2020年8月2日,由国家互联网信息办公室指导,国家计算机网络应急技术处理协调中心(CNCERT/CC)主办的2020中国网络安全年会在网上成功召开。近日,2020年中国网络安全年会论文选集正式对外发布。该选集是从58篇提交的论文里最终选取了17篇论文,内容覆盖访问控制、密码学、拒绝服务攻击、硬件安全实施、入侵/异常检测和恶意软件缓解、社交网络的安全性和隐私、系统安全等多个领域。
其中由国家计算机网络应急技术处理协调中心李锐光博士主导及北京理工大学多名作者联合发表的论文《A Survey on Cyberspace Search Engines》(《网络空间搜索引擎技术调研》),以独立第三方的视角针对包括由知道创宇自主研发的网络空间搜索引擎ZoomEye(“钟馗之眼”)在内的全球五个知名搜索引擎开展了综合调研与技术分析,详细对比讨论了支持协议数量、探测设备总量、设备属性体系、扫描频率、系统架构、第三方数据库、探测点分布等情况。从该论文中测试数据中,可以看出ZoomEye在多个指标上表现优异,甚至远超国际知名的网络空间搜索引擎。
①以550支持协议数,全球遥遥领先
掌握各种类型的互联网协议格式,是网络空间搜索引擎开展探测的基础,也是其探测能力的重要体现。在支持协议上,ZoomEye总数量高达550,约3倍于Shodan支持协议数量。
(表1 支持协议数量对比 )
② 12亿,世界最强设备探测能力
论文在支持协议数量分析基础上,调研了各搜索引擎可探测设备总量。Shodan 的设备统计数据来源于官网查询工具 cli.shodan.io ,ZoomEye设备统计数据则来源于官网。对比来看,ZoomEye可探测设备达12亿,而Shodan仅为4.3亿。在 “设备探测能力” 上,ZoomEye领先世界。
(表2 可探测设备总量对比 )
ZoomEye作为中国最早的网络空间搜索引擎,于2013年正式对外发布,通过不断技术积累及持续打磨,显然已成长为国际网络空间测绘领域的领导者。就在2020年7月ZoomEye作为唯一中国产品荣登“全球25大OSINT榜”,并被评选为全球安全研究者使用的最好的9大搜索引擎之一。
知道创宇长期布局深耕网络空间搜索引擎领域,成为 “实至名归” 的王者,打造了一系列从公网全球测绘到企业内网资产测绘,从IPv4及域名到IPv6及暗网全方位覆盖完整的测绘体系及产品解决方案。
当然,网络空间测绘领域是一个很庞大的研究领域,我们需要持续加大投入,改进优化我们的测绘技术及能力。我们也注意到在该论文里针对ZoomEye的部分端口协议探测频率低及缺少节点分布数据的情况,并作了认真复盘分析:据查该论文数据分析采集是在2019年下半年左右完成的,由此针对2019年的80端口历史数据(可通过ZoomEye提供的历史数据API接口进行自主查询)进行了随机抽查发现我们80端口的扫描频率大概30-60天左右。当然这个数据也跟国际知名搜索引擎存在一定的差距,我们认为跟ZoomEye采取随机扫描算法、协议覆盖过多、探测节点数量等息息相关。就探测节点分布的问题,我们也注意到原论文里采用了GreyNoise及BinaryEdge, 通过蜜罐及流量识别等手段分析抓取标注的搜索引擎探测点数据进行参考分析,很多ZoomEye的节点没有被发现或者标注,这跟我们在重点加大了扫描探测架构及相关技术改进及优化,从而减少被识别标注的风险相关。
其实,在2019年8月24日举办的KCon 2019安全大会上,ZoomEye项目总负责人周景平(黑哥)发表的“打造世界领先网络空间测绘能力”的主题演讲中,黑哥便已经给出了具体的数据对比:
并正式宣布推出ZoomEye 全球500节点计划:
到目前为止,我们已经进一步扩张我们的节点数量,这个依靠于我们Xmap2.0简单通用部署的机制可以随意变动我们的节点分布,这也是我们的探测节点不容易被识别标注的原因之一!
我们很高兴也很激动看到这种对我们工作的认可,在网络空间测绘这条路上,我们必然会继续前行打造世界持续领先的网络空间测绘技术及能力。“侠之大者,为国为民”,与君共勉!