安全問題無處不在，任何網(wǎng)絡都存在安全隱患。在威脅存在的情況下，建立一個具備可以追蹤目標、追溯威脅源頭、查找安全隱患、布置防御制高點、控制隱患發(fā)生、利用信息獲取利益等特點的Treasure Map(藏寶圖系統(tǒng))是至關(guān)重要的。這樣的網(wǎng)絡系統(tǒng)不僅能夠?qū)⑺芯W(wǎng)絡終端聯(lián)系在一起，能夠查找網(wǎng)絡漏洞、威脅隱患以防御敵手攻擊，還能進行信息搜索。Treasure Map是建立在全球互聯(lián)網(wǎng)基礎(chǔ)上，利用各個網(wǎng)絡結(jié)點信息，集中網(wǎng)絡邏輯層，匯聚數(shù)據(jù)源，監(jiān)測物理路由器及用戶服務器，旨在尋找和防范安全隱患結(jié)點及對象，并能夠獲取利益的網(wǎng)絡應用系統(tǒng)。

在如今全球網(wǎng)絡互聯(lián)通訊的形勢下，數(shù)據(jù)來源可以是專門學術(shù)研究者的學術(shù)研究、利于商業(yè)用途的數(shù)據(jù)信息以及通訊信息和信息保障等?？梢詮膿碛泻芏嘤脩羧后w的多樣網(wǎng)絡中獲得信息，如聯(lián)合全球情報通信系統(tǒng)(Joint Worldwide Intelligence Communications System)。大數(shù)據(jù)量的更新以每天30GB的速度進行，新的操作功能也會不斷更新。而Treasure Map應用系統(tǒng)是具備收羅大量信息數(shù)據(jù)、處理海量數(shù)據(jù)及發(fā)現(xiàn)有效資源以實施應對措施的有利工具。Treasure Map具有大量的因特網(wǎng)網(wǎng)絡映射，開發(fā)以及分析引擎，還具備包裝化的寶物，即全球分發(fā)的路由追蹤發(fā)動器，這些都為搜集準確、及時、有效的信息數(shù)據(jù)提供良好的保障。

1.Treasure Map介紹

2014年9月，網(wǎng)易科技引用《明鏡周刊》指出Treasure Map是能夠進行實時交互的全球網(wǎng)絡系統(tǒng)，能夠在任何時間和地點連接整個因特網(wǎng)的全球網(wǎng)絡。在這樣的定義之下，我們能夠完成諸多意義重大的任務，包括我們自身和敵手的網(wǎng)絡局勢分析，構(gòu)建常見操作圖，進行計算機攻擊和網(wǎng)絡偵測及有效措施的實效性判斷。這種網(wǎng)絡的缺點在于其可利用性及有效性數(shù)據(jù)是有限的，從而增大了數(shù)據(jù)利用的難度。

圖1 全球網(wǎng)絡圖

如圖1所示全球網(wǎng)絡圖，我們所能操作的網(wǎng)絡層為個人層和網(wǎng)絡個人層，而我們的任務層是物理網(wǎng)絡層和地理層。而連接網(wǎng)絡個人層和物理網(wǎng)絡層的是邏輯層， Treasure Map主要存在于紅色的網(wǎng)絡邏輯層，我們通過建立和部署Treasure Map來操縱和控制物理網(wǎng)絡層和地理層，Treasure Map恰可以使得我們完成任務成為可能。

Treasure Map網(wǎng)絡系統(tǒng)實施的操作對象是數(shù)據(jù)源，而數(shù)據(jù)源的得來是靠公開資源情報計劃(簡稱OSINT，是美國中央情報局(CIA)的一種情報搜集手段，從各種公開的信息資源中尋找和獲取有價值的情報)，這里包含商業(yè)應用數(shù)據(jù)也包含專門學者的學術(shù)研究，這些數(shù)據(jù)源可滿足商業(yè)需求、信息保障，有些還是通訊情報。公開資源情報計劃的數(shù)據(jù)來源還包括用戶注冊表、DNS(Domain Name System，域名系統(tǒng))和操作系統(tǒng)指痕(網(wǎng)絡裝置的軟件和操作系統(tǒng)特性)。

使用這個系統(tǒng)的用戶包括美國國家安全局、美國國防部、“五眼”情報聯(lián)盟(簡稱FVEY，由美國、英國、澳大利亞、加拿大和新西蘭的情報機構(gòu)組成。這五個國家組成的情報間諜聯(lián)盟內(nèi)部實現(xiàn)互聯(lián)互通情報信息，竊取來的商業(yè)數(shù)據(jù)在這些國家的政府部門和公司企業(yè)之間共享)、聯(lián)合全球情報通信系統(tǒng)用戶，該網(wǎng)絡系統(tǒng)可謂包含面之廣。該系統(tǒng)是不斷更新的，官方指出每90天提交新的功能，此外從數(shù)據(jù)量上講當前的狀態(tài)的強大之處在于每天有30GB的數(shù)據(jù)添加和替換進去。

2.Treasure Map框架簡介

如圖2所示網(wǎng)絡知識圖譜，圖中我們可以看到各個網(wǎng)絡節(jié)點之間的關(guān)系，黃色的鏈接表示數(shù)據(jù)類型間的直接關(guān)聯(lián)，從中我們可以獲得數(shù)據(jù)間的追蹤信息。Border Gateway Protocol (BGP)是一種標準的建立在自治系統(tǒng)Autonomous Systems(AS)之間，進行交換路由和可達性信息的外部網(wǎng)關(guān)協(xié)議。IP Geolocation是一種存儲地理IP的IP庫，由IP Geolocation可以定位一個IP地址的國家位置。OS Fingerprints表示操作系統(tǒng)的特征，例如Window XP、Windows NT等。Trace routes是一種網(wǎng)絡工具，測試網(wǎng)絡達到的狀況。Router configurations Files是路由器配置文件。IP Prefix為IP地址前綴。Mac Address(Media Access control Address )為連接通訊的物理網(wǎng)段分配給網(wǎng)路接口的一種唯一標識符。Domain Names表示辨識網(wǎng)絡的唯一標識符。AS Owner表示自治系統(tǒng)的擁有者。SIGAD/CASN指信號情報活動指示器，標識信號情報和情報相關(guān)集合，可以認為是情報基地。簡單的數(shù)據(jù)關(guān)系為一個路由與一個IP地址關(guān)聯(lián)，而IP地址可以通過ARP協(xié)議找到對應的Mac Address，一個IP地址屬于一個網(wǎng)段，通過DNS協(xié)議和域名對應，通過IP Geolocation可以定位IP的國家位置，而AS是IP路由前綴的集合，由此可以判斷路由從屬于哪個AS系統(tǒng)。

圖2網(wǎng)絡知識圖譜

3.Treasure Map工作區(qū)

表2.1表示Treasure Map工作區(qū)，由此表我們可以看出Treasure Map工作面板中的內(nèi)容及其功能，此外我們還可以知道Treasure Map的搜索項目，包含了通過搜索IP地址獲得其他重要網(wǎng)絡信息的重要功能。

圖3 Treasure Map用戶界面

如圖3所示Treasure Map的用戶界面，由此圖我們可以看到數(shù)據(jù)的傳輸過程，具體包含追蹤路由的基礎(chǔ)設(shè)施、結(jié)點詳細內(nèi)容彈出、結(jié)點聚類、表格信息、總結(jié)信息。圖4表示Treasure Map的用戶網(wǎng)站界面，里面包括基于文本的問題查詢、視頻指導、網(wǎng)上在線幫助及新的功能更新。通過此界面可以了解Treasure Map并下載相應軟件。

圖4 Treasure Map用戶網(wǎng)站界面

4.總結(jié)

美國國家安全局和中央安全服務威脅操作中心技術(shù)發(fā)展報告指出，安全問題無處不在，安全隱患也無處不在。Treasure Map應用系統(tǒng)是具備收羅大量信息數(shù)據(jù)、處理海量數(shù)據(jù)及發(fā)現(xiàn)有效資源以實施應對措施的有利工具。我們可以通過藏寶圖(Treasure Map)計劃實現(xiàn)諸多安全防范、達到性能保障目的、滿足獲取利益需求。

【本文為51CTO專欄作者“中國保密協(xié)會科學技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文