CN117236439A - 一种网络空间地理图谱综合分析系统和方法 - Google Patents

一种网络空间地理图谱综合分析系统和方法 Download PDF

Info

Publication number
CN117236439A
CN117236439A CN202311283941.6A CN202311283941A CN117236439A CN 117236439 A CN117236439 A CN 117236439A CN 202311283941 A CN202311283941 A CN 202311283941A CN 117236439 A CN117236439 A CN 117236439A
Authority
CN
China
Prior art keywords
network
space
data
geographic
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311283941.6A
Other languages
English (en)
Inventor
郭启全
江东
高春东
丁方宇
郝蒙蒙
董继平
陈帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Geographic Sciences and Natural Resources of CAS
Original Assignee
Institute of Geographic Sciences and Natural Resources of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Geographic Sciences and Natural Resources of CAS filed Critical Institute of Geographic Sciences and Natural Resources of CAS
Priority to CN202311283941.6A priority Critical patent/CN117236439A/zh
Publication of CN117236439A publication Critical patent/CN117236439A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络空间地理图谱综合分析系统和方法,该系统包括数据采集单元、数据处理单元、数据关联与映射单元、网络空间地理图谱构建单元和智能分析与应用单元;数据采集单元用于获取地理环境要素信息和网络环境要素信息;数据处理单元用于进行数据清洗、数据转换与加工以及数据融合;数据关联与映射单元用于将网络实体资源映射到地理空间,将网络虚拟资源映射到社会空间;网络空间地理图谱构建单元用于实现知识图谱构建和网络空间可视化;智能分析与应用单元用于以网络空间地理图谱为基础,将地理空间分析方法的思想迁移到网络空间,同时结合知识图谱、大数据挖掘和人工智能技术,开展网络与地理融合或叠加后的分析和应用。

Description

一种网络空间地理图谱综合分析系统和方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络空间地理图谱综合分析系统和方法。
背景技术
当今社会互联网技术高速发展,网络在人们的生产、生活中扮演着越来越重要的角色,但同时也带来了许多的安全问题。计算机病毒任意肆虐,技术漏洞与隐患威胁不断攀升,网络攻击手段持续变化升级,各种网络犯罪、网络间谍活动层出不穷,严重威胁到各国要害网络和核心系统的安全运行,对国家网络空间安全保障工作带来了巨大挑战。
网络安全事关国家安全和社会稳定,已经成为关系国家安全的重大战略问题。目前,世界大国都在大力发展网络空间非对称制衡能力,美国的诺思公司等网络安全技术服务企业在网络安全监控、评估、态势感知等实际业务中也取得了丰富的研究成果。
近年来,知识图谱赋能行业领域,使得产业迈向智能化,其无比巨大的价值使之备受工业界和学术界青睐。为推动网络安全解决方案智能化发展,网络安全知识图谱应运而生,科研人员对此进行了大量的研究工作:适用于网络安全领域的知识图谱数据组织方法、本体定义方法、系统设计方法取得了重要进展,用于多源异构数据融合的网络安全知识图谱构建技术、补全技术、推理等技术取得了重大突破,基于网络安全知识图谱的事件关联分析、攻击回溯、攻击图生成等方法得到广泛探索。目前,利用知识图谱、大数据、人工智能技术提升网络安全防护能力成为研究热点。
与此同时,网络空间与地理空间交织融合,网络地图、网络空间测绘、网络空间可视化、网络空间地理学等概念相继出现,通过绘制网络空间地图可视化网络空间的结构,进而表达网络空间与地理空间的联系,实现对网络空间的认知。对此,国内外学者从网络空间地图的概念、核心要素、表达模型和可视化方法等角度开展了一系列研究,如网络空间和信息社会的各类地图和空间化问题,表达网络各类要素和信息的符号系统,网络空间表达的可视化理论,网络空间地图模型体系、符号体系和多尺度表达方式等。
一方面,尽管目前的研究利用知识图谱表达能力强且灵活的特性构建了各种的网络安全知识图谱,但是较多局限于网络的自身结构与自有属性,较少考虑资源要素自身隐含的地理空间位置属性和社会属性。另一方面,研究人员也开始利用知识图谱关联网络空间与地理空间,但是目前更关注于网络空间要素和地理空间要素的关联与可视化,并没有充分利用地理空间信息属性,因而对网络空间安全事件的综合分析指导作用有限,仍有较大的进步空间。
发明内容
本发明旨在提供一种网络空间地理图谱综合分析系统和方法,所要解决的技术问题至少包括如何实现网络空间地理图谱的构建、如何探索并发现网络安全事件的时空分布特征、以及如何提高网络空间行为的智能认知能力。
为了实现上述目的,本发明提供一种网络空间地理图谱综合分析系统,包括数据采集单元、数据处理单元、数据关联与映射单元、网络空间地理图谱构建单元和智能分析与应用单元;
所述的数据采集单元用于获取地理环境要素信息和网络环境要素信息,在统一的时空表达框架下,为网络空间地理图谱的构建提供环境本底信息,为网络空间地理图谱的构建提供数据信息;
所述的数据处理单元用于对所述的数据采集单元获取的数据进行数据清洗、数据转换与加工以及数据融合;
所述的数据关联与映射单元用于将网络实体资源映射到地理空间,将网络虚拟资源映射到社会空间;
所述的网络空间地理图谱构建单元用于实现知识图谱构建和网络空间可视化;
所述的智能分析与应用单元用于以网络空间地理图谱为基础,将地理空间分析方法的思想迁移到网络空间,同时结合知识图谱、大数据挖掘和人工智能技术,开展网络与地理融合或叠加后的分析和应用。
优选地,所述的数据采集单元在获取地理环境要素信息的过程中,对于重点地区或关键单位,采用三维GIS技术构建虚拟地理环境,真实模拟和还原网络空间要素的客观环境;在统一的时空表达框架下,关联并融合经济、政治、文化和社会要素,为网络空间地理图谱的构建提供环境本底信息。
优选地,所述的数据采集单元在获取网络环境要素信息过程中,通过网络空间测绘、流量监测、IP定位、网络爬虫以及从公开来源获取网络空间要素数据和网络安全数据,在融合包括网络资产、拓扑关系、流量、攻击日志、报警日志、地理位置、所属机构在内的内部信息的基础上,同时引入包括网络安全漏洞、威胁、恶意域在内的外部信息,为网络空间地理图谱的构建提供数据信息。
优选地,所述的数据处理单元进一步具体用于处理地理空间数据和网络空间数据;对于地理空间数据来说,数据清洗实现对基础地理、公共地理和遥感影像数据的几何变形纠正、拓扑关系检查与修改,数据转换与加工实现坐标系与投影转换、三维模型数据的加工,数据融合是对地理空间数据以包括图层叠加、数据集、地图文档、制图输出在内的整合方式进行数据之间的融合;对于网络空间数据,数据清洗是对不完整、错误或重复的数据进行自动或手动清洗,数据转换与加工是对包括硬件设备和传播介质在内的实体资源以及包括逻辑链路在内的虚拟数据进行网络要素空间化,数据融合实现对包括资产、流量、漏洞、事件和威胁在内的多源异构数据的关联与融合。
优选地,所述的数据关联与映射单元采用的实体资源向地理空间的映射技术包括地标挖掘与采集技术、网络结构分析技术和网络实体资源探测定位技术,虚拟资源向社会空间的映射技术包括虚拟人画像技术和虚拟资源动态关联技术;在上述映射技术的基础上,通过定义数据结构和接口规范,将资产信息、IP地址信息、服务指纹信息、网络拓扑信息和地理位置信息相结合,实现网络空间到社会空间和地理空间的精确映射,进而融合并集成多源异构的地理环境要素和网络环境要素,实现多尺度、多层次的网络空间—地理空间的时空大数据模型。
所述的网络空间地理图谱构建单元进一步具体用于以知识图谱的形式关联网络空间和地理空间各要素,从地理、资产和事件的维度全面展示并描述网络空间资源的分布和属性及面临的威胁与风险,借鉴地理学信息表达框架,定义统一的可视化符号对网络空间—地理空间的各要素进行统一描述,建立网络空间时空基准与地理空间基准进行精准、高效的对接,同时融合GIS可视化技术和AR及VR技术,将网络空间资源及其关联关系投影到一个低维的可视化空间,实现要素可视化、关系可视化和事件可视化,构建分层次、可变粒度的可视化网络空间地图,实现网络空间—地理空间全要素的融合统一和全息显示。
优选地,所述的智能分析与应用单元包括网络实体探测定位校正优化模块,所述的网络实体探测定位校正优化模块通过将定位的网络实体资源与矢量地图图层进行叠加,自动判别矢量要素内是否存在网络实体, 如果存在则该网络实体资源定位结果极大可能存在偏差, 从而需要对该网络实体资源进行再次定位确认或将该网络实体归并到水系或道路矢量要素周围的建筑物上。
优选地,所述的网络实体探测定位校正优化模块首先利用IP地理定位工具确定网络实体O的IP地址的经纬度,接着以定位点为中心点、以定位精度r作为半径,创建定位实体的圆形缓冲区域,并获得该圆形缓冲区域内的所有地物的经纬度,然后利用距离计算公式计算每个网络实体O到各个地物B的距离doi ,最后取doi最小的地物所对应的经纬度为校正优化后的定位位置;所述的距离计算公式为:
(1)
优选地,所述的智能分析与应用单元还包括网络安全事件关联分析模块,所述的网络安全事件关联分析模块用于收集由一个或者多个安全设备产生的报警信息,约减虚假警报,合并相似警报,综合分析警报直接的关联关系来构造一个更高级别的攻击场景,最后以人类易于理解的方式进行呈现输出,从而方便用户了解目标系统正遭受的威胁并在此基础上做出相应的防御措施。
优选地,所述的网络安全事件关联分析模块利用多因素相似度计算的方法聚合原始的报警数据,降低冗余度以提升报警数据的质量,具体来说,首先根据时间戳对原始报警数据进行升序排序,然后逐个遍历每条数据,并根据相似度计算公式计算告警Ha和Hb之间的相似度,若相似度大于阈值,则认为Hb是Ha所对应的冗余告警,最后将冗余告警进行去除并返回处理后的告警列表;所述的相似度计算公式为:
(2)
其中,C1为告警间的时间关联性度量,C2为告警间的网络空间关联性度量,C3为告警间的地理空间关联性度量,C4为告警间的服务关联性度量,C5为告警间的类型关联性度量。
优选地,所述的智能分析与应用单元还包括网络攻击溯源分析模块,所述的网络攻击溯源分析模块用于回溯到攻击者的身份或位置信息,确定攻击路径上的主机信息;利用网络攻击回溯技术,记录网络攻击过程,重构网络攻击路径,为司法取证提供有力的证据;准确地找出攻击发生的位置或者造成故障的原因,使防御方及时地实施针对性的防御措施,降低网络攻击带来的损失;在定位到攻击源后,协调多个部门进行隔离、回溯和排查,找出攻击者的真实身份或位置,威慑网络犯罪,净化网络环境。
优选地,所述的网络攻击溯源分析模块利用网络空间地理图谱记录一次攻击从发起到结束的过程,包含攻击者、被攻击者、被攻击者地点、攻击方式、受攻击服务、开始时间和结束时间的实体;以被攻击者为中心记录某个被攻击者所遭受的所有攻击事件,或者以攻击者为中心记录某个攻击者发动的所有攻击事件,进而分析攻击者或被攻击者的偏好。
优选地,所述的智能分析与应用单元还包括网络安全事件时空分布特征分析模块,所述的网络安全事件时空分布特征分析模块用于利用Zone-H数据集构建的网络空间地理图谱对全球范围内的网络安全事件进行分析,从攻击者行为、时间变化和空间分布的角度探索网络攻击的基本特点和变化趋势,从宏观层面探索网络安全事件的时空分布特征,给决策者提供多种层面的思路。
本发明还提供一种网络空间地理图谱综合分析方法,包括以下步骤:
S1.采集包括地理空间和网络空间在内的要素数据,结合知识图谱和GIS可视化技术,定义统一标准的网络空间地理图谱框架,实现不同级别尺度上网络空间与地理空间要素的映射与关联,构建网络空间地理图谱;
S2.对于动态的网络攻击或威胁数据,利用网络实体资源探测定位技术对攻击来源进行地理位置定位,同时对已定位的攻击者与地物实体进行匹配校正,进而优化网络实体资源的定位结果;
S3.基于网络空间地理属性相似度对网络攻击进行关联,以发现攻击间所隐藏的关系,从而将离散的攻击过程关联成多步攻击链,还原其背后的多步攻击场景;
S4.对于某段时间内的网络攻击数据,利用地理信息系统空间分析理论和技术,探索并发现网络安全事件的时空分布特征,从宏观上系统地描述网络资产所面临的威胁与风险。
与现有技术相比,本发明所述的网络空间地理图谱综合分析系统和方法的有益效果是:
1.目前的研究构建了各种各样的网络安全知识图谱,但是更局限于网络的自身结构和自有属性,较少考虑资源要素自身隐含的地理空间位置属性和社会属性。本发明利用虚拟资源关联技术融合网络空间中的实体资源和虚拟资源,利用网络实体资源探测定位技术完成从虚拟空间到社会空间再到地理空间的关联映射,实现网络空间地理图谱的构建,为网络空间安全的应用需求提供支撑。
2.目前的研究开始利用知识图谱关联网络空间与地理空间,但是更多的停留在理论方面,更关注于网络空间要素和地理空间要素的关联与可视化。本发明利用地理学和地理信息系统空间分析的理论和技术优势,通过匹配网络实体与地理要素,反过来校正并优化网络实体资源的定位结果,同时在宏观上对网络安全事件的时空分布特征进行了分析,可以提高网络空间挂图作战能力。
3.目前尽管有研究对网络空间要素和地理空间要素进行了关联融合,但是在对网络空间安全事件及行为的分析时,仍停留在先前的分析思路上,并未充分发挥网络空间地理图谱的作用。本发明利用知识图谱表达能力强且灵活的特性以及网络空间和地理空间相互融合的特点,共同辅助网络空间信息、网络安全事件的挖掘,可以应用到诸如网络安全事件关联分析、网络攻击或恶意行为回溯、资产节点风险分析、资源空间分布统计等综合分析中,提高网络空间行为的智能认知能力。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的具体实施方式一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1是本发明所述的网络空间地理图谱综合分析方法的流程示意图。
图2是地理科学与资源研究所某台主机的定位圆形缓冲区域示意图。
图3是2018-2021年全球网络攻击者及攻击数量占比示意图。
具体实施方式
在下文中更详细地描述了本发明以有助于对本发明的理解。
本发明提供一种网络空间地理图谱综合分析方法,包括以下步骤:
首先,采集地理空间、网络空间等要素数据,结合知识图谱和GIS可视化技术,定义统一标准的网络空间地理图谱框架,实现不同级别尺度上网络空间与地理空间要素的映射与关联,构建网络空间地理图谱。接着,对于动态的网络攻击或威胁数据,利用网络实体资源探测定位技术(如测绘技术、IP地理定位技术等)对攻击来源进行地理位置定位,同时对已定位的攻击者与地物实体进行匹配校正,进而优化网络实体资源的定位结果。然后,基于网络空间地理属性相似度对网络攻击进行关联,以发现攻击间所隐藏的关系,从而将离散的攻击过程关联成多步攻击链,还原其背后的多步攻击场景。最后,对于某段时间内的网络攻击数据,利用地理信息系统空间分析理论和技术,探索并发现网络安全事件的时空分布特征,从宏观上系统地描述网络资产所面临的威胁与风险。
接下来,如图1所示,本发明按“数据采集—数据处理—数据关联映射—网络空间地理图谱构建—智能综合分析”的流程进行详细说明。
1.数据采集
地理环境要素信息的获取可以利用实地测绘、遥感技术等手段,对于重点地区或关键单位,可以采用三维GIS技术构建虚拟地理环境,真实模拟和还原网络空间要素的客观环境。此外,在统一的时空表达框架下,关联并融合经济、政治、文化、社会等其他要素,为网络空间地理图谱的构建提供环境本底信息。网络环境要素信息的获取就是通过软件和硬件相结合的方式来生产和采集各类网络空间要素数据和网络安全数据的过程,可以通过网络空间测绘、流量监测、IP定位、网络爬虫以及从公开来源获取。本发明在融合网络资产、拓扑关系、流量、攻击日志、报警日志、地理位置、所属机构等内部信息的基础上,同时引入网络安全漏洞、威胁、恶意域等外部信息,为网络空间地理图谱的构建提供数据信息。
2.数据处理
数据处理包括数据清洗、数据转换与加工、数据融合等操作。对于地理空间数据来说,数据清洗实现对基础地理、公共地理和遥感影像等数据的几何变形纠正、拓扑关系检查与修改等,数据转换与加工实现坐标系与投影转换、三维模型数据的加工等,数据融合是对空间数据以图层叠加、数据集、地图文档、制图输出等整合方式进行数据之间的融合。对于网络空间数据,数据清洗是对不完整、错误或重复的数据进行自动或手动清洗,数据转换与加工是对硬件设备、传播介质等实体资源以及逻辑链路等虚拟数据进行网络要素空间化,数据融合实现对资产、流量、漏洞、事件、威胁等多源异构数据的关联与融合。
3.数据关联与映射
数据关联与映射的主要目的是将网络实体资源映射到地理空间,将网络虚拟资源映射到社会空间。其中,实体资源向地理空间的映射技术主要包括地标挖掘与采集技术、网络结构分析技术、网络实体资源探测定位技术等,虚拟资源向社会空间映射的技术主要包括虚拟人画像技术、虚拟资源动态关联技术等。在上述技术的基础上,通过定义数据结构和接口规范,将资产信息、IP地址信息、服务指纹信息、网络拓扑信息、地理位置信息等相结合,实现网络空间到社会空间和地理空间的精确映射,进而融合并集成多源异构的地理环境要素和网络环境要素,实现多尺度、多层次的网络空间—地理空间的时空大数据模型。
4.网络空间地理图谱构建
网络空间地理图谱构建主要包括知识图谱构建和网络空间可视化。在经过数据采集、数据处理、数据关联与映射后,融合资产、日志、拓扑关系、网络攻击、地理位置、所属机构等内部信息,同时引入漏洞、威胁、恶意域等外部信息,以知识图谱的形式关联网络空间和地理空间各要素,从地理、资产、事件维度全面展示并描述网络空间资源的分布和属性及面临的威胁与风险。借鉴地理学信息表达框架,定义统一的可视化符号对网络空间—地理空间的各要素进行统一描述,建立网络空间时空基准与地理空间基准进行精准、高效的对接,同时融合GIS可视化技术、AR/VR技术,将网络空间资源及其关联关系投影到一个低维的可视化空间,实现要素可视化、关系可视化和事件可视化,构建分层次、可变粒度的可视化网络空间地图,实现网络空间—地理空间全要素的融合统一和全息显示。
5.智能分析与应用
以网络空间地理图谱为基础,将地理空间分析方法的思想迁移到网络空间,同时结合知识图谱、大数据挖掘、人工智能等技术,开展网络与地理融合或叠加后的分析和应用,从而更好地理解网络空间资源及属性之间的关联以及网络空间和地理空间的映射机理等。主要包括网络空间资产管理、网络地理信息挖掘、网络安全事件时空特征分析、网络实体探测定位校正优化、网络安全事件关联分析、网络攻击溯源分析等。
接下来,本发明以网络实体探测定位校正优化、网络安全事件关联分析、网络攻击溯源分析、网络安全事件时空分布特征分析为例,利用Zone-H数据集详细阐述地理信息数据辅助的网络空间地理图谱综合分析方法。Zone-H数据集是收集自公共档案网站Zone-H.org的网络攻击数据集,包含攻击日期、攻击者、域名、IP地址、攻击手段、地理位置(国家尺度)等信息。
(1)网络实体探测定位校正优化
大多数情况下网络实体设备主要布设在建筑物内部,通过将定位的网络实体资源与矢量地图图层进行叠加, 自动判别水面、道路等矢量要素内是否存在网络实体, 如果存在则该实体资源定位结果极大可能存在偏差, 从而需要对该实体资源进行再次定位确认或将该实体归并到水系或道路矢量要素周围的建筑物上。
对于Zone-H数据集,首先利用IP地理定位工具确定网络实体O的IP地址的经纬度,接着以定位点为中心点、以定位精度r作为半径,创建定位实体的圆形缓冲区域,并获得该区域内的所有地物的经纬度/>,然后利用公式1计算每个网络实体O到各个地物B的距离doi ,最后取doi最小的地物所对应的经纬度为校正优化后的定位位置。
(1)
图2是地理科学与资源研究所某台主机的定位圆形缓冲区域,从图2中可以看到主机被定位在了马路附近,而事实上主机位于研究所办公楼内部。接下来,以此为例详细地说明网络实体探测定位校正优化的过程。
1)利用IP地理定位工具(如https://chaipip.com/)获得网络实体的经纬度,利用百度地图(https://www.lddgo.net/convert/position)获得各地物的经纬度:
网络实体:
微生物研究所:
国家天文台:
地理科学馆:
地理科学与资源研究所:
2)利用公式1计算网络实体到各地物的距离:
3)校正优化网络实体的定位位置:
通过比较可知do4最小,即网络实体到地理科学与资源研究所的距离最小,因此把网络实体的经纬度校正为研究所的经纬度,网络实体所属的机构即地理科学与资源研究所。
(2)网络安全事件关联分析
网络安全事件关联分析的核心思想是收集由一个或者多个安全设备产生的报警信息,约减虚假警报、合并相似警报,综合分析警报直接的关联关系来构造一个更高级别的攻击场景,最后以人类易于理解的方式进行呈现输出,从而方便用户了解目标系统正遭受的威胁并在此基础上做出相应的防御措施。
对于Zone-H数据集,本发明利用多因素相似度计算的方法聚合原始的报警数据,降低冗余度以提升报警数据的质量。具体来说,首先根据时间戳对原始报警数据进行升序排序,然后逐个遍历每条数据,并计算告警Ha和Hb之间的相似度(公式2),若相似度大于阈值,则认为Hb是Ha所对应的冗余告警,最后将冗余告警进行去除并返回处理后的告警列表。
(2)
其中,C1为告警间的时间关联性度量,C2为告警间的网络空间(如MAC地址、IP地址)关联性度量,C3为告警间的地理空间(如经纬度、地点名称)关联性度量,C4为告警间的服务(如启动的进程、开启的端口)关联性度量,C5为告警间的类型(如攻击手段)关联性度量。
公式2以相似度计算的方式整合了多种告警特征,涵盖了多种网络空间要素与地理空间要素,通过调整阈值可以控制告警聚合的严格程度,通过调整权重/>可以关注重要的告警特征。表1给出了一个示例:给定/>,告警数据/>的时间间隔小于T,且具有相同的攻击者和被攻击者IP、相同的被攻击者位置,被攻击者运行着相同的系统和进程,尽管攻击者并没有采用相同的攻击手段,但计算的相似度/>,则可以判定/>是冗余告警,最终将冗余的45条告警数据聚合成了1条告警数据。
表1 网络安全事件关联分析示例
(3)网络攻击溯源分析
网络攻击溯源分析是指回溯到攻击者的身份或位置信息,确定攻击路径上的主机信息。利用网络攻击回溯技术,可以记录网络攻击过程、重构网络攻击路径,为司法取证提供有力的证据;可以准确地找出攻击发生的位置或者造成故障的原因,使防御方及时地实施针对性的防御措施,降低网络攻击带来的损失;在定位到攻击源后,可以协调多个部门进行隔离、回溯、排查,找出攻击者的真实身份或位置,威慑网络犯罪、净化网络环境。
对于Zone-H数据集,可以利用网络空间地理图谱记录一次攻击从发起到结束的过程,包含攻击者、被攻击者、被攻击者地点、攻击方式、受攻击服务、开始时间、结束时间等实体;也可以以被攻击者为中心记录某个被攻击者所遭受的所有攻击事件,或者以攻击者为中心记录某个攻击者发动的所有攻击事件,进而分析攻击者或被攻击者的偏好。
(4)网络安全事件时空分布特征分析
上述工作从中观和微观层面利用地理属性信息对网络安全数据进行了辅助分析,接下来利用Zone-H数据集构建的网络空间地理图谱对全球范围内2018-2021年的网络安全事件进行分析,从攻击者行为、时间变化、空间分布等角度探索网络攻击的基本特点和变化趋势,从宏观层面探索网络安全事件的时空分布特征,给决策者提供多种层面的思路。
图3为2018-2021年全球网络攻击者及攻击数量占比示意图,可以看出,随着攻击者发动网络攻击数量的增加,网络攻击者的数量在减少,但网络攻击总量却迅速增加,两者恰好呈相反的变化趋势。其中,超过50%的攻击者仅发动过1次网络攻击,有超过80%的攻击者发起的网络攻击数量在10次以内,尽管这些攻击者数量占比较多,但其发动的网络攻击总数却仅占6%左右。而剩下不到20%的攻击者却发起了近94%的网络攻击,其中仅有0.46%的攻击者发动过1000次以上的攻击,但却占据了总攻击数量的40%以上。这表明,网络上的大部分攻击是由特定的组织或个人引起的,这些攻击者频繁发动网络攻击,虽然他们占比很少,但危害程度很大,准确识别并对其进行监控和预防意义重大。
图3中横坐标表示攻击者发动网络攻击次数的范围,柱状图的纵坐标表示发起的网络攻击次数落处于区间(a,b]的攻击者数量占所有网络攻击数量的比例,折线图的纵坐标表示处于区间(a,b]的网络攻击数量占所有网络攻击数量的比例。
网络安全事件时空分布特征分析还可以针对2018-2021年全球网络攻击国家尺度空间分布和城市尺度的网络攻击空间分布进行分析,分析结果表明,网络攻击主要分布在美洲、欧洲和亚洲,分别占比49.42%、26.74%和20.65%,而非洲和大洋洲受攻击次数较少,占比均不到1%。其中,美国遭受网络攻击的次数远远大于其他国家,占所有攻击的45%以上,其次是德国、法国、俄罗斯、印度尼西亚等国家,其遭受的网络攻击次数也较多。详细分析可以看出,网络攻击主要集中在美国东部和西部沿海城市、欧洲西部及亚洲南部,在空间上呈现明显的集聚性。
本发明还提供一种网络空间地理图谱综合分析系统,包括数据采集单元、数据处理单元、数据关联与映射单元、网络空间地理图谱构建单元和智能分析与应用单元;
所述的数据采集单元用于获取地理环境要素信息和网络环境要素信息,在统一的时空表达框架下,为网络空间地理图谱的构建提供环境本底信息,为网络空间地理图谱的构建提供数据信息;
所述的数据处理单元用于对所述的数据采集单元获取的数据进行数据清洗、数据转换与加工以及数据融合;
所述的数据关联与映射单元用于将网络实体资源映射到地理空间,将网络虚拟资源映射到社会空间;
所述的网络空间地理图谱构建单元用于实现知识图谱构建和网络空间可视化;
所述的智能分析与应用单元用于以网络空间地理图谱为基础,将地理空间分析方法的思想迁移到网络空间,同时结合知识图谱、大数据挖掘和人工智能技术,开展网络与地理融合或叠加后的分析和应用。
优选地,所述的数据采集单元在获取地理环境要素信息的过程中,对于重点地区或关键单位,采用三维GIS技术构建虚拟地理环境,真实模拟和还原网络空间要素的客观环境;在统一的时空表达框架下,关联并融合经济、政治、文化和社会要素,为网络空间地理图谱的构建提供环境本底信息。
优选地,所述的数据采集单元在获取网络环境要素信息过程中,通过网络空间测绘、流量监测、IP定位、网络爬虫以及从公开来源获取网络空间要素数据和网络安全数据,在融合包括网络资产、拓扑关系、流量、攻击日志、报警日志、地理位置、所属机构在内的内部信息的基础上,同时引入包括网络安全漏洞、威胁、恶意域在内的外部信息,为网络空间地理图谱的构建提供数据信息。
优选地,所述的数据处理单元进一步具体用于处理地理空间数据和网络空间数据;对于地理空间数据来说,数据清洗实现对基础地理、公共地理和遥感影像数据的几何变形纠正、拓扑关系检查与修改,数据转换与加工实现坐标系与投影转换、三维模型数据的加工,数据融合是对地理空间数据以包括图层叠加、数据集、地图文档、制图输出在内的整合方式进行数据之间的融合;对于网络空间数据,数据清洗是对不完整、错误或重复的数据进行自动或手动清洗,数据转换与加工是对包括硬件设备和传播介质在内的实体资源以及包括逻辑链路在内的虚拟数据进行网络要素空间化,数据融合实现对包括资产、流量、漏洞、事件和威胁在内的多源异构数据的关联与融合。
优选地,所述的数据关联与映射单元采用的实体资源向地理空间的映射技术包括地标挖掘与采集技术、网络结构分析技术和网络实体资源探测定位技术,虚拟资源向社会空间的映射技术包括虚拟人画像技术和虚拟资源动态关联技术;在上述映射技术的基础上,通过定义数据结构和接口规范,将资产信息、IP地址信息、服务指纹信息、网络拓扑信息和地理位置信息相结合,实现网络空间到社会空间和地理空间的精确映射,进而融合并集成多源异构的地理环境要素和网络环境要素,实现多尺度、多层次的网络空间—地理空间的时空大数据模型。
所述的网络空间地理图谱构建单元进一步具体用于以知识图谱的形式关联网络空间和地理空间各要素,从地理、资产和事件的维度全面展示并描述网络空间资源的分布和属性及面临的威胁与风险,借鉴地理学信息表达框架,定义统一的可视化符号对网络空间—地理空间的各要素进行统一描述,建立网络空间时空基准与地理空间基准进行精准、高效的对接,同时融合GIS可视化技术和AR及VR技术,将网络空间资源及其关联关系投影到一个低维的可视化空间,实现要素可视化、关系可视化和事件可视化,构建分层次、可变粒度的可视化网络空间地图,实现网络空间—地理空间全要素的融合统一和全息显示。
优选地,所述的智能分析与应用单元包括网络实体探测定位校正优化模块,所述的网络实体探测定位校正优化模块通过将定位的网络实体资源与矢量地图图层进行叠加,自动判别矢量要素内是否存在网络实体, 如果存在则该网络实体资源定位结果极大可能存在偏差, 从而需要对该网络实体资源进行再次定位确认或将该网络实体归并到水系或道路矢量要素周围的建筑物上。
优选地,所述的网络实体探测定位校正优化模块首先利用IP地理定位工具确定网络实体O的IP地址的经纬度,接着以定位点为中心点、以定位精度r作为半径,创建定位实体的圆形缓冲区域,并获得该圆形缓冲区域内的所有地物的经纬度,然后利用距离计算公式计算每个网络实体O到各个地物B的距离doi ,最后取doi最小的地物所对应的经纬度为校正优化后的定位位置;所述的距离计算公式为:
(1)
优选地,所述的智能分析与应用单元还包括网络安全事件关联分析模块,所述的网络安全事件关联分析模块用于收集由一个或者多个安全设备产生的报警信息,约减虚假警报,合并相似警报,综合分析警报直接的关联关系来构造一个更高级别的攻击场景,最后以人类易于理解的方式进行呈现输出,从而方便用户了解目标系统正遭受的威胁并在此基础上做出相应的防御措施。
优选地,所述的网络安全事件关联分析模块利用多因素相似度计算的方法聚合原始的报警数据,降低冗余度以提升报警数据的质量,具体来说,首先根据时间戳对原始报警数据进行升序排序,然后逐个遍历每条数据,并根据相似度计算公式计算告警Ha和Hb之间的相似度,若相似度大于阈值,则认为Hb是Ha所对应的冗余告警,最后将冗余告警进行去除并返回处理后的告警列表;所述的相似度计算公式为:
(2)
其中,C1为告警间的时间关联性度量,C2为告警间的网络空间关联性度量,C3为告警间的地理空间关联性度量,C4为告警间的服务关联性度量,C5为告警间的类型关联性度量。
优选地,所述的智能分析与应用单元还包括网络攻击溯源分析模块,所述的网络攻击溯源分析模块用于回溯到攻击者的身份或位置信息,确定攻击路径上的主机信息;利用网络攻击回溯技术,记录网络攻击过程,重构网络攻击路径,为司法取证提供有力的证据;准确地找出攻击发生的位置或者造成故障的原因,使防御方及时地实施针对性的防御措施,降低网络攻击带来的损失;在定位到攻击源后,协调多个部门进行隔离、回溯和排查,找出攻击者的真实身份或位置,威慑网络犯罪,净化网络环境。
优选地,对于Zone-H数据集,所述的网络攻击溯源分析模块利用网络空间地理图谱记录一次攻击从发起到结束的过程,包含攻击者、被攻击者、被攻击者地点、攻击方式、受攻击服务、开始时间和结束时间的实体;以被攻击者为中心记录某个被攻击者所遭受的所有攻击事件,或者以攻击者为中心记录某个攻击者发动的所有攻击事件,进而分析攻击者或被攻击者的偏好。
优选地,所述的智能分析与应用单元还包括网络安全事件时空分布特征分析模块,所述的网络安全事件时空分布特征分析模块用于利用Zone-H数据集构建的网络空间地理图谱对全球范围内的网络安全事件进行分析,从攻击者行为、时间变化和空间分布的角度探索网络攻击的基本特点和变化趋势,从宏观层面探索网络安全事件的时空分布特征,给决策者提供多种层面的思路。
本发明所述的网络空间地理图谱综合分析系统和方法的关键技术点包括:
1.利用虚拟资源关联技术融合网络空间中的实体资源和虚拟资源,利用网络实体资源探测定位技术完成从虚拟空间到社会空间再到地理空间的关联映射,实现网络空间地理学知识图谱的构建,为网络空间安全的应用需求提供支撑。
2.发挥地理学和地理信息系统空间分析的理论和技术优势,通过匹配网络实体与地理要素,进而反过来校正并优化网络实体资源的定位结果,在宏观上探索并发现网络安全事件的时空分布特征,提高网络空间挂图作战能力。
3.利用知识图谱表达能力强且灵活的特性以及网络空间和地理空间相互融合的特点,共同辅助网络空间信息、网络安全事件的挖掘,应用到诸如网络安全事件关联分析、网络攻击或恶意行为回溯、资产节点风险分析、资源空间分布统计等综合分析中,提高网络空间行为的智能认知能力。
4.最终形成包含“数据采集—数据处理—数据关联映射—网络空间地理图谱构建—智能综合分析”等在内的网络空间地理图谱综合分析方法链条。
以上描述了本发明优选实施方式,然其并非用以限定本发明。本领域技术人员对在此公开的实施方案可进行并不偏离本发明范畴和精神的改进和变化。

Claims (10)

1.一种网络空间地理图谱综合分析系统,其特征在于,所述的网络空间地理图谱综合分析系统包括数据采集单元、数据处理单元、数据关联与映射单元、网络空间地理图谱构建单元和智能分析与应用单元;所述的数据采集单元用于获取地理环境要素信息和网络环境要素信息,在统一的时空表达框架下,为网络空间地理图谱的构建提供环境本底信息,为网络空间地理图谱的构建提供数据信息;所述的数据处理单元用于对所述的数据采集单元获取的数据进行数据清洗、数据转换与加工以及数据融合;所述的数据关联与映射单元用于将网络实体资源映射到地理空间,将网络虚拟资源映射到社会空间;所述的网络空间地理图谱构建单元用于实现知识图谱构建和网络空间可视化;所述的智能分析与应用单元用于以网络空间地理图谱为基础,将地理空间分析方法的思想迁移到网络空间,同时结合知识图谱、大数据挖掘和人工智能技术,开展网络与地理融合或叠加后的分析和应用。
2.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的数据采集单元在获取地理环境要素信息的过程中,对于重点地区或关键单位,采用三维GIS技术构建虚拟地理环境,真实模拟和还原网络空间要素的客观环境;在统一的时空表达框架下,关联并融合经济、政治、文化和社会要素,为网络空间地理图谱的构建提供环境本底信息。
3.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的数据采集单元在获取网络环境要素信息过程中,通过网络空间测绘、流量监测、IP定位、网络爬虫以及从公开来源获取网络空间要素数据和网络安全数据,在融合包括网络资产、拓扑关系、流量、攻击日志、报警日志、地理位置、所属机构在内的内部信息的基础上,同时引入包括网络安全漏洞、威胁、恶意域在内的外部信息,为网络空间地理图谱的构建提供数据信息。
4.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的智能分析与应用单元包括网络实体探测定位校正优化模块,所述的网络实体探测定位校正优化模块通过将定位的网络实体资源与矢量地图图层进行叠加, 自动判别矢量要素内是否存在网络实体, 如果存在则该网络实体资源定位结果极大可能存在偏差, 从而需要对该网络实体资源进行再次定位确认或将该网络实体归并到水系或道路矢量要素周围的建筑物上。
5.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的网络实体探测定位校正优化模块首先利用IP地理定位工具确定网络实体O的IP地址的经纬度,接着以定位点为中心点、以定位精度r作为半径,创建定位实体的圆形缓冲区域,并获得该圆形缓冲区域内的所有地物的经纬度/>,然后利用距离计算公式计算每个网络实体O到各个地物B的距离doi ,最后取doi最小的地物所对应的经纬度为校正优化后的定位位置;所述的距离计算公式为:
6.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的智能分析与应用单元还包括网络安全事件关联分析模块,所述的网络安全事件关联分析模块用于收集由一个或者多个安全设备产生的报警信息,约减虚假警报,合并相似警报,综合分析警报直接的关联关系来构造一个更高级别的攻击场景,最后以人类易于理解的方式进行呈现输出,从而方便用户了解目标系统正遭受的威胁并在此基础上做出相应的防御措施。
7.根据权利要求6所述的网络空间地理图谱综合分析系统,其特征在于,所述的网络安全事件关联分析模块利用多因素相似度计算的方法聚合原始的报警数据,降低冗余度以提升报警数据的质量,具体来说,首先根据时间戳对原始报警数据进行升序排序,然后逐个遍历每条数据,并根据相似度计算公式计算告警Ha和Hb之间的相似度,若相似度大于阈值,则认为Hb是Ha所对应的冗余告警,最后将冗余告警进行去除并返回处理后的告警列表;所述的相似度计算公式为:
其中,C1为告警间的时间关联性度量,C2为告警间的网络空间关联性度量,C3为告警间的地理空间关联性度量,C4为告警间的服务关联性度量,C5为告警间的类型关联性度量。
8.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的智能分析与应用单元还包括网络攻击溯源分析模块,所述的网络攻击溯源分析模块用于回溯到攻击者的身份或位置信息,确定攻击路径上的主机信息;利用网络攻击回溯技术,记录网络攻击过程,重构网络攻击路径,为司法取证提供有力的证据;准确地找出攻击发生的位置或者造成故障的原因,使防御方及时地实施针对性的防御措施,降低网络攻击带来的损失;在定位到攻击源后,协调多个部门进行隔离、回溯和排查,找出攻击者的真实身份或位置,威慑网络犯罪,净化网络环境。
9.根据权利要求1所述的网络空间地理图谱综合分析系统,其特征在于,所述的智能分析与应用单元还包括网络安全事件时空分布特征分析模块,所述的网络安全事件时空分布特征分析模块用于利用Zone-H数据集构建的网络空间地理图谱对全球范围内的网络安全事件进行分析,从攻击者行为、时间变化和空间分布的角度探索网络攻击的基本特点和变化趋势,从宏观层面探索网络安全事件的时空分布特征,给决策者提供多种层面的思路。
10.一种根据权利要求1至9任一项所述的网络空间地理图谱综合分析系统的分析方法,其特征在于,包括以下步骤:
S1.采集包括地理空间和网络空间在内的要素数据,结合知识图谱和GIS可视化技术,定义统一标准的网络空间地理图谱框架,实现不同级别尺度上网络空间与地理空间要素的映射与关联,构建网络空间地理图谱;
S2.对于动态的网络攻击或威胁数据,利用网络实体资源探测定位技术对攻击来源进行地理位置定位,同时对已定位的攻击者与地物实体进行匹配校正,进而优化网络实体资源的定位结果;
S3.基于网络空间地理属性相似度对网络攻击进行关联,以发现攻击间所隐藏的关系,从而将离散的攻击过程关联成多步攻击链,还原其背后的多步攻击场景;
S4.对于某段时间内的网络攻击数据,利用地理信息系统空间分析理论和技术,探索并发现网络安全事件的时空分布特征,从宏观上系统地描述网络资产所面临的威胁与风险。
CN202311283941.6A 2023-10-07 2023-10-07 一种网络空间地理图谱综合分析系统和方法 Pending CN117236439A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311283941.6A CN117236439A (zh) 2023-10-07 2023-10-07 一种网络空间地理图谱综合分析系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311283941.6A CN117236439A (zh) 2023-10-07 2023-10-07 一种网络空间地理图谱综合分析系统和方法

Publications (1)

Publication Number Publication Date
CN117236439A true CN117236439A (zh) 2023-12-15

Family

ID=89094677

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311283941.6A Pending CN117236439A (zh) 2023-10-07 2023-10-07 一种网络空间地理图谱综合分析系统和方法

Country Status (1)

Country Link
CN (1) CN117236439A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117992926B (zh) * 2024-04-03 2024-06-07 深圳原世界科技有限公司 基于cim平台的全要素数据融合分析方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020113981A1 (zh) * 2018-12-03 2020-06-11 清华大学 网络空间地图模型创建方法及装置
CN112667765A (zh) * 2021-03-22 2021-04-16 远江盛邦(北京)网络安全科技股份有限公司 网络空间地图构建方法、装置及设备
CN112887285A (zh) * 2021-01-15 2021-06-01 中国科学院地理科学与资源研究所 一种跨空间图层映射的网络行为智能画像分析方法
CN115834221A (zh) * 2022-11-28 2023-03-21 国网山东省电力公司信息通信公司 一种网络安全智能分析方法、系统、设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020113981A1 (zh) * 2018-12-03 2020-06-11 清华大学 网络空间地图模型创建方法及装置
CN112887285A (zh) * 2021-01-15 2021-06-01 中国科学院地理科学与资源研究所 一种跨空间图层映射的网络行为智能画像分析方法
CN112667765A (zh) * 2021-03-22 2021-04-16 远江盛邦(北京)网络安全科技股份有限公司 网络空间地图构建方法、装置及设备
CN115834221A (zh) * 2022-11-28 2023-03-21 国网山东省电力公司信息通信公司 一种网络安全智能分析方法、系统、设备和存储介质

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
侯振宇: ""基于属性相似度的 TD-SCDMA 网络告警系统研究"", 《中国优秀硕士学位论文全文数据库信息科技辑》, no. 9, 15 September 2012 (2012-09-15), pages 13 - 23 *
张龙等: ""基于概率主题模型的网络定位结果优化"", 《测绘与空间地理信息》, vol. 41, no. 8, 31 August 2018 (2018-08-31), pages 31 - 34 *
王新颖: "《Ad Hoc 网络服务发现及密钥管理机制研究》", 31 July 2021, 华中科技大学出版社, pages: 79 *
祝世雄等: "《网络与信息安全前沿技术丛书 网络攻击追踪溯源》", 31 December 2015, 国防工业出版社, pages: 73 - 75 *
陈帅等: ""网络空间地理图谱的概念与方法"", 《科技导报》, vol. 41, no. 13, 31 July 2023 (2023-07-31), pages 14 - 22 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117992926B (zh) * 2024-04-03 2024-06-07 深圳原世界科技有限公司 基于cim平台的全要素数据融合分析方法及系统

Similar Documents

Publication Publication Date Title
Wang et al. Spatial, temporal, and content analysis of Twitter for wildfire hazards
Assouli et al. How to predict crime—informatics-inspired approach from link prediction
Buchel et al. Geospatial analysis
Ali et al. Data collection in sensor-cloud: A systematic literature review
CN115796229A (zh) 图节点的嵌入方法、系统、设备及存储介质
Li et al. Graph-powered learning methods in the Internet of Things: A survey
CN117236439A (zh) 一种网络空间地理图谱综合分析系统和方法
Zhang et al. A Local Differential Privacy Trajectory Protection Method Based on Temporal and Spatial Restrictions for Staying Detection
Niu et al. Implementation of network information security monitoring system based on adaptive deep detection
Alenezi Digital Forensics in the Age of Smart Environments: A Survey of Recent Advancements and Challenges
Patel et al. A systematic literature review on Virtual Reality and Augmented Reality in terms of privacy, authorization and data-leaks
Akerkar Processing big data for emergency management
Elangovan et al. A detailed investigation on the role of internet of things (IOT) for better model-driven processing system based on user defined constraints
Bilan et al. Handbook of research on intelligent data processing and information security systems
Liu Intelligent prediction and rural financial development based on abnormal detection of sensor data
Astarita et al. Risk Reduction in Transportation Systems: The Role of Digital Twins According to a Bibliometric-Based Literature Review
Ugwoke et al. A framework for monitoring movements of pandemic disease patients based on GPS trajectory datasets
Lorestani et al. Privacy risk in GeoData: A survey
Huang et al. Semantic Privacy-Preserving for Video Surveillance Services on the Edge
Chen et al. Research on Intelligence Mining of Illegal Underground Internet Production on Anonymous Network: Taking Personal Information Trading as an Example
Sun et al. A novel device identification method based on passive measurement
Qi Development of Computer Network Methodology for Physical Online Guiding Core Literacy Evaluation System
Mahajan et al. Implementation of Deep Learning Techniques for Secure IoT Networks
Ezzat et al. Deep Learning for Extracting Human Movement Patterns from Spatio-Temporal Data
Gao et al. Intelligent Online Political Education Model of Colleges based on Multimedia and Complex Information Transmission

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination