賦予數據靈魂——基于低頻測繪數據的動態測繪

作者：知道創宇404實驗室
English version: http://www.bjnorthway.com/3025/

一．摘要

獲取網空測繪數據后，去分析數據和解讀數據，讓數據說話，這是ZoomEye團隊常說的“賦予數據靈魂”，也是網空測繪的真正價值所在。網空測繪數據，不僅可以應用于網絡空間領域，去感知網絡空間層面的態勢，也可以與其他行業領域的數據進行結合，通過分析挖掘去印證和感知現實實體空間的態勢，進而發揮其更大價值。

近些年，ZoomEye團隊多次在熱點事件發生后，針對特定區域進行周期為天（甚至更短）的高頻測繪，進而通過各種數據挖掘分析手段發現不同維度的知識，踐行了“動態測繪”的理念。

本文基于ZoomEye平臺近些年的歷史測繪數據，以自然月為周期，數據時間跨度拉長為2018年至2022年，在相對低頻的測繪數據中去篩選特定時間特定區域的數據，進行分析和解讀，踐行“動態測繪”的理念。

我們嘗試通過分析低頻測繪數據去感知印證歷史上的斷網事件，發現：時間跨度較長的斷網事件，可以通過低頻測繪數據去感知印證；由于網絡運營商技術故障引發的短時間斷網事件，通過低頻測繪數據是無法感知的，只有通過高頻的測繪數據方可感知事件的發生；而針對封禁社交網絡的這類斷網事件，由于在線網絡資產并未發生變化，所以無法利用網絡空間測繪數據去反映事件的發展。

接下來，我們以自然月為周期，統計國家在線IP數量占全球的比例，挑選美國、中國、印度、印度尼西亞、愛爾蘭和沙特阿拉伯這六個國家，查看近五年間其在線IP數量占全球比例的變化趨勢。發現美國的比例有所降低，這說明相比較而言，全球其他國家的互聯網發展水平相對在提升，與美國的差距在縮小；中國的互聯網發展水平穩中有升；印度的比例持續上升，反映出印度互聯網發展水平的持續增長。

本文內容中，"在線IP"指的是，對互聯網開放某個端口提供某種協議服務的IPv4地址。

基于“動態測繪”的理念，無論是低頻測繪數據還是高頻測繪數據，都可以進行分析和解讀，去提煉獲取不同維度的更多知識。低頻測繪數據，適合持續時間較長的事件和跨度時間較長的分析需求；高頻測繪數據，適合熱點事情發生之后的分析需求。

筆者認為，近些年在多個行業中，熱點事件發生之后，針對特定區域的高頻測繪（測繪周期為天，甚至更短）和測繪數據分析的需求，會不斷增多。

二．動態測繪理念的實踐應用

黑哥在《談談針對現實戰爭中戰場的網絡空間測繪》[1] 中提到：“早在1999年科索沃戰爭期間來自美國貝爾實驗室的Steven Branigan 和 Bill Cheswick在1999年3月～7月初針對南斯拉夫的網絡拓撲進行每日不間斷的測繪，從IP的“不斷消失或者重現”的狀態來驗證、核實戰爭中軍事打擊對網絡的摧毀程度及戰后網絡恢復狀況的嘗試 [2] 。這是我看到最早通過網絡空間測繪技術在戰爭針對戰場的測繪相關的工作，顯然那個時候還沒有shodan也還沒有ZoomEye。”

ZoomEye團隊將該這種“動態測繪”的理念進行了多次實踐應用：

《一洞觀全球：看各國網絡戰防御能力》[3] ，在“心臟出血”漏洞爆發后的前三天，針對全球網絡空間進行了動態測繪，得到全球各國的漏洞修復速度，反映了各國在抵御重要網絡威脅、應急重要網絡事件時的反應能力。
《ZoomEye網絡空間測繪——委內瑞拉停電事件對其網絡關鍵基礎設施和重要信息系統影響》[4] ，通過在大規模停電事件期間對影響地區進行動態測繪，反映出該事件的進展，以及該事件對網絡關鍵信息基礎設施的影響。
《網絡空間視角下的哈薩克斯坦動亂》[5] ，對哈薩克斯坦全境進行高頻的動態測繪，觀察網絡切斷和恢復期間的網絡在線IP數量，從而感知各個城市的動亂爆發和平息情況。
《ZoomEye賽博空間測繪，撥開俄烏戰爭迷霧》 [6] ，對烏克蘭戰場的網絡時空數據的特征進行動態測繪及分析，通過網絡空間時空數據動態變化來反映本次武裝沖突的進程中的戰場變化，也能找到對俄羅斯使用的戰略、戰法、戰術特點的網絡空間時空數據的特點映射，當然也包括對戰場戰損的評估等。

以上這些實際案例，是ZoomEye團隊在熱點事件發生后，針對特定區域進行周期為天（甚至更短）的高頻測繪，進而通過各種數據挖掘分析手段發現不同維度的知識，踐行了“動態測繪”的理念。

然而，受限于測繪資源，目前沒有任何一家網空測繪平臺可以做到對全球網絡空間持續進行周期為天的高頻測繪。那么基于網空測繪平臺日常相對低頻的測繪數據，是否也可以通過分析挖掘解讀出內容呢？

本文中，我們基于ZoomEye平臺近些年的歷史測繪數據，以自然月為周期，數據時間跨度拉長為2018年至2022年，在相對低頻的測繪數據中去篩選特定時間特定區域的數據，進行分析和解讀。

三．窺探全球斷網事件

全球歷史上發生過多起斷網事件，原因多種多樣，可能是：自然災害、電力故障、光纜破損、網絡設備故障、人為干擾破壞、政府管控、網絡運營商技術故障等。我們挑選3種類型的斷網事件，嘗試使用低頻的歷史測繪數據去感知印證。

3.1 印度查謨和克什米爾邦

印度是全球斷網事件高發國家之一。由于政治因素，查謨和克什米爾邦發生的斷網次數是印度最多的，曾發生過一次長達552天的斷網事件 [7]。

2019年8月5日，印度政府撤銷了《印度憲法》第370條賦予查謨和克什米爾邦的特殊地位和自治權。此舉隨即在喀什米爾引發了大規模抗議，印度政府切斷了該邦網絡，并部署了上萬的安全部隊 [8] [9] 。
2020年1月25日，該邦恢復了2G服務，但只有列入大約300個白名單內的網站可以訪問 [7] [10]。
直至2021年2月6日，該邦的網絡封鎖結束，包括4G在內的通信服務均恢復 [7] [9]。

2019年1月至2021年12月這3年間，印度查謨和喀什米爾邦的在線IP數量變化趨勢如下圖所示。通過觀察發現：

2019年8月，該邦在線IP數量陡降；2019年9月至12月這4個月的在線IP數量均為0。該變化趨勢與8月5日印度政府切斷該邦網絡事件的時間點相吻合。
2020年1月至2021年2月期間，該邦在線IP數量不再是0，有所回升但沒有達到斷網事件之前的在線IP數量級別。這是因為2020年1月份起，雖然該邦恢復了部分網絡，但是網絡訪問仍然是受白名單限制的。
2021年3月開始，該邦在線IP數量陡增，并且達到斷網事件之前的在線IP數量級別。說明該邦的網絡封鎖已經結束，網絡通信服務恢復正常。

圖3-1 查謨和克什米爾邦在線IP數量變化趨勢

序號 1 代表在線IP數量降為0；序號 2 代表在線IP數量回升，但未達到斷網之前的數量級別；序號 3 代表在線IP數量回升至斷網之前的數量級別。

3.2 乍得

乍得是非洲中部的一個內陸國家。從 2018 年 3 月到 2019 年 7 月，其政府封鎖了國家對 Facebook、Twitter、WhatsApp、Instagram 和 YouTube 等社交網絡的訪問，為期 16 個月 [11]。

我們觀察2017年1月至2019年12月這3年間，乍得的在線IP數量變化趨勢，發現：在斷網的16個月時間內，乍得的在線IP數量并未減少，反而呈現緩慢上升趨勢。

這說明：針對封禁社交網絡的這類斷網事件，由于其在線網絡資產并未發生變化，所以無法利用網絡空間測繪數據去反映事件的發展。

圖3-2 乍得在線IP數量變化趨勢

3.3 技術故障引發的短時間斷網

歷史上，多個國家發生過由于網絡運營商技術故障引發的斷網事件，例如2019年澳大利亞斷網事件 [12] 、2020年英國多地大面積斷網事故 [13] 等，網絡運營商都能在較短時間內（通常是幾個小時內）恢復技術故障，恢復網絡正常運行。

這類斷網事件中，網絡受影響的時間段僅僅是幾個小時，而以自然月為周期的低頻測繪數據是無法感知到如此短時間段的數據變化。因此，這類技術故障引發的短時間斷網事件，低頻的測繪數據是無法感知到的，只有通過高頻的測繪數據方可感知事件的發生。

四．國家級動態測繪數據分析

本章節，我們以自然月為周期，統計國家在線IP數量占全球在線IP數量的比例。并且挑選數個國家，查看其近五年間的在線IP數量占全球比例的變化趨勢。

注：ZoomEye網絡空間搜索引擎隨機針對全球IP地址進行測繪，所以會存在某個自然月某個國家的測繪結果數據突變（增大或減小）的情況。在本章節，我們不去關注單個自然月的數據突變，也不去關注絕對數量，而是關注：近五年間，國家在線IP數量占全球比例的整體變化趨勢。

4.1 排名前二十國家

我們選取2022年在線IP數量全球排名前二十的國家，統計這二十個國家在線IP數量占全球比例的總和，其變化趨勢如下圖所示。

注：2022年在線IP數量全球排名前二十的國家是：美國、中國、德國、英國、韓國、日本、巴西、俄羅斯、意大利、印度、加拿大、法國、澳大利亞、荷蘭、阿根廷、西班牙、越南、新加坡、墨西哥、愛爾蘭。

近五年間，這二十個國家在線IP數量總和占全球的比例，絕大多數位于84%-86%區間，整體上該比例數據是平穩的。說明這五年間，頭部國家與其他國家的互聯網發展水平差距，基本不變。

圖4-1 TOP20國家在線IP數量占全球比例的近五年變化趨勢

4.2 美國

美國作為全球的超級大國，其在線IP數量占全球比例的變化趨勢如下圖所示。

近五年間，美國在線IP數量占全球的比例位于25%-37%之間，位列全球所有國家的第一位，這個數值可以直觀反映出美國互聯網發展水平高于全球其他國家。

我們通過觀察變化趨勢發現：2018年1月至2019年8月間，美國在線IP數量占全球的比例均高于30%；2019年9月至2022年12月間，該比例均低于30%。這個變化趨勢，不能表示美國的互聯網發展水平在下降；但可以說明，相比較而言，全球其他國家的互聯網發展水平相對在提升，與美國的差距在縮小。

圖4-2 美國在線IP數量占全球比例的近五年變化趨勢

序號 1 代表2018年1月至2019年8月，比例均高于30%；2019年9月至2022年12月，比例均低于30%

4.3 中國

中國作為全球第二大經濟體，其在線IP數量占全球比例的變化趨勢如下圖所示。

近五年間，中國在線IP數量占全球的比例位于9%-15%之間，位列全球所有國家的第二位，僅次于美國。

我們通過觀察變化趨勢發現：近五年間，中國在線IP數量占全球的比例平穩中有小幅提升，這說明中國的互聯網發展水平穩中有升。

圖4-3 中國在線IP數量占全球比例的變化趨勢

4.4 印度

印度作為近些年互聯網市場增長較快的國家之一，其在線IP數量占全球比例的變化趨勢如下圖所示。

印度在線IP數量占全球的比例，與美國和中國相比還有較大差距，這與印度互聯網發展起步相對較晚有關。

我們通過觀察變化趨勢發現：2018年期間，印度在線IP數量占全球的比例均低于1%；2019年至2022年上半年，該比例位于1%和2%之間；2022年下半年，該比例均高于2%。這個持續上升趨勢，顯著的反映出印度互聯網發展水平的持續增長。

圖4-4 印度在線IP數量占全球比例的變化趨勢

4.5 印度尼西亞

印度尼西亞作為東南亞GDP排名第一的國家，其在線IP數量占全球比例的變化趨勢如下圖所示。

近些年，印度尼西亞的互聯網、云計算迅猛發展，互聯網流量在2020年全年增長了20% [14] 。這與近五年間該國在線IP數量占全球比例持續上升的表現一致。

該國在2021年發布了《2021—2024年印度尼西亞數字路線圖》，加速促進經濟、教育、金融、交通醫療等領域數字化轉型，以實現數字經濟的包容性發展 [15] 。相信在未來幾年內，該國在線IP數量占全球比例仍然會持續上升。

圖4-5 印度尼西亞在線IP數量占全球比例的變化趨勢

4.6 愛爾蘭

愛爾蘭作為近些年經濟增速較快的國家之一，其在線IP數量占全球比例的變化趨勢如下圖所示。

我們通過觀察變化趨勢發現：該國在線IP數量占全球比例是持續上升趨勢。

2021年愛爾蘭的GDP為5042億美元，其數字經濟規模2680億美元，占GDP比例為53%，與其他國家進行橫向比較，愛爾蘭的數字經濟規模占GDP比例是非常高的。由于愛爾蘭公司稅率很低，所以很多跨國公司把總部或者歐盟總部都設立在這里以進行合理避稅，例如蘋果、微軟等IT巨頭就將其歐盟總部設在愛爾蘭；其軟件行業已成為整個歐洲地區的標志性產業之一 [16] 。這些是近些年愛爾蘭在線IP數量持續增長的原因之一。