一、傳統(tǒng)現(xiàn)實(shí)空間數(shù)據(jù)與網(wǎng)絡(luò)空間數(shù)據(jù)

　　傳統(tǒng)現(xiàn)實(shí)空間數(shù)據(jù)被認(rèn)為是基礎(chǔ)戰(zhàn)略資源，隨著現(xiàn)實(shí)空間的不斷擁抱互聯(lián)網(wǎng)，“萬物互聯(lián)”的時(shí)代已經(jīng)開啟，那么對(duì)應(yīng)的網(wǎng)絡(luò)空間的數(shù)據(jù)必然也成為了基礎(chǔ)的戰(zhàn)略資源，這也是我們認(rèn)為“漏洞與數(shù)據(jù)是網(wǎng)絡(luò)安全的兩大基石”的根本之一。

　　數(shù)據(jù)挖掘的本質(zhì)是從數(shù)據(jù)中提取事先未知、潛在有用和最終可理解的知識(shí)，傳統(tǒng)空間數(shù)據(jù)挖掘的過程可以大體歸納為：數(shù)據(jù)準(zhǔn)備（數(shù)據(jù)收集、整理等）、數(shù)據(jù)挖掘（數(shù)據(jù)分類、聚合、特征提取等）、數(shù)據(jù)完覺后處理（知識(shí)的解釋、評(píng)價(jià)等），數(shù)據(jù)經(jīng)過挖掘分析蛻變成為知識(shí)，知識(shí)經(jīng)一步升華為智慧，由此去幫助決策者做出合理的決策。這跟我們提出的網(wǎng)絡(luò)空間測(cè)繪的兩個(gè)核心關(guān)鍵點(diǎn)：“1、獲取更多的數(shù)據(jù)。2、賦予數(shù)據(jù)靈魂。”的理念是基本一致的。

　　傳統(tǒng)空間數(shù)據(jù)具有“空間性、時(shí)間性、多維性、海量性、復(fù)雜性、不確定性”等特性，網(wǎng)絡(luò)空間數(shù)據(jù)同樣具備這些特性，由此我們提出了基于時(shí)空數(shù)據(jù)的“動(dòng)態(tài)測(cè)繪”理念，強(qiáng)調(diào)網(wǎng)絡(luò)空間數(shù)據(jù)在空間性及時(shí)間性上的關(guān)聯(lián)，對(duì)于數(shù)據(jù)多維性我們提出了“交叉測(cè)繪”理念，另外我們提出的“行為測(cè)繪”則強(qiáng)調(diào)了網(wǎng)絡(luò)空間數(shù)據(jù)的復(fù)雜性及不確定性等等。

　　數(shù)據(jù)挖掘分析是一個(gè)“仁者見仁、智者見智”的事情，取決于實(shí)施者的對(duì)數(shù)據(jù)的認(rèn)知、理解、思維視角及層次，而最終得到不同的知識(shí)結(jié)論。對(duì)于網(wǎng)絡(luò)空間測(cè)繪來說，我們希望能看到更多不一樣的不同境界不同視角的實(shí)踐者獲取到更多不同的數(shù)據(jù)知識(shí)，而目前看到的網(wǎng)絡(luò)空間測(cè)繪領(lǐng)域更多的是某些單一、乏味的視角，這些在我看來都不算是真正的測(cè)繪，形成不了更多高層次的知識(shí)及智慧，那更談不上做出合理的決策了。如在2014年心臟流血漏洞事件測(cè)繪中最終得到當(dāng)時(shí)全球國(guó)家安全應(yīng)急響應(yīng)能力的排名（中國(guó)排名102位），由此得到我國(guó)急需加強(qiáng)安全應(yīng)急響應(yīng)能力的策略，這就是一個(gè)典型從數(shù)據(jù)挖掘分析到知識(shí)智慧最終到?jīng)Q策的案例。

　　二、國(guó)家級(jí)斷電斷網(wǎng)事件測(cè)繪

　　“萬物互聯(lián)”的時(shí)代，現(xiàn)實(shí)空間逐步走向互聯(lián)網(wǎng)化，那么我們也可以通過網(wǎng)絡(luò)空間上的一些數(shù)據(jù)變化來觀察現(xiàn)實(shí)空間某些事件發(fā)展的情況，這個(gè)都是基于網(wǎng)絡(luò)時(shí)空數(shù)據(jù)挖掘并結(jié)合現(xiàn)實(shí)空間某局部空間事件發(fā)展的“動(dòng)態(tài)測(cè)繪”理念，最終打通網(wǎng)絡(luò)空間與現(xiàn)實(shí)空間的數(shù)據(jù)聯(lián)系，形成獨(dú)特的視角下知識(shí)結(jié)論。

　　戰(zhàn)爭(zhēng)或者武裝沖突是關(guān)系現(xiàn)實(shí)空間社會(huì)經(jīng)濟(jì)發(fā)展的重大事件，當(dāng)代社會(huì)里的戰(zhàn)爭(zhēng)基本局部戰(zhàn)爭(zhēng)為主，在傳統(tǒng)空間測(cè)繪里曾有人對(duì)2011年爆發(fā)的敘利亞戰(zhàn)爭(zhēng)前后夜晚光線遙感圖像對(duì)比來評(píng)估敘利亞內(nèi)戰(zhàn)時(shí)空演變及經(jīng)濟(jì)難民影響的空間分布等等。“諷刺”是的戰(zhàn)爭(zhēng)已經(jīng)開始蔓延映射到網(wǎng)絡(luò)空間里，2019年委內(nèi)瑞拉全國(guó)出現(xiàn)大規(guī)模停電，導(dǎo)致交通、醫(yī)療、通訊及基礎(chǔ)設(shè)施的癱瘓，時(shí)任委內(nèi)瑞拉總統(tǒng)馬杜羅指責(zé)美國(guó)策劃了對(duì)該國(guó)電力系統(tǒng)的“網(wǎng)絡(luò)攻擊”，目的是通過全國(guó)范圍的大停電，制造混亂，迫使政府下臺(tái)。

　　針對(duì)2019年委內(nèi)瑞拉大停電事件，知道創(chuàng)宇404實(shí)驗(yàn)室研究員們利用全球主動(dòng)測(cè)繪搜索引擎ZoomEye結(jié)合“動(dòng)態(tài)測(cè)繪”理念對(duì)委內(nèi)瑞拉停電期間該國(guó)的網(wǎng)絡(luò)空間數(shù)據(jù)進(jìn)行了挖掘分析，最終實(shí)現(xiàn)了對(duì)該國(guó)的網(wǎng)絡(luò)空間核心基礎(chǔ)設(shè)置網(wǎng)絡(luò)空間及物理空間的映射分布：“在全國(guó)大范圍停電期間，委內(nèi)瑞拉首都加拉加斯、首都附近的卡拉沃沃州 （該州有自己的發(fā)電廠）以及西邊的梅里達(dá)仍然能有電力供應(yīng)，統(tǒng)計(jì)斷電期間識(shí)別出的組件，主要包括路由器、攝像頭、Windows 系統(tǒng)等，民眾常用的路由器類型 ZTE ZXV10 W300 則沒有出現(xiàn)。可見在全國(guó)大范圍停電期間， 有限的電力僅僅被用于國(guó)家機(jī)器的正常運(yùn)轉(zhuǎn)?！?/p>

　　網(wǎng)絡(luò)空間設(shè)備運(yùn)轉(zhuǎn)依賴于電力的供應(yīng)，所以通過大規(guī)模的停電事件期間對(duì)影響地區(qū)進(jìn)行“時(shí)空測(cè)繪”對(duì)我們定位事件的進(jìn)展及對(duì)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)及重要的信息系統(tǒng)，甚至對(duì)現(xiàn)實(shí)空間經(jīng)濟(jì)及社會(huì)穩(wěn)定影響有著直觀的反映。

　　如果說停電對(duì)于網(wǎng)絡(luò)空間來說是被迫的行為，那么因?yàn)槟承┩话l(fā)事件導(dǎo)致的國(guó)家級(jí)的斷網(wǎng)也是一種非常值得去挖掘分析的事件。今年（2021年）3月，在著名的全球?qū)W術(shù)分享交流平臺(tái)ResearchGate（researchgate.net）上來自美國(guó)德克薩斯大學(xué)圣安東尼奧分校網(wǎng)絡(luò)安全和分析中心的兩位研究者Antonio Mangino 、Elias Bou-Harb發(fā)布了一篇論文：

　　《A Multidimensional Network Forensics Investigation of a State-Sanctioned Internet Outage》

　　《對(duì)國(guó)家主導(dǎo)的斷網(wǎng)的多維網(wǎng)絡(luò)取證調(diào)查（譯文）》

　　2019年11月針對(duì)烏克蘭客機(jī)在伊朗上空被擊落導(dǎo)致多個(gè)國(guó)家176人死亡事件引發(fā)的大量的抗議活動(dòng)伊朗政府隨即實(shí)施了網(wǎng)絡(luò)關(guān)閉，從2019年11月16日開始持續(xù)了整整一周，該論文針對(duì)這一事件通過互聯(lián)網(wǎng)背景輻射流量及ZoomEye動(dòng)態(tài)測(cè)繪數(shù)據(jù)進(jìn)行追蹤分析及網(wǎng)絡(luò)取證，最后還關(guān)聯(lián)了比特幣市場(chǎng)交易趨勢(shì)的關(guān)聯(lián)分析。

　　在閱讀這篇論文之前如果對(duì)“互聯(lián)網(wǎng)背景輻射（Internet background radiation，IBR）”的概念不是很了解的，可以先看看來自浙江大學(xué)研究者武秋韻， 丁偉的論文《基于動(dòng)態(tài)暗網(wǎng)的互聯(lián)網(wǎng)掃描行為分析》，簡(jiǎn)單而言就是IBR就利用那些配置了路由但是沒有被使用的IP地址收集這些包括僵尸網(wǎng)絡(luò)、蠕蟲、DDOs攻擊、掃描等發(fā)出單向流量。這個(gè)有點(diǎn)類似于不需要去批量搞買VPS部署的“蜜罐”，相比ZoomEye這種“主動(dòng)測(cè)繪”的系統(tǒng)，可以說這算一種“被動(dòng)測(cè)繪”的機(jī)制。

　　我們回到上面伊朗事件的論文里可以看出在伊朗斷網(wǎng)期間通IBR的分析結(jié)果趨勢(shì)圖跟ZoomEye主動(dòng)探測(cè)結(jié)果趨勢(shì)是相吻合的（如下圖2），這也說明了網(wǎng)絡(luò)空間測(cè)繪在此類斷網(wǎng)事件追蹤上的價(jià)值及意義，當(dāng)然論文里提到了在斷網(wǎng)事件對(duì)伊朗重要關(guān)鍵技術(shù)設(shè)施的影響：“對(duì)于國(guó)家主導(dǎo)的斷網(wǎng)而言，一些重要的國(guó)家網(wǎng)絡(luò)將會(huì)得以保持。我們的研究發(fā)現(xiàn)，在此次伊朗斷網(wǎng)期間，一部分應(yīng)用于政府和基礎(chǔ)設(shè)施的網(wǎng)絡(luò)得以保持?！?/p>

比較有意思的是該論文里通過評(píng)估Blockchain.com提供的比特幣加密貨幣交換數(shù)據(jù)，從而研究伊朗斷網(wǎng)與全球比特幣挖礦趨勢(shì)之間的存在線性相關(guān)，當(dāng)然也提出了這種相關(guān)性可能是多種因素造成的，主要是伊朗大量開采的加密貨幣設(shè)備。從全球的礦機(jī)分布數(shù)據(jù)來看伊朗占了4%，排名世界前5名（該數(shù)據(jù)來源于互聯(lián)網(wǎng)具體數(shù)據(jù)來源及時(shí)間不詳細(xì)） （如下圖3），所以說通過網(wǎng)絡(luò)空間測(cè)繪來實(shí)現(xiàn)比特幣的價(jià)格成為可能？！

　　三、總結(jié)

　　網(wǎng)絡(luò)空間與現(xiàn)實(shí)空間息息相關(guān)，網(wǎng)絡(luò)空間數(shù)據(jù)也是基礎(chǔ)的戰(zhàn)略資源，對(duì)這些數(shù)據(jù)的掌握及挖掘利用才是實(shí)力的真正體現(xiàn)?？臻g與時(shí)間是數(shù)據(jù)的基本屬性，“動(dòng)態(tài)測(cè)繪”理念就是強(qiáng)調(diào)兩者的相關(guān)性，然后通過各種數(shù)據(jù)挖掘分析手段發(fā)現(xiàn)更多的不同維度的知識(shí)。形成知識(shí)的能力取決于實(shí)施者的對(duì)數(shù)據(jù)的認(rèn)知、理解、思維視角及層次，網(wǎng)絡(luò)空間測(cè)繪也不僅僅是漏洞影響面評(píng)估那點(diǎn)事。附上我們最新的slogan: “ZoomEye * 真測(cè)繪，全球賽博空間測(cè)繪領(lǐng)導(dǎo)者！”