网络空间坐标系坐标共同表示网络空间自治系统属性。
进一步地,在本发明的一个实施例中,所述构建三维网络空间坐标系框架,包括:将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,并对网络空间关键属性IP地址进行分析和映射。
进一步地,在本发明的一个实施例中,所述网络空间坐标系框架为三维坐标系,包括与二维自治系统基础矢量垂直的第三维坐标轴;
所述将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,包括:
与二维坐标系垂直的第三坐标轴表示自治系统下IP地址分配的时间序列,正方向表示序列递增;
所述对网络空间关键属性IP地址进行分析和映射,包括:
通过定义三维坐标系空间建模网络空间,基于通信的关键标识IP地址定位任何一个网络空间资源要素;其中,Z轴映射算描述为对某一自治系统下所管辖的所有IP地址按照分配的时间进行递增排序,同一分配时间下按照IP地址十进制从小到大排序,序列号映射到第三维坐标系;
根据Hilbert算法和Z轴映射算法定位坐标对IP地址进行分析和映射。
进一步地,在本发明的一个实施例中,所述根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型,包括:
确定网络空间层次结构划分为三层:自治系统、网络、IP;
定义网络空间球模式。
进一步地,在本发明的一个实施例中,所述设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理,包括:
对于攻击源和目的IP地址根据映射算法计算在基于自治系统的网络空间三维坐标系中的坐标,可视化实时攻击场景,飞线表示攻击方向,线的粗细表示攻击流量;
对于攻击源和目的IP地址根据映射算法计算在基于AS的网络空间三维坐标系中的坐标,线的粗细表示攻击频率。
为达到上述目的,本发明另一方面实施例提出了一种基于自治系统的网络空间坐标系创建装置,包括:确定模块,用于确定网络空间坐标系;第一构建模块,用于构建三维网络空间坐标系框架;第二构建模块,用于根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型;设计可视化模块,用于设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理。
本发明实施例的基于自治系统的网络空间坐标系创建装置,通过提出以自治系统编号为基础矢量的二维网络空间坐标系框架设计方案,选取Hilbert映射算法实现一维ASN升维可视化。然后,确定将该AS下的IP地址分配时间序列作为第三维基础矢量与AS地址正交,构建三维网络空间坐标系框架,并对网络空间关键属性IP地址进行分析和映射。再构建网络空间地图模型支持网络空间的可视化表达,基于矩形树图的方式支持网络空间多尺度遍历及网络空间对象定位,层次化、可伸缩表达网络空间本源要素如AS下的网络构成及网络下的IP构成,同时支持网络拓扑可视化,引入拓扑专题地图的概念,采用力导向算法对网络空间AS拓扑关系进行可视化呈现。最终,设计地图应用场景并实现可视化,发明一款多维展现网络空间的地图装置。
另外,根据本发明上述实施例的基于自治系统的网络空间坐标系创建装置还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述网络空间坐标系为二维坐标系,所述确定模块,具体用于:根据预设算法将一维自治系统编号映射到二维坐标空间;所述根据预设算法将一维自治系统编号映射到二维坐标空间,包括:采用Hilbert映射算法对自治系统编号进行升维映射,确定网络空间坐标系坐标共同表示网络空间自治系统属性。
进一步地,在本发明的一个实施例中,所述第一构建模块,具体用于:将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,并对网络空间关键属性IP地址进行分析和映射。
进一步地,在本发明的一个实施例中,所述第二构建模块,具体用于:确定网络空间层次结构划分为三层:自治系统、网络、IP;定义网络空间球模式。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明一个实施例的基于自治系统的网络空间坐标系创建方法流程图;
图2为根据本发明一个实施例的根据Hilbert映射算法将指定范围的一维ASN映射到二维坐标空间图;
图3为根据本发明一个实施例的以AS为基础的网络空间三维坐标系框架示意图;
图4为根据本发明一个具体实施例的基于AS的网络空间坐标系的创建方法的流程示意图;
图5为根据本发明一个实施例的网络空间地图模型中基于矩形树图层次化、多尺度表达网络空间本源要素示意图;
图6为根据本发明一个实施例的网络空间模型中基于力导向算法直观表达AS拓扑连接关系的拓扑专题地图;
图7为根据本发明一个实施例的基于AS的网络空间坐标系的一款多维展现网络空间的地图的创建装置的结构示意图;
图8为根据本发明一个实施例的网络空间关键属性IP地址在三维坐标系中的映射图;
图9为根据本发明一个实施例的网络空间地图实时攻击场景模块示意图;
图10为根据本发明一个实施例的网络空间地图DDOS攻击场景模块示意图;
图11为根据本发明一个实施例的基于自治系统的网络空间坐标系创建装置结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的基于自治系统的网络空间坐标系创建方法及装置。
首先将参照附图描述根据本发明实施例提出的基于自治系统的网络空间坐标系创建方法。
图1为根据本发明一个实施例的基于自治系统的网络空间坐标系创建方法流程图。
如图1所示,该基于自治系统的网络空间坐标系创建方法包括以下步骤:
在步骤S101中,确定网络空间坐标系。
进一步地,在本发明的一个实施例中,网络空间坐标系为二维坐标系。
其中,确定网络空间坐标系,包括:根据预设算法将一维自治系统编号映射到二维坐标空间。
根据预设算法将一维自治系统编号映射到二维坐标空间,包括:采用Hilbert映射算法对自治系统编号(ASN,Autonomous System Number)进行升维映射,确定网络空间坐标系坐标共同表示网络空间自治系统属性,类似地理空间模型中经纬度对国家信息的表达。
具体地,确定网络空间坐标系采用AS(Autonomous System,自治系统)编号作为基础矢量,根据预设算法将一维ASN映射到二维坐标系。
在步骤S102中,构建三维网络空间坐标系框架。
进一步地,在本发明的一个实施例中,包括:将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,并对网络空间关键属性IP地址进行分析和映射。
具体地,确定第三维基础矢量将该AS下的IP地址分配时间序列与AS地址正交构建网络空间坐标系框架,并对网络空间关键属性IP地址进行分析和映射。
进一步地,网络空间坐标系框架为三维坐标系,包括与二维自治系统基础矢量垂直的第三维坐标轴;将该AS下的IP地址分配时间序列作为第三维基础矢量与AS地址正交,包括:
与二维坐标系垂直的第三坐标轴表示的是AS下IP地址分配的时间序列,正方向表示序列递增;
对网络空间关键属性IP地址进行分析和映射,包括:
通过定义三维坐标系空间建模网络空间,能够基于通信的关键标识IP地址定位任何一个网络空间资源要素。其中Z轴映射算描述为对某一AS下所管辖的所有IP地址按照分配的时间进行递增排序,同一分配时间下按照IP地址十进制从小到大排序,序列号映射到第三维坐标系,可根据上述Hilbert算法和Z轴映射算法定位坐标(x,y,z)对IP地址进行分析和映射;
根据Hilbert算法和Z轴映射算法定位坐标对IP地址进行分析和映射。
在步骤S103中,根据网络空间坐标系和三维网络空间坐标系框架构建网络空间地图模型。
进一步地,在本发明的一个实施例中,根据网络空间坐标系和三维网络空间坐标系框架构建网络空间地图模型,包括:确定网络空间层次结构划分为三层:自治系统、网络、IP;定义网络空间球模式。
具体地,构建的网络空间地图模型,直观表达网络层次结构及AS拓扑连接关系。
在步骤S104中,设计构建网络空间地图模型对应的应用场景,并对应用场景进行可视化处理。
设计基于AS的网络空间坐标系构建网络空间地图模型,支持网络空间的可视化表达,支持网络空间多尺度遍历、网络拓扑可视化、网络空间对象定位等需求。实现层次化、可伸缩的地图特性,满足从不同的层次展现网络空间对象分布情况的可视化需求。同时引入拓扑专题地图的概念进行网络拓扑可视化。
满足网络空间多尺度遍历、对象定位、网络拓扑可视化等需求,包括:
确定网络空间层次结构划分三层:AS、网络、IP,比照地理地图模型,AS类比于国家,网络对应省市,IP地址相当于住宅的门牌号,基于矩形树图的方式层次化、多尺度表达网络空间本源要素如AS下的网络构成及网络下的IP构成,满足不同级别管理人员的可视化及定位需求。
定义网络空间球模式实现网络拓扑可视化。以AS拓扑为例,根据AS管辖的IP地址数量以及BGP数据,采用力导向算法将AS映射到新的三维坐标(X,Y,Z),空间球大小表示IP地址数量,飞线表示拓扑连接关系。空间球模式同样适用于AS内部网络拓扑,及IP拓扑,实现空间单元和空间链路管理。
进一步地,在本发明的一个实施例中,设计构建网络空间地图模型对应的应用场景,并对应用场景进行可视化处理,包括:对于攻击源和目的IP地址根据映射算法计算在基于自治系统的网络空间三维坐标系中的坐标,可视化实时攻击场景,飞线表示攻击方向,线的粗细表示攻击流量;对于攻击源和目的IP地址根据映射算法计算在基于AS的网络空间三维坐标系中的坐标,线的粗细表示攻击频率。
具体地,设计地图应用场景并进行可视化实现包括两个场景:
场景1:网络空间实时攻击场景。对于攻击源和目的IP地址根据映射算法计算在基于AS的网络空间三维坐标系中的坐标(X,Y,Z),可视化实时攻击场景,飞线表示攻击方向,线的粗细表示攻击流量。以AS为粒度观察网络攻击流量特性,分析攻击行为,协助安全分析人员更好的认识和防范攻击。
场景2:网络空间DDOS攻击场景。对于攻击源和目的IP地址根据映射算法计算在基于AS的网络空间三维坐标系中的坐标(X,Y,Z),线的粗细表示攻击频率。相比于地理地图而言,通过不同层次展开获取攻击源和目标的AS、网络、IP地址信息,可快速定位安全问题并进行漏洞诊断和修复。
此外,在拓扑专题地图中绘制上述攻击场景,可直观展现攻击经历的拓扑路径,实现对攻击源的拓扑溯源和发现,指导受到网络安全攻击时更改互联网基础设施的连接性。
该方法首先确定以AS编号(ASN)为基础矢量的网络空间坐标系架构,考虑到网络空间是一个虚拟的信息空间,其中海量信息自由流动构成网络空间瞬时多样,选择可恒定表征网络空间本源的基础向量对于建立网络空间地图模型而言至关重要。
自治系统(AS)作为处于一个管理机构控制之下的网络和IP地址的集合相当于地理空间中的国家,是网络空间域间业务往来和通信的基本单位。选取Hilbert映射算法实现一维ASN升维可视化,同时构建以AS下的IP地址分配时间序列为第三维基础矢量的网络空间坐标系框架,用于表达网络空间信息通信的关键属性—IP地址信息。
下面结合附图及具体实施例对本发明的基于自治系统的网络空间坐标系创建方法进行详细说明。
如图2所示,为根据Hilbert映射算法将指定范围的一维ASN映射到二维坐标空间。自治系统(AS)作为处于一个管理机构控制之下的网络和IP地址的集合相当于地理空间中的国家,是网络空间域间业务往来和通信的基本单位。Hilbert映射算法作为一种升维算法可将指定范围的一维ASN编号映射到二维坐标系空间,较好的保证ASN的邻近性,构建网络空间坐标系的基础二维平面。
首先简要介绍Hilbert映射算法,其中,阶数表示Hilbert映射的展开程度以及所能表示的范围。将ASN映射到二维坐标(X,Y)的算法流程如下:
算法二:Rot(ASNB,n,k)其中,ASNB是ASN的二进制表示ASNB=(h2n-1h2n-2…h1h0)2,n代表希尔伯特曲线阶数,k代表起始阶数。
指定ASN范围为[0,22n-1],对应的Hilbert映射算法阶数为n。图2分别展示了指定ASN范围为[0,3],[0,15],[0,63],[0,255]映射得到的二维坐标空间。将上述算法应用于整个ASN空间[0,65535]进行升维映射,对应的Hilbert阶数n等于8,可确定以AS为基础的网络空间二维坐标系。
图3为根据本发明一个实施例的以AS为基础的网络空间三维坐标系框架示意图,如图3所示,在上述二维坐标系的基础上,将该AS下的IP地址分配时间序列作为第三维基础矢量与AS地址正交,正方向表示序列递增。具体地,Z轴映射算法定义如下:
S1:设某一AS下所管辖的IP地址有n个{IP1,IP2,IP3,IP4,IP5,IP6,…,IPn},同时采集对应的分配时间{T1,T2,T3,T4,T5,T6,…,Tn},精确到秒;
S2:未分配的IP地址分配时间定义为MAXINT>max{T1,T2,T3,T4,T5,T6,…,Tn};
S3:针对该AS下的所有IP地址按照分配的时间进行递增排序,同一分配时间下按照IP地址的十进制从小到大排序,得到新的IP地址序列{NIP1,NIP2,NIP3,NIP4,NIP5,NIP6,…,NIPn},序列号映射到第三维坐标系。
如图3所示Z=10000表示某一IP地址在根据分配时间排序得到的新的IP地址序列中位于第10000位。
图4为根据本发明一个具体实施例的基于AS的网络空间坐标系的创建方法的流程示意图。
如图4所示,本实施例提供的基于AS的网络空间坐标系的创建方法,包括以下步骤:
(1)确定网络空间坐标系采用AS编号(ASN)作为基础矢量,根据预设算法将一维ASN映射到二维坐标系。
在本实施例中,网络空间坐标系为基于上述Hilbert映射算法得到的二维坐标空间,以ASN作为基础矢量表征网络空间自治系统要素。
具体地,考虑到网络空间是一个虚拟的信息空间,其中,海量信息自由流动构成网络空间瞬时多样,选择可恒定表征网络空间本源的基础向量对于建立网络空间地图模型而言至关重要。
自治系统(AS)作为处于一个管理机构控制之下的网络和IP地址的集合相当于地理空间中的国家,是网络空间域间业务往来和通信的基本单位。
根据上述Hilbert映射算法构建以AS为基础的网络空间二维坐标系,确定统一、恒定的背板展现网络空间自治系统要素。
(2)构建三维网络空间坐标系框架,确定将该AS下的IP地址分配时间序列作为第三维基础矢量与AS地址正交,并对网络空间关键属性IP地址进行分析和映射。
具体地,考虑到二维坐标系局限于自治系统要素的表达,而在网络空间中,IP地址作为设备连接到网络时分配的唯一指纹,提供了主机在网络空间中的位置和网络接口标识,是所有网络空间资源要素的关键标识。
因此,本发明在二维坐标系的基础上添加AS下的IP地址分配时间序列作为第三维矢量与之正交,构建三维网络空间坐标系框架表达IP信息。
举例来说,某一IP地址166.111.8.2属于AS4538,根据ASN2xy算法得到平面坐标(24,76)将AS4538下管辖的所有IP地址依据上述Z轴映射算法先按照时间序排序,将166.111.8.2分配时间的排序号8902将作为该IP地址的Z轴表示,于是在三维坐标系中(24,76,8902)将作为该IP地址的唯一表示,同时标识到全球互联网空间的唯一联网设备,表达网络空间资源信息。
具体地,相较于以IP地址为基础矢量的网络空间坐标系能够较好解决网络空间本质问题,例如IP地址空间过大难以全面表达,232约40亿地址空间难以寻求较好的可视化方案;IP地址段分配不连续造成同一AS下IP地址分散,以AS4538为例,其下的IP地址段包括101.4.0.0/14、101.5.0.0/16、101.77.0.0/16、111.186.0.0/15、114.212.0.0/16等,在可视化过程中同一AS分散在IP地址坐标系各个位置,表达效果不佳。
(3)构建网络空间地图模型,支持网络空间的可视化表达,满足网络空间多尺度遍历、对象定位、网络拓扑可视化等需求。
具体地,以AS为基础的网络空间坐标系虽然可以直观的表达IP粒度,但是缺乏对网络空间细节的层次化呈现。难以满足网络空间多尺度遍历、对象定位等需求。融合地理地图模型的思想构建网络空间地图模型,考虑到不同用户对网络空间对象分布情况、资源信息、连接关系等不同的可视化需求,需要满足可伸缩、层次化的地图特性。同时其作为平行于地理空间的第二大空间,地理空间中有相应的地理地图和专题地图可伸缩表达山川、河流、城市街道,网络空间地图模型也需要设计一些专题地图模块来实现特定网络细节的多维展示,本文以拓扑专题地图为例进行设计和阐述。
具体地,支持网络空间多尺度遍历,满足可伸缩、层次化的地图特性需要先对网络空间进行层次结构的划分,参照地理地图模型确定网络空间层次结构划分三层:AS、网络、IP,AS类比于国家,网络对应省市,IP地址相当于住宅的门牌号。其中,基于矩形树图的方式支持网络空间多尺度遍历、对象定位,通过对网络空间资源要素层层展开,细粒度可视化某一AS下的网络构成,网络下的IP资源构成,可以方便不同级别的网络管理人员进行资产管理和运营维护。
具体地,支持网络空间对象定位将网络空间中AS,网络,IP地址的资源层次结构抽象为一颗树,根节点整表示个网络空间中所有资源,根据AS对网络空间进行划分得到多个表示AS含义的子节点,AS下大大小小的网络可以作为AS节点的划分和延伸,树的天然结构可以用来表达网络之间存在包含关系,例如Cernet(中国教育和科研计算机网,ChinaEducation and Research Network)网络下包含骨干网、清华、北大、武汉大学、郑州大学、湖南大学等一百多所高校的校园网。每个校园网内部还可能划分不同的区域局域网,如清华校园网下的赛尔公司局域网,然后以IP资源作为叶子结点对网络结点进行填充构造网络空间资源树。矩形树图作为实现层次结构直观可视化的图表结构,采用矩形的方式来表示树形层次结构中的节点,父子之前的层次关系通过矩形之间的相互嵌套隐喻表达。
(4)设计地图应用场景并进行可视化实现,发明一款多维展现网络空间的地图装置。
具体地,设计地图应用场景包括网络空间实时攻击场景和DDOS(分布式拒绝服务,Distributed Denial of Service))攻击场景。上述网络空间地图模型分别定义了以AS为基础的网络空间基坐标系、网络空间地图层次结构、拓扑专题地图等概念,接下来在此基础上可视化数据统计结果,多维呈现网络空间安全场景。
场景1:网络空间实时攻击场景,采集蜜罐中全球互联网实时攻击数据,并对于攻击源和目的IP地址根据上述映射算法获取在基于AS的网络空间三维坐标系中的坐标(X,Y,Z),可视化实时攻击场景,飞线表示攻击方向,线的粗细表示攻击流量。以AS为粒度观察网络攻击流量特性,分析攻击行为,协助安全分析人员更好的认识和防范攻击。
场景2:网络空间DDOS攻击场景,基于清华服务器受到的一次DDOS攻击数据,对于攻击源和目的IP地址根据映射算法计算在基于AS的网络空间三维坐标系中的坐标(X,Y,Z),线的粗细表示攻击频率。相比于地理地图而言,通过不同层次化、伸缩展开获取攻击源和目标的AS、网络、IP地址信息,可快速定位安全问题并进行漏洞诊断和修复。
此外,在拓扑专题地图中绘制上述攻击场景,可直观展现攻击经历的拓扑路径,实现对攻击源的拓扑溯源和发现,指导受到网络安全攻击时更改互联网基础设施的连接性。
如图5所示,为网络空间地图模型中基于矩形树图层次化、多尺度表达网络空间本源要素示意图。具体表示在以AS为基础的网络空间地图中点击AS4538后可视化该AS节点下的网络空间资源构成,首先对AS4538下的所有大型网络进行可视化,这里只包含Cernet网络,其中,矩形的大小表示其IP地址的数量规模为17170688,然后向下展开可视化Cernet网络节点下小型校园网分布如图5(a)所示,校园网络节点正交且不重合,其下/32的IP地址数量通过矩形的大小来表示,标签呈现具体的网络信息,eg.广州师范大学校园网GUANGZTC-CN管辖的IP地址范围为202.192.32.0-202.192.47.0,包含3840个IP地址数量。接下来某一校园网管理人员可通过点击该校园网进入到IP层次,可视化该校园网节点下的IP资源节点,如图5(b)表示GUANGZTC-CN下的IP地址信息,根据不同的资源受管理人员的关注度不同,对不同的IP地址所属资源赋予权重,eg.服务器为3,主机为1,打印机为2,采用矩形的大小进行区分表示。
通过层次化、可伸缩的直观表达可以呈现网络空间细粒度的资源信息,满足不同级别管理人员的可视化需求。
具体地,上述网络空间地图模型只实现了网络资源对象的多尺度可视化及定位,考虑到拓扑连接作为网络空间重要属性,常用于表达网络空间单元的连接关系,实现空间单元和空间链路管理,需要引入拓扑专题地图的概念实现拓扑可视化、展现拓扑连接结构,主要从AS层、网络层、IP层开展研究,每个网络空间单元可以由网络空间子单元构成,进而将网络空间剖分降维,实现网络空间多层次、细粒度的认知。
具体地,支持拓扑可视化,设计拓扑专题地图实现特定网络细节的多维展示时,针对某一AS的拓扑连接关系可以在以AS为基础的网络空间坐标系中直接通过飞线表示,基于BDP(Business Data Platform,商业数据平台)数据绘制某一AS的拓扑连接关系。但是考虑到全球网络单元之间的拓扑连接关系较为复杂,绘制全网拓扑可能出现飞线之间交叉严重导致可视化效果不佳,在这种情况下可以额外设计一种网络空间球模式作为拓扑专题地图,采用新的映射算法将AS重新映射到三维空间,并且希望寻求一种新的排列方式使得飞线之间的交叉尽可能少。其中,力导向算法作为一种经典的图布局算法,通过对每个节点计算出引力和斥力综合的合力移动节点的位置,考虑将其应用于AS拓扑专题地图可视化呈现较为合理的布局。
进一步地,将AS节点可以作为力导向算法中的节点集N,AS之间的BGP连接作为边及V,具体的算法实现如下:
如图6所示,为网络空间模型中基于力导向算法直观表达AS拓扑连接关系的拓扑专题地图。AS作为全球的路由策略单元,其流量往来关系定义了高级别的全球互联网拓扑。
如图6所示,以AS拓扑为例,根据AS管辖的IP地址数量以及BGP(Border GatewayProtocol,边界网关协议)数据,采用上述力导向算法将AS映射到新的三维坐标(X,Y,Z),空间球大小表示IP地址数量规模,当选择特定的AS后,显示与其直连的拓扑连,其中飞线表示拓扑连接关系,线的粗细表示流量信息,此外,拓扑专题地图同样适用于AS内部网络拓扑,及网络下的IP拓扑,指导网络管理人员在受到安全攻击时更改互联网基础设施的连接性,协助检查硬件配置情况,确定新路由添加位置,发现网络中的瓶颈和故障等。
本发明从网络本源特征AS,IP地址等为切入点构建网络空间坐标系框架,建立网络空间地图模型,实现基于统一恒定背板的网络空间多维信息可视化,包括AS拓扑,IP地址构成,网络资源要素信息及层次化结构等,直观有效的表达网络空间。相比基于IP地址和逻辑端口的网络空间坐标体系架构创建方法,能够较好的解决网络本质问题AS、网络下IP段分配不连续造成的可视化效果不佳,直观表达网络层次结构及AS拓扑连接关系。此外,发明一款多维展现网络空间的地图装置,将其应用于网络安全攻击,网络管理等可视化场景,填补网络空间研究领域空间理论模型的空白,促进网络空间安全及测绘领域的发展。
本发明还设计基于AS的网络空间坐标系的一款多维展现网络空间的地图的创建装置。
如图7所示,为地图的创建装置的结构示意图,包括:
确定模块1,用于确定以AS为基础的网络空间坐标系,实现对网络空间要素IP地址的分析和映射;
创建模块2,用于创建网络空间地图模型,确定网络空间层次结构划分三层:AS、网络、IP,基于矩形树图的方式层次化、可伸缩表达网络空间本源要素;
拓扑专题地图模块3,定义网络空间球模式展现拓扑专题地图,采用力导向算法将AS映射到新的三维坐标(X,Y,Z),实现网络空间单元和链路管理;
实时攻击场景模块4,用于在网络空间地图模型中可视化实时攻击场景,协助安全分析人员更好的认识和防范攻击;
DDOS攻击场景模块5,用于在网络空间地图模型中可视化实时攻击场景,可快速定位安全问题并进行漏洞诊断和修复。
进一步地,网络空间坐标系为三维坐标系。
进一步地,确定模块1具体用于:构建网络空间三维坐标系,将AS根据上述预设算法映射到二维坐标空间,确定将该AS下的IP地址分配时间序列作为第三维基础矢量与AS地址正交。基于Hilbert算法和Z轴映射算法定位IP地址坐标(x,y,z),实现对关键属性IP地址进行分析和映射。
具体地,如图8所示,为网络空间关键属性IP地址在三维坐标系中的映射,通过定义三维坐标系空间建模网络空间,可实现基于通信的关键标识IP地址定位任何一个网络空间资源要素。图8对全球IP地址空间(232)进行分析和映射,首先定位IP地址所属ASN,然后根据上述ASN2xy算法和Z轴映射算法定位到坐标(X,Y,Z)。以AS为基础矢量表达网络空间IP地址要素。
进一步地,网络空间地图模型建立在基于AS的网络空间坐标系上。
创建模块2具体用于:构建网络空间地图模型,支持网络空间多尺度遍历、网络拓扑可视化、网络空间对象定位等需求。层次结构比照地理地图模型,AS类比于国家,网络对应省市,IP地址相当于住宅的门牌号。基于矩形树图的方式层次化、可伸缩表达网络空间本源要素如AS下的网络构成及网络下的IP构成,满足不同级别管理人员的可视化需求。
进一步地,拓扑专题地图模块3具体用于:实现不同层次结构的拓扑可视化。以AS层为例,根据AS管辖的IP地址数量以及BGP数据,采用力导向算法将AS映射到新的三维坐标(X,Y,Z),空间球大小表示IP地址数量,飞线表示拓扑连接关系。指导网络管理人员在受到安全攻击时更改互联网基础设施的连接性,协助检查硬件配置情况,确定新路由添加位置,发现网络中的瓶颈和故障等。
实时攻击场景模块4具体用于:在网络地图模型中可视化实时攻击场景,包括以AS为基础的网络空间坐标系和拓扑专题地图,通过在AS为粒度观察网络攻击流量特性,分析攻击行为,实现对攻击源的拓扑溯源和发现,协助安全分析人员更好的认识和防范攻击。
如图9所示,为网络空间地图实时攻击场景模块示意图,如图9(a)所示,在以AS为基础的网络空间坐标系上可视化全球实时攻击场景,对于攻击源和目的IP地址根据上述映射算法获取在基于AS的网络空间三维坐标系中的坐标(X,Y,Z),飞线表示攻击方向,线的粗细表示攻击流量,附加攻击数据分析。可观察到IP堆叠在相应AS上,有摩天堡垒(大的AS),有小茅草房(小的AS),大的AS从多个IP粒子发起攻击,火力大,这里用线的粗细表示攻击火力,同时受到别的很多AS的攻击(目标也更大);小的AS(小草房)火力弱但是受到的攻击也少,便于在AS为粒度观察网络攻击流量特性,分析攻击行为。图9(b)是将实时攻击场景绘制在AS拓扑专题地图中,一些大的在中心的AS往往既是实时攻击的发起者,也是其他AS的攻击目标,点击AS可显示其之间的拓扑连接,实现对攻击源的拓扑溯源和发现。
DDOS攻击场景模块5具体用于:在网络地图模型中可视化DDOS攻击场景,相比于地理地图而言,通过不同层次展开获取攻击源和目标的AS、网络、IP地址信息,可快速定位安全问题并进行漏洞诊断和修复。同时,屏蔽攻击源IP地址发送的数据包也是实现DDOS行为的有效防范。
图10为根据本发明一个实施例的网络空间地图DDOS攻击场景模块示意图,如图10(a)所示,在以AS为基础的网络空间坐标系上可视化对清华服务器的DDOS攻击场景,对于DDOS傀儡主机和目的IP地址计算其在基于AS的网络空间三维坐标系中的坐标(X,Y,Z),飞线表示攻击方向,线的粗细表示攻击流量,附加攻击数据分析。相比于地理地图只能在地理空间上细化,实现了点击傀儡主机所处的AS可基于矩形树图对其所处的网络空间资源要素层层展开,细粒度呈现攻击源的网络信息、网段信息、IP信息,同时屏蔽攻击源IP地址段发送的数据包可以进行暂时性防护。图10(b)将DDOS攻击场景绘制在AS拓扑专题地图中,通过查看众多傀儡主机的拓扑连接关系,根据交叉信息分析攻击者可能出现位置,实现对攻击者的溯源和发现,此外,了解目标主机的拓扑情况可指导管理人员在受到安全攻击时更改互联网基础设施的连接性。
根据本发明实施例提出的基于自治系统的网络空间坐标系创建方法,通过确定AS编号(ASN)与AS下的IP地址分配时间序列正交构建网络空间三维坐标系,实现对网络空间中唯一标识IP地址的精准定位和描述,相较于IP地址为基础矢量的网络空间坐标系能够较好解决网络空间本质问题,例如IP地址空间大,AS、网络下IP段分配不连续造成的表达效果不佳。
在上述基础上,融合地理地图模型的思想构建网络空间地图模型,支持网络空间多尺度遍历、网络拓扑可视化、网络空间对象定位。考虑到不同用户对不同网络空间对象(AS、网络、IP)的分布情况、资源信息的可视化需求,实现了可伸缩、层次化的地图特性,并设计专题地图模块来实现网络拓扑细节的多维展示,满足管理人员不同的可视化需求。此外,本发明还完成地图应用安全场景实时攻击和DDOS设计及可视化实现,直观的效果图便于管理人员进行流量分析,实现对攻击源的拓扑溯源和发现。相比于传统基于成熟理论模型的研究提供了一种用于网络空间多维信息可视化的统一背板,填补了网络空间地图理论模型的空白。
其次参照附图描述根据本发明实施例提出的基于自治系统的网络空间坐标系创建装置。
图11为根据本发明一个实施例的基于自治系统的网络空间坐标系创建装置结构示意图。
如图11所示,该基于自治系统的网络空间坐标系创建装置包括:确定模块100、第一构建模块200、第二构建模块300和设计可视化模块400。
其中,确定模块100用于确定网络空间坐标系。第一构建模块200用于构建三维网络空间坐标系框架。第二构建模块300用于根据网络空间坐标系和三维网络空间坐标系框架构建网络空间地图模型。设计可视化模块400用于设计构建网络空间地图模型对应的应用场景,并对应用场景进行可视化处理。
该创建装置可基于统一恒定背板的网络空间多维信息可视化包括AS拓扑,IP地址构成,网络资源要素信息及层次化结构等,并适用于多种网络空间安全攻击及网络管理场景可视化。
进一步地,在本发明的一个实施例中,网络空间坐标系为二维坐标系,确定模块,具体用于:根据预设算法将一维自治系统编号映射到二维坐标空间;根据预设算法将一维自治系统编号映射到二维坐标空间,包括:采用Hilbert映射算法对自治系统编号进行升维映射,确定网络空间坐标系坐标共同表示网络空间自治系统属性。
进一步地,在本发明的一个实施例中,第一构建模块,具体用于:将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,并对网络空间关键属性IP地址进行分析和映射。
进一步地,在本发明的一个实施例中,第二构建模块,具体用于:确定网络空间层次结构划分为三层:自治系统、网络、IP;定义网络空间球模式。
需要说明的是,前述对基于自治系统的网络空间坐标系创建方法实施例的解释说明也适用于该实施例的装置,此处不再赘述。
根据本发明实施例提出的基于自治系统的网络空间坐标系创建装置,相比较传统的地理坐标系、拓扑坐标系、IP地址为基础的网络空间坐标系而言具备特定的优越性,可基于统一恒定背板的网络空间多维信息可视化包括AS拓扑,IP地址构成,网络资源要素信息及层次化结构等,并适用于多种网络空间安全攻击及网络管理场景可视化。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (5)
1.一种基于自治系统的网络空间坐标系创建方法,其特征在于,包括以下步骤:
确定网络空间坐标系;所述网络空间坐标系为二维坐标系,所述确定网络空间坐标系,包括:
根据预设算法将一维自治系统编号映射到二维坐标空间;
所述根据预设算法将一维自治系统编号映射到二维坐标空间,包括:
采用Hilbert映射算法对自治系统编号进行升维映射,确定网络空间坐标系坐标共同表示网络空间自治系统属性;
构建三维网络空间坐标系框架;所述构建三维网络空间坐标系框架,包括:
将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,并对网络空间关键属性IP地址进行分析和映射;
所述网络空间坐标系框架为三维坐标系,包括与二维自治系统基础矢量垂直的第三维坐标轴;所述将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,包括:
与二维坐标系垂直的第三坐标轴表示自治系统下IP地址分配的时间序列,正方向表示序列递增;
所述对网络空间关键属性IP地址进行分析和映射,包括:
通过定义三维坐标系空间建模网络空间,基于通信的关键标识IP地址定位任何一个网络空间资源要素;其中,Z轴映射算描述为对某一自治系统下所管辖的所有IP地址按照分配的时间进行递增排序,同一分配时间下按照IP地址十进制从小到大排序,序列号映射到第三维坐标系;
根据Hilbert算法和Z轴映射算法定位坐标对IP地址进行分析和映射;
根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型;
设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理。
2.如权利要求1所述的基于自治系统的网络空间坐标系创建方法,其特征在于,所述根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型,包括:
确定网络空间层次结构划分为三层:自治系统、网络、IP;
定义网络空间球模式。
3.如权利要求1所述的基于自治系统的网络空间坐标系创建方法,其特征在于,所述设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理,包括:
对于攻击源和目的IP地址根据映射算法计算在基于自治系统的网络空间三维坐标系中的坐标,可视化实时攻击场景,飞线表示攻击方向,线的粗细表示攻击流量;
对于攻击源和目的IP地址根据映射算法计算在基于AS的网络空间三维坐标系中的坐标,线的粗细表示攻击频率。
4.一种基于自治系统的网络空间坐标系创建装置,其特征在于,包括:
确定模块,用于确定网络空间坐标系;所述网络空间坐标系为二维坐标系,所述确定模块,具体用于:
根据预设算法将一维自治系统编号映射到二维坐标空间;
所述根据预设算法将一维自治系统编号映射到二维坐标空间,包括:
采用Hilbert映射算法对自治系统编号进行升维映射,确定网络空间坐标系坐标共同表示网络空间自治系统属性;
第一构建模块,用于构建三维网络空间坐标系框架;所述第一构建模块,具体用于:
将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,并对网络空间关键属性IP地址进行分析和映射;
所述网络空间坐标系框架为三维坐标系,包括与二维自治系统基础矢量垂直的第三维坐标轴;所述将自治系统下的IP地址分配时间序列作为第三维基础矢量与自治系统地址正交,包括:
与二维坐标系垂直的第三坐标轴表示自治系统下IP地址分配的时间序列,正方向表示序列递增;
所述对网络空间关键属性IP地址进行分析和映射,包括:
通过定义三维坐标系空间建模网络空间,基于通信的关键标识IP地址定位任何一个网络空间资源要素;其中,Z轴映射算描述为对某一自治系统下所管辖的所有IP地址按照分配的时间进行递增排序,同一分配时间下按照IP地址十进制从小到大排序,序列号映射到第三维坐标系;
根据Hilbert算法和Z轴映射算法定位坐标对IP地址进行分析和映射;
第二构建模块,用于根据所述网络空间坐标系和所述三维网络空间坐标系框架构建网络空间地图模型;
设计可视化模块,用于设计所述构建网络空间地图模型对应的应用场景,并对所述应用场景进行可视化处理。
5.如权利要求4所述的基于自治系统的网络空间坐标系创建装置,其特征在于,所述第二构建模块,具体用于:
确定网络空间层次结构划分为三层:自治系统、网络、IP;
定义网络空间球模式。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910128925.7A CN109981346B (zh) | 2019-02-21 | 2019-02-21 | 基于自治系统的网络空间坐标系创建方法及装置 |
| PCT/CN2019/097739 WO2020168682A1 (zh) | 2019-02-21 | 2019-07-25 | 基于自治系统的网络空间坐标系创建方法及装置 |
| US17/385,950 US11943249B2 (en) | 2019-02-21 | 2021-07-27 | Cyberspace coordinate system creation method and apparatus based on autonomous system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910128925.7A CN109981346B (zh) | 2019-02-21 | 2019-02-21 | 基于自治系统的网络空间坐标系创建方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981346A CN109981346A (zh) | 2019-07-05 |
| CN109981346B true CN109981346B (zh) | 2020-07-10 |
Family
ID=67077195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910128925.7A Active CN109981346B (zh) | 2019-02-21 | 2019-02-21 | 基于自治系统的网络空间坐标系创建方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11943249B2 (zh) |
| CN (1) | CN109981346B (zh) |
| WO (1) | WO2020168682A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981346B (zh) | 2019-02-21 | 2020-07-10 | 清华大学 | 基于自治系统的网络空间坐标系创建方法及装置 |
| CN112307283B (zh) * | 2019-08-01 | 2022-12-13 | 中移(苏州)软件技术有限公司 | 一种信息可视化方法、客户端及计算机可读存储介质 |
| US11876833B2 (en) * | 2019-08-15 | 2024-01-16 | Uchicago Argonne, Llc | Software defined networking moving target defense honeypot |
| CN111046260B (zh) * | 2019-12-11 | 2023-04-18 | 中国兵器工业第五九研究所 | 一种基于自然环境因素数据的可视化方法 |
| CN111130876B (zh) * | 2019-12-20 | 2021-04-06 | 北京邮电大学 | 一种自治域系统在三维地理空间的展示方法及装置 |
| CN113407874A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 网络地址展示方法、装置、电子设备及可读存储介质 |
| CN112040017A (zh) * | 2020-06-23 | 2020-12-04 | 中国信息通信研究院 | 一种智能电网无线传感器网络IPv6地址分配方法 |
| CN111935331A (zh) * | 2020-07-30 | 2020-11-13 | 重庆智载科技有限公司 | 一种网络空间映射方法、可视化方法及系统 |
| CN111865698B (zh) * | 2020-07-30 | 2023-10-17 | 中国电子信息产业集团有限公司第六研究所 | 一种基于地理信息的自治域级互联网拓扑可视化方法 |
| CN114124719B (zh) * | 2021-10-27 | 2022-09-20 | 清华大学 | 网络空间态势感知方法及装置 |
| CN114285663A (zh) * | 2021-12-28 | 2022-04-05 | 赛尔网络有限公司 | 攻击源地址的管理方法、装置、设备和介质 |
| CN114356271B (zh) * | 2022-01-11 | 2023-02-07 | 中国测绘科学研究院 | 一种地下空间多维灾情信息多屏联动可视化方法 |
| CN115311419B (zh) * | 2022-10-11 | 2023-02-07 | 杭州钛鑫科技有限公司 | 基于坐标映射降维和参数化配置的三维场景动态组态方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1222625B1 (de) * | 1999-05-24 | 2006-04-05 | IPCentury AG | Neuronales netz zum computergestützten wissensmanagement |
| US6535227B1 (en) * | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
| AUPR464601A0 (en) * | 2001-04-30 | 2001-05-24 | Commonwealth Of Australia, The | Shapes vector |
| US7529195B2 (en) * | 2004-07-30 | 2009-05-05 | Fortiusone, Inc. | System and method of mapping and analyzing vulnerabilities in networks |
| WO2006118203A1 (ja) * | 2005-04-27 | 2006-11-09 | Cyber Solutions Inc. | ネットワークマップ生成方法 |
| DE602007003849D1 (de) * | 2007-10-11 | 2010-01-28 | Mvtec Software Gmbh | System und Verfahren zur 3D-Objekterkennung |
| CN101510291A (zh) * | 2008-02-15 | 2009-08-19 | 国际商业机器公司 | 多维数据的可视化方法及装置 |
| CN101557324B (zh) * | 2008-12-17 | 2011-06-08 | 天津大学 | 针对DDoS攻击的实时可视化检测方法 |
| CN101887595B (zh) * | 2009-05-14 | 2014-05-28 | 武汉如临其境科技创意有限公司 | 基于四叉树索引的三维数字地球空间数据组织渲染方法 |
| CN101938509B (zh) * | 2009-06-29 | 2015-11-25 | 日电(中国)有限公司 | 为p2p网络提供节点信息的服务器、方法及系统 |
| US20130321458A1 (en) * | 2012-05-30 | 2013-12-05 | Northrop Grumman Systems Corporation | Contextual visualization via configurable ip-space maps |
| CN103646127B (zh) * | 2013-11-20 | 2016-06-29 | 中国空间技术研究院 | 卫星轨道姿态可视化三维显示方法 |
| US10375514B2 (en) * | 2014-07-29 | 2019-08-06 | GeoFrenzy, Inc. | Systems, methods and apparatus for geofence networks |
| US9912689B2 (en) * | 2014-08-27 | 2018-03-06 | icebrg, inc. | Anonymized network data collection and network threat assessment and monitoring systems and methods |
| US10255399B2 (en) * | 2016-10-31 | 2019-04-09 | Intel Corporation | Method, apparatus and system for automatically performing end-to-end channel mapping for an interconnect |
| CN107623594A (zh) * | 2017-09-01 | 2018-01-23 | 电子科技大学 | 一种地理位置信息约束的三维层级网络拓扑可视化方法 |
| CN108023771B (zh) * | 2017-12-06 | 2020-06-30 | 清华大学 | 基于ip地址和逻辑端口的网络空间坐标体系架构的创建方法及装置 |
| CN109981346B (zh) * | 2019-02-21 | 2020-07-10 | 清华大学 | 基于自治系统的网络空间坐标系创建方法及装置 |
-
2019
- 2019-02-21 CN CN201910128925.7A patent/CN109981346B/zh active Active
- 2019-07-25 WO PCT/CN2019/097739 patent/WO2020168682A1/zh active Application Filing
-
2021
- 2021-07-27 US US17/385,950 patent/US11943249B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020168682A1 (zh) | 2020-08-27 |
| CN109981346A (zh) | 2019-07-05 |
| US11943249B2 (en) | 2024-03-26 |
| US20210360020A1 (en) | 2021-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109981346B (zh) | 基于自治系统的网络空间坐标系创建方法及装置 | |
| CN109728934B (zh) | 网络空间地图模型创建方法及装置 | |
| CN1756188B (zh) | 大规模网络拓扑图形化显示的方法 | |
| Lin et al. | Spatiotemporal congestion-aware path planning toward intelligent transportation systems in software-defined smart city IoT | |
| CN103326900B (zh) | 一种面向虚拟网络的流量回放方法及系统 | |
| CN104063466A (zh) | 虚拟-现实一体化的三维显示方法及系统 | |
| CN108023771B (zh) | 基于ip地址和逻辑端口的网络空间坐标体系架构的创建方法及装置 | |
| CN111935331A (zh) | 一种网络空间映射方法、可视化方法及系统 | |
| Rigby et al. | An opportunistic client user interface to support centralized ride share planning | |
| CN116204658A (zh) | 一种基于知识图谱的网络空间资产管理方法 | |
| Gray et al. | Contextual network navigation to provide situational awareness for network administrators | |
| Kolomeec et al. | Methodological Primitives for Phased Construction of Data Visualization Models. | |
| Jiang et al. | Mapping cyberspace: Visualizing, analysing and exploring virtual worlds | |
| Haq et al. | Space syntax investigation of Lubbock, a grid-like American city and some insights into isotropic layouts | |
| Tilch et al. | A multilayer graph model of the internet topology | |
| US20230246925A1 (en) | Algorithm-based automatic presentation of a hierarchical graphical representation of a computer network structure | |
| US20050204290A1 (en) | System and method for generating distributed application and distributed system topologies with management information in a networked environment | |
| Reilly et al. | Using space syntax to enable walkable ar experiences | |
| Abbar et al. | Structural robustness and service reachability in urban settings | |
| CN114417633A (zh) | 一种基于平行仿真六元组的网络靶场场景构建方法和系统 | |
| Wang et al. | An optimization method for the geolocation databases of internet hosts based on machine learning | |
| Fang | Security evaluation method of distance education network nodes based on machine learning | |
| Zhang et al. | Urban volumetrics: spatial complexity and wayfinding, extending space syntax to three dimensional space | |
| Chen et al. | Visualization tools for exploring social networks and travel behavior | |
| CN117792917A (zh) | 一种企业网络空间地图生成方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |