一种网络空间映射方法、可视化方法及系统
技术领域
本发明涉及网络空间资源管理控制技术领域,具体是一种网络空间资产映射可视化方法和网络空间资源测绘。
背景技术
随着网络技术的普及和发展,互联网与人们的生活变得息息相关。各式各样的网络设备承担了网络互连的工作,其数量繁多,联系复杂。如果能将网络空间资源以一种有效的方式映射在图表中,将大大有利于对网络空间资源的管控和对其分布理解。现在的主要做法有以下几种:第一种做法是将收集到的网络应用信息做成网络服务的形式提供给第三方以供查询,比较典型的例子就是创宇的ZoomEye。ZoomEye主要针对web应用进行信息收集和展示,它提取目标web框架的特征,服务类型等属性。该方法仅仅只是实现了资料的整合,并没有考虑将提取的特征和属性实现可视化。第二种做法将侦测到的网络应用信息显示在传统的地图上,通过网络服务存在位置的经纬度来定义网络应用在展示图上的位置。这种做法的优点是将传统地图建模思路转化到网络空间中来,容易理解,但是地理位置信息的特征和网络空间信息的特征存在相当大的差异,使用传统地图的建模思路描述网络空间中的资产无法展示其中的一些隐含特征。
发明内容
本发明针对现有技术存在的上述缺陷,提出一种网络空间映射方法、可视化方法及系统,该方法不再使用传统的地理经纬度标识网络资产位置,而是用网络空间中的IP地址和端口号确定网络空间资产在空间中的位置点。本发明解决上述技术问题的技术方案是,支持自定义信息特征来归类自治系统,通过自治系统间的关系获取其在网络地图中的高度,可以直观地观察到节点自治系统之间的通信情况。
本发明提供一种基于对象IP地址和端口号的网络空间映射方法,包括:确定一种网络空间映射方式;采用瓦片分割对数据进行存储,数据显示按照不同切分级别划分;定为网络空间中的对象并且展示。具体包括:将网络空间中使用网络的人或物确定为网络空间中对象;将某一时刻网络空间中对象使用的IP地址、端口号在平面上进行映射;将对象的IP地址作为横坐标,对象的端口号作为纵坐标,对象所在的自治系统信息作为第三维度,构建网络空间地图;将某一时刻对象使用的IP地址和端口号作为节点,以对象所在自治系统(AS)的信息作为网络空间地图分层的依据,不同的自治系统将分布在不同的图层,将节点映射在网络空间地图上。将对象在网络空间中使用的IP地址、端口号,以及对象的IP地址和端口号对应的现实信息或网络信息确定为对象的网络资产;根据对象在网络空间中对应的网络资产,对网络空间地图按不同的数量级分块,对网络空间地图放大/缩小不同的数量级,映射对象的网络资产信息到相应网络空间地图中。可根据自治系统的信息设定不同的图层,立体地展示网络空间中的节点。根据对象的IP地址或端口号,在网络空间地图上显示该对象的所有网络资产;根据对象的网络资产,可在所述网络空间地图上显示某一网络资产相同的所有对象的点。根据对象所在自治系统(AS)的信息,可在网路地图上显示对应的图层的位置和展示其与其他自治系统(AS)的关系。
对网络空间地图按不同的数量级分块进一步包括:采用瓦片分割法根据对象在网络空间中对应的网络资产对网络资产地图分割成n*n像素的小块,该小块成为地图图块,将每个小块的边长作为坐标系x轴和y轴的标准长度单位,将不同类型的服务标注为不同类型的点,每个点存在各个小块中,聚合IP地址,最小的聚合IP数目作为IP分辨率R。通过解析一个对象发出或收到的数据包中的地址数据,获取同一对象在不同时间下所使用的IP地址和端口号,所获得的同一对象在不同时间IP地址和端口号数据存入数据库,网页端获取到数据并在网络空间地图上描绘出对应点,并将所述网络空间地图上的点按照使用的时间连接成线,在网络空间地图上构建对象的网络变化轨迹图。通过解析数据包中的源地址和目标地址信息,获取某一时间点所述对象与其他对象的通信情况数据,将数据存入数据库,网页端获取到数据并将某一时间点对象在网络空间地图上的点连接成线,构造所述对象在某一时间点的网络通信路径图;根据对象在不同时间点与其他对象之间的通信情况,构造所述对象随时间变化的网络通信路径图。根据所述对象间的物理链路或地理信息,计算同一对象网络变化的轨迹路径以及不同对象通信路径的距离。对于物理链路,使用网络路由路径表示其轨迹,使用通信中的路由转发跳数表示通信路径距离;对于地理信息,可以从网络资产信息中获取显示地理位置字段,然后根据现实中的距离获知现实地理距离。
将IP地址和端口号设置为显示系统的横坐标(x轴)和纵坐标(y轴)建立网络资产地图的坐标系,将存活的对象按照其在网络空间中的IP地址和端口号显示在网络资产地图中,采用瓦片分割法将网络资产地图分割成n*n像素的小块,并将每个小块的边长作为坐标系x轴与y轴的标准长度单位,该小块成为地图图块。将不同类型的服务标注为不同类型的点,每个点都存在各个小块中,实现了按照不同级别显示数据的功能。由于IP地址数目过多,若不进行聚合而采用逐IP划分单位达不到很好的视觉效果,所以本发明对IP地址做聚合。具体为,最小的IP分类等级所包含的IP地址的数目作为IP分辨率,即最小的聚合IP数目作为IP分辨率R。根据网络空间地图瓦片的特征和属性进行瓦片分类,可分为兴趣点(POI)瓦片和非POI瓦片,根据瓦片访问热度进行重新组织和聚类,可划分热点区域,次热点区域和非热点区域。
分级显示是对分割的地图的某个部分进行放大或者缩小,具体包括,根据各级别(level)所包含的地址数和放大倍数(multiple),调用公式:num=total/(2(level-1)*multiple)计算各级别包含的IP数量(num),根据公式:j_num=total/(R*2(level-1)*multiple)计算该级别的精度(j_num)。其中,total是系统中所有IP的数量,j_num(精度)表示包含最小瓦片单元的数目,level(级别)表示放大的程度,分辨率是最小区分单元中所包含的IP数目,使用者还可以指定IP段和端口段来显示指定范围内的网络资产信息的分布。
本发明还提出一种网络空间映射的可视化方法,以网络空间中对象的IP地址作为横坐标轴,端口号作为纵坐标轴,构建基础坐标系;获取包括IP地址、端口号在内的网络空间对象的资产信息,并将其加载到Web服务器;将某时刻该对象在网络空间中的IP地址、端口号正交,映射到二维平面上,构建基础坐标系作为二维网络空间地图;网络空间对象的符号与网络空间地图图层层级匹配,网络空间对象的兴趣点POI与网络空间地图图层层级匹配;网络空间地图中的对象依照初始像素距离按不同的比例尺进行聚合和解聚,对可视范围内的对象定量展示。具体为:当网络空间地图使用小比例尺时,通过几何图形对实体资源进行可视化表达,当网络空间地图用大比例尺时,通过形象化的符号进行可视化表达。
进一步地,网络空间对象的符号与网络空间地图图层层级匹配,当地图采用小比例尺时,几何图形对实体资源进行可视化表达,当地图采用大比例尺时,通过形象化的符号进行可视化表达。网络空间对象的POI与网络空间地图图层层级匹配包括,可视化方法还包括根据用户的关注信息,将网络空间地图瓦片分为POI瓦片和非POI瓦片,根据网络空间的POI,将网络空间地图瓦片分为POI瓦片和非POI瓦片,根据瓦片访问热度进行重新组织和聚类为热点区域、次热点区域和非热点区域。
进一步地,将网络空间对象的自治系统作为竖轴,与基础坐标轴正交构建网络空间地图,可将同一自治系统的对象放在相同平面观察。
本发明还提供了一种网络空间映射的可视化系统,该可视化系统包括服务器端和客户端,服务器端根据客户端的请求,将POI与网络空间地图图层层级匹配,服务器端包括信息处理模块、地图处理模块以及数据层。信息处理模块包括信息的获取和信息的处理,获取网络空间对象的资产信息和通信情况,根据客户端发起的请求,通过数据层对相关的数据进行查询,将过期内容写入文件。地图处理模块构建基础坐标系和三维坐标系,将信息处理模块的信息反映在坐标系上构建网络空间地图,对对象进行聚合和解聚以定量展示。数据层包括对象信息数据库、通信信息数据库和文件系统。对象信息数据库存储网络空间对象当前的资产信息,通信信息数据库保存近期对象的通信情况和登录情况;文件系统用于存储相关的符号标识,以及过期的对象通信情况和登录情况。
进一步地,可视化系统还包括可视区域对象的点选和框选单元。点选单元控制显示该对象的网络空间资产信息;框选单元控制列表显示此范围内的所有对象。可视化系统还包括对可视区域的对象动态展示通信情况的模块,当选择某一对象展示时,该对象符号颜色加重,通过拖动时间轴观察该对象与其他对象之间在某个时间段的通信情况。可视化系统还包括对可视区域的对象动态展示登录情况的模块。记录某个相同对象在不同IP端口,自治系统中的登录情况,可通过拖动时间轴观察该对象在某个时间段的登录情况。
本发明通过获取网络空间对象的资产信息,将获取的网络空间对象的资产信息加载到服务器,然后按照聚合和解聚原则进行定量展示、将网络空间对象的符号与网络空间地图的图层层级相匹配、将POI与网络空间地图图层层级匹配对对象资产信息进行可视化展示;然后定期获取网络空间对象的通信情况,将网络空间对象的通信情况加载到服务器。本发明构建了一个虚拟的网络空间地图,能够直观地展示网络空间对象的信息和通信状况,清晰表达网络空间对象之间的逻辑关系,可为动态监控网络空间对象行为提供帮助。
附图说明
图1是网络空间映射实施流程图;
图2是网络空间映射系统功能模块图。
具体实施方式
下面详细描述本发明的实施例,结合附图对本发明的实施方式做进一步说明,以使本领域的技术人员那能更好地实施本发明。
图1是本发明具体实施流程图,主要包括:s10定义网络空间映射;s20采用瓦片分割存储数据;s30可视化展示网络空间对象。本发明采用多种符号对不同类型的对象进行标记,对象指的是网络空间中使用网络服务的人或者物。网络空间映射的可视化系统根据收集到的信息针对对象提供以下几种操作:可以跟踪对象经常存在的网络位置,即对象经常使用的IP地址和端口号,并根据时间的推移描绘对象在网络空间中运动的轨迹,即不同时间上对象在网络空间中不同位置的连线;系统还可以监控任意时刻某对象与其余对象的通信状态,根据其通信流量的大小区别以不同的线段符号,根据采集到的数据显示两个对象之间通信的属性,比如通信协议的类型,是否采用加密,采用加密的算法等等;进一步显示对象之间的虚拟链路,物理链路以及相应的地理信息等等,虚拟链路指的是在路由表中上下跳的关系,或者在自治系统中相连,物理链路指的是实际两对象实际的物理线路连接。
本发明通过网络扫描获取全网网络资产数据,对网络资产数据进行数据处理。根据IP范围(例如192.168.1.0/24该部分包含的所有IP)和端口范围(例如1-10000号端口)将所需要展示的数据从数据库中加载出,按照地图图块为单位依次显示。通过Nmap、网络爬虫等工具收集网络资产的信息,网络资产的信息包括用户IP地址、开放端口号、使用服务的名称、DNS信息、web框架的指纹信息等等,将实时获取的信息存储在数据库中供进一步提取使用,对收集到的信息进行整合。将信息分块展示,如IP轴的分辨率为32个IP地址,每一级放大倍数为8,对每个对象的POI或者自制系统获取详细的信息。
对网络空间对象进行可视化。基于对象IP地址和端口号进行网络空间映射,采用瓦片分割对数据进行存储,数据显示按照不同切分级别划分,确定为网络空间中的对象并且展示。
图2是网络空间映射系统功能模块图。获取对象经常使用的IP地址、端口号、服务及其他网络信息,监控某一时间点对象与其他对象的通信情况,包括所述对象的虚拟链路、物理链路或地理信息,确定对象的网络资产,采用瓦片分割对数据进行存储,不同级别显示对象和数据不同,将网络空间中的对象可视化,同一对象在不同时间下所使用的IP地址和端口号。
具体为,将IP地址和端口号设置为显示的横坐标(x轴)和纵坐标(y轴)建立网络资产地图坐标系,将存活对象按照其在网络空间中的IP地址和端口号显示在网络资产地图坐标系中,采用瓦片分割法将网络资产地图分割成n*n像素的小块(其中n为像素单位。例如可以选择n=256,以256*256像素的小块作为基本单位块),将每个小块的边长作为坐标系x轴与y轴的标准长度单位,该小块成为地图图块。将不同类型的服务标注为不同类型的点,每个点都存在各个小块中,实现了按照不同级别显示数据的功能。由于IP地址数目过多,若不进行聚合而采用逐IP划分单位可能达不到很好的视觉效果,所以将对IP地址做一定聚合。具体为,最小一级所包含的IP地址的数目作为IP分辨率。即最小的聚合IP数目作为IP分辨率R。
对于网络特征的分类,根据网络空间地图瓦片的特征和属性进行瓦片分类,可分为兴趣点(POI)瓦片和非兴趣点POI瓦片,如网络流量前0.1%的热点网络资源可认为是网络兴趣点,其余为非网络兴趣点,如果该瓦片中存在网络兴趣点则该瓦片为POI瓦片,反之则为非POI瓦片。根据瓦片访问热度可以进行重新组织和聚类,可划分热点区域,次热点区域和非热点区域。
对于热度分类根据瓦片访问量在所有当前显示区域排名,如当前瓦片访问量排名在前1%,则为热点区域;如当前瓦片访问量排名在前1%~10%之前,则为次热点区域;如当前瓦片访问量排名在10%之后,则为非热点区域,可以根据需要自行设置。
由于用户关注的主要内容集中于网络中的POI资源,针对不同类型的POI瓦片进行分类存储,不同类型的POI资源,用户关注的信息有所不同,可以根据POI资源的特点进行分类显示,提高存储效率。所以对于POI瓦片和非POI瓦片可以分别进行存储,针对POI瓦片尽量显示更多的信息,以供用户获取;相反对非POI瓦片则可以尽可能的减少瓦片信息的显示,减少瓦片文件大小,提高加载效率。针对不同类型的POI瓦片,可以分类存储,不同类型的POI资源,用户关注的信息有所不同,所以可以根据POI资源的特点进行分类显示,提高存储效率。
对于网络热度的分类,由于网络访问满足“二八原则”,即20%的热点资源承载了80%的访问量。我们根据瓦片访问热度对瓦片进行重新收集,根据瓦片热度进行排序,高热点地区瓦片显示信息详细且完整,低热点地区瓦片则可以降低显示和存储数据的完整性,针对不同热度的瓦片可以采取不同的更新策略,热点地区瓦片更新速度最快,次热点地区瓦片更新速度次之,非热点地区瓦片更新速度最慢。热点区域,次热点区域,非热点区域更新速度存在固定比例,20:5:1的关系。非热点区域更新1次,次热点区域更新5次,热点区域更新20次。加入我们以热点区域中数据变化超过阈值20%作为变化阈值,一旦数据变化超过50%则热点区域更新一次,然后根据变化速率比例,次热点区域和非热点区域相应发生变化,这样可以有效地提高整体瓦片的加载效率和系统性能。分级显示是对分割的地图的某个部分进行放大或者缩小,分级显示部分提取每一个级别所包含的地址数和放大倍数(multiple),根据公式:num=total/(2(level-1)*multiple)计算级别包含的IP数量(num),根据公式:j_num=total/(R*2(level-1)*multiple)计算精度(j_num),其中,total是分割的地图中IP的数目,级别(level)是放大的程度,精度(j_num)是分割的地图中包含的最小单位块的数目,分辨率是最小单位块中所包含的IP地址数目(例如分辨率为256指的是最小的区分单元中包含了256个IP地址),R是最小级别包含的IP数目。还可以指定IP段和端口段来显示指定范围内的网络资产信息的分布。计算IP数量和精度主要用于对放大和缩小功能效果的说明,对特定显示区域的放大会包含更少的IP和端口信息,缩小会包含更多的IP和端口信息。以IPv4和IPV6举例说明,IPv4界面可显示32*32个小瓦片,如认为其中前1%排名的小瓦片是热点区域,前1%~10%排名的瓦片是次热点区域,剩下的瓦片即为非热点区域。如果瓦片中存在POI,则该瓦片为兴趣瓦片。在放大缩小过程中按照IPv4分级显示表进行聚类。当前瓦片的级别根据瓦片的子网掩码进行分级,具体分级参照按表1,精度,分辨率也也相同。在IPV4中以3为放大倍数,最小分辨率为32,每1个IP级别记录为一个level,按照上述公式计算每一个IP分类级别对应的IP数目和精度数目,各个级别的IP分类对应包含的IP个数,精度以及对应的IP掩码都在表1中一一对应。调节IP级别来实现放大和缩小,例如可设为1级为最小IP数目等级,而10级为最大IP数目等级。
根据IPv6分级显示表进行相应的分类操作,在IPV6中以5为放大倍数,最小分辨率为256,详细结果可以见表2。
表1 IPV4IP分级显示表
表2IPV6 IP分级显示表
本发明可视化系统获取网络空间对象,包括IP地址,端口号在内的网络资产信息;然后将获取到的网络空间对象的资产信息加载到Web服务器,并将网络空间对象的符号与网络空间地图图层相匹配、将网络空间对象的兴趣点(POI)与网络空间地图图层层级匹配,将网络空间地图中的对象依照初始像素距离按不同的比例尺进行聚合和解聚,对可视范围内的对象进行定量展示。
获取网络空间对象的资产信息。网络空间对象包括个人电脑,手机,智能家居等,这些对象的资产信息包括其IP地址,所开放或使用的端口号和服务,设备的类型和操作系统,使用的软件及版本,以及地理位置、自治系统、归属单位等,还包括这些设备的防护情况比如防火墙信息等。以网络空间中的对象的IP地址作为横坐标轴,端口号作为纵坐标轴,构建网络空间地图的基础坐标系。将获取的网络空间对象的资产信息加载到Web服务器,进行可视化展示。
对于网络空间对象的资产信息的表现形式有两种,一种是将选定范围内的所有对象都显示,监控网络空间地图全局信息,第二种方法则根据使用者的主要关注区域,按照瓦片化的方式,对网络空间地图显示的内容、加载形式分别进行管理。为了更清楚地显示网络空间对象的信息,提高网络空间地图的视觉效果,本发明将网络空间对象的符号与网络空间地图图层相匹配,并将网络空间地图中的对象依照初始像素距离按不同的比例尺进行聚合和解聚。
网络空间对象的符号与网络空间地图图层相匹配。当网络空间地图采用小比例尺时,通过几何图形对实体资源进行可视化表达,使用不同的颜色对不同的网络空间对象进行区分;当网络空间地图采用大比例尺时,通过形象化的符号进行可视化表达,可以将网络空间对象的符号进一步细化。
依照初始像素距离按不同的比例尺进行聚合和解聚。为了能够更方便用户使用,本发明可以根据用户所关注的信息,将网络空间地图划分为不同的瓦片区域。
为了能够更清楚的展示对象自治系统内和自治系统间的通信情况,本发明可以通过在基础坐标系中添加第三坐标轴的方式,将相同自治系统内的对象放在同一平面上展示。通过获取用户事件,发送请求到服务器,在基础坐标系上构建竖轴,从数据库中调取用户所请求的自治系统中的对象信息,将该自治系统中的对象放在同一用户所设定的竖轴高度上展示。为了更加合理的的展示网络空间资产信息,本发明还包括对可视区域对象的点选和框选。网页端接收到点选请求后,服务器从数据库中调取该对象相关的资产信息。同样,当进行框选时,统计鼠标事件中选择区域的对象列表,列出区域内所选择的对象以及相关统计信息,当接收到关于某一个列出对象的资产信息请求时,从数据库调取相关的数据。
为了动态观察网络空间对象的通信情况,了解对象的通信轨迹,本系统还包括对可视区域的对象动态展示通信的模块以及动态展示登录的模块。首先设置时间,定期获取对象的通信情况,保存在数据库中,并将登陆信息和通信信息发送给客户端,客户端对网络空间地图进行更新。
可视化系统使用B/S设计模式,包括服务器和网页端。服务器端包括地图处理模块、信息处理模块以及相关的数据层。信息处理模块用于获取网络空间对象的资产信息和通信情况;地图处理模块用于构建基础坐标系和三维坐标系,将信息处理模块的信息反映在坐标系上生成网络空间地图,并将网络空间对象的符号与网络空间地图的图层层级相匹配,将POI与网络空间地图图层层级匹配。数据层包括对象信息数据库、通信信息数据库和文件系统。对象信息数据库存储网络空间对象当前的资产信息包括IP地址,所开放或使用的端口号和服务,设备的类型和操作系统,使用的软件及版本,以及地理位置、自治系统、归属单位等,还包括这些设备的防护情况比如防火墙信息等;通信信息数据库保存近期对象的通信情况和登录情况;文件系统用于存储相关的符号标识,以及过期的对象通信情况和登录情况。网页端实现网络空间地图的放大,缩小等用户交互操作以及对网络空间对象的通信情况展示。
上述实施例仅作为示例,而不代表对本发明的限制,相关的技术人员可以在本发明内对上述实施例进行变换和调整。
