路径: 主页 > GB/T > 第224页 > GB/T 45407-2025 | 标准编号 | GB/T 45407-2025 (GB/T45407-2025) | | 中文名称 | 信息技术 网络空间地图 | | 英文名称 | Information technology - Cyberspace map | | 行业 | 国家标准 (推荐) | | 中标分类 | L70 | | 国际标准分类 | 35.240 | | 字数估计 | 18,118 | | 发布日期 | 2025-03-28 | | 实施日期 | 10/1/2025 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45407-2025: 信息技术 网络空间地图
ICS 35.240
CCSL70
中华人民共和国国家标准
信息技术 网络空间地图
2025-03-28发布
2025-10-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 网络空间坐标系 2
5.1 构建原则 2
5.2 基向量选择 2
5.3 种类 2
6 网络空间地图要求 5
6.1 概述 5
6.2 比例尺 5
6.3 专题地图 6
附录A(规范性) 网络空间坐标系映射算法 8
A.1 基于希尔伯特曲线将互联网地址映射到二维坐标(X,Y)的算法 8
A.2 基于希尔伯特曲线将自治系统编号映射到二维坐标(X,Y)的算法 8
A.3 自治系统编号-互联网地址分配时间序列三维坐标系第三维坐标向量(Z轴)映射算法 9
参考文献 10
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本文件起草单位:清华大学、中国电子技术标准化研究院、北京中关村实验室、泉城省实验室、
中国人民解放军战略支援部队信息工程大学、中国电子科技集团公司第三十研究所、中国科学院信息工
程研究所、华为技术有限公司、三六零数字安全科技集团有限公司、贵州图智信息技术有限公司、北京神
州绿盟科技有限公司、中移系统集成有限公司、北京水木网景科技有限公司。
本文件主要起草人:王继龙、喻涛、庄姝颖、安常青、周鸿祎、缪葱葱、张晗、李亚慧、张群、王为中、
张超超、李冰、申中一、郭建军、韩尚滨、周杨、江南、胡校飞、张衡、施群山、陈剑锋、孙治、李志、张卫东、
闫兆腾、王兰、韩宇菲、于文燕、朱姝睿、陈双龙、谢乐权、范大卫、杜跃进、姜思红、李晗、张建新、范敦球、
刘文懋、黄勇、申朝永、李永松、王静、刘紫君、李华。
引 言
网络空间作为人类继海、陆、空、天之后的第五疆域,已成为承载政治、军事、经济、文化的全新空间。
本文件旨在确立信息技术网络空间地图的网络空间坐标系和网络空间地图绘制的基本准则,为网络空
间资产管理、性能监控、态势感知、网络安全等多种场景的精准感知和整体呈现提供指导。
信息技术 网络空间地图
1 范围
本文件确定了网络空间坐标系和网络空间地图。
本文件适用于网络空间地图的测量和绘制等活动。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
网络空间 cyberspace
由网络、服务、系统、人员、流程、组织以及驻留或穿越数字环境事物构成的互联数字环境。
注:网络空间主要依托在互联网、电信网以及各种控制系统和设备等信息通信技术基础设施载体上。
[来源:ISO/IEC TS27100:2020,3.5,有修改]
3.2
网络空间资源 cyberspaceresource
在网络空间(3.1)中,使用网络测量手段,能探测和感知的目标。
示例:基础设施、应用服务、数据资源等。
3.3
为网络空间资源(3.2)要素赋予坐标的数学规则集。
注:即网络空间资源要素的定位参照系统。
[来源:GB/T 30170-2013,4.10,有修改]
3.4
网络空间地图 cyberspacemap
以网络空间坐标系(3.3)为基础,依据一定的绘制法则,使用制图方法,表达网络空间资源(3.2)位
置及其属性信息的工具。
3.5
网络空间地图比例尺 cyberspacemapscale
制图对象所表示的网络空间对象的粒度。
4 缩略语
下列缩略语适用于本文件。
AS 自治系统(AutonomousSystem)
5 网络空间坐标系
5.1 构建原则
网络空间坐标系的构建原则如下。
a) 正交性:网络空间坐标系的基础坐标向量(以下简称基向量)之间互不依赖,沿着某一向量移
动,该向量投影到另一向量上的位置不变。
b) 恒定性:在同一组坐标系映射参数下,网络空间在坐标系的映射下具有恒定的坐标,不因网络
空间环境的变化而改变。
c) 可伸缩性:网络空间坐标系能通过坐标系映射参数的不同设置,实现对不同层次的网络空间资
源要素的表达。
5.2 基向量选择
网络空间坐标系采用互联网地址、逻辑端口、自治系统编号等恒定编号系统作为基向量。
网络空间坐标系里的互联网地址、逻辑端口、自治系统编号等基向量的表述应按照互联网协议中关
于互联网地址、逻辑端口、自治系统编号等规定,例如IPv4地址长度固定为32位,IPv6地址长度固定
为128位,逻辑端口长度固定为16位,自治系统编号长度固定为16位或32位。
此外,各应用领域可根据特有的可视化需求,设计合适的网络空间坐标系基向量并给出相应的基向
量表述规定。
5.3 种类
5.3.1 互联网地址二维坐标系
互联网地址二维坐标系是网络空间坐标系的一种,其采用互联网地址作为基向量,采用希尔伯特空
间填充曲线作为坐标系映射方法,以实现低维空间和高维空间之间的关联映射,将一维互联网地址映射
到网络空间坐标系中的二维平面。
空间填充曲线值域覆盖了高维空间每一点,通常是单位正方形。希尔伯特曲线作为空间填充曲线
的一种,能很好地满足地图的区域性、聚合性特点,使得一维空间中的局部性可保持在二维空间中,且相
邻的互联网地址在二维空间中也相邻,保留互联网地址聚合成块的特性,呈现出地图区域性。
按照附录A的A.1确定的算法将互联网地址映射到二维坐标(X,Y),其中,X 轴坐标和Y 轴坐标
共同确定互联网地址。
示例:以可视化整个IPv4空间为例,IPv4空间共有232=216×216个互联网地址,无类别域间路由(CIDR)是一个按
位的、基于前缀的、用于解释互联网地址的标准。若在二维空间中呈现所有前缀长度是8的CIDR地址块(以下简称/8
地址),即每个坐标(X,Y)表示一个/8地址,可采用4阶希尔伯特曲线表示(即n=4),画布大小为24×24,如图1所
示,图中每个坐标标识一个/8地址中前8位(网络地址部分)的十进制。若要在二维空间中可视化IPv4空间中所有前缀
长度是24的CIDR地址块(以下简称/24地址),即每个坐标(X,Y)表示一个/24地址,可采用12阶希尔伯特曲线进行展
示(即n=12),画布大小为212×212。类似地,IPv6空间可视化也可通过采用相同的映射算法构建不同尺度的互联网地
址二维坐标系实现。该二维坐标系可将网络空间定位到主机粒度。
图1 互联网地址二维坐标系示例
互联网地址二维坐标系构建的验证规则是检验每个互联网地址是否按照A.1确定的算法映射到
相应的二维坐标。
5.3.2 逻辑端口三维坐标系
逻辑端口三维坐标系也是网络空间坐标系的一种,由互联网地址和逻辑端口两个基向量构成,分别
涵盖地址空间和逻辑空间。
互联网地址和逻辑端口构成的坐标系如图2所示。其构建过程如下:
a) 按照A.1中希尔伯特坐标系映射算法,将互联网地址映射到二维坐标(X,Y),即X 轴坐标和
Y 轴坐标共同确定互联网地址;
b) 将逻辑端口作为第三维坐标向量与互联网地址构成的二维平面正交,并按照十进制大小从0
到65535递增排列,即每个三维坐标(X,Y,Z)表示一个互联网地址及其对应的一个逻辑
端口。
互联网地址作为基向量将网络空间定位到主机粒度;逻辑端口(port)则通常表示一个进程或者网
络服务,由长度为16的无正负号二进制数构成,其数量总共有216个。该逻辑端口三维坐标系能更细粒
度地定位网络空间相关的信息或服务。
图2 逻辑端口三维坐标系
逻辑端口三维坐标系构建的验证规则是检验每个互联网地址是否按照A.1确定的算法映射到相
应的二维坐标,以及逻辑端口是否按照十进制从小到大的递增顺序映射到第三维坐标。
5.3.3 自治系统编号二维坐标系
自治系统编号坐标系也是网络空间坐标系的一种,适用于展现AS粒度的网络空间信息。自治系
统作为一个管理机构控制之下的网络和互联网地址的集合,相当于地理空间中的国家概念,是网络空间
域间业务往来和通信的基本单位。自治系统编号二维坐标系以自治系统编号为基向量,采用希尔伯特
映射算法将指定范围内的一维自治系统编号映射到二维坐标空间。
按照A.2规定的算法将自治系统编号映射到二维坐标(X,Y),其中,X 轴坐标和Y 轴坐标共同确
定自治系统编号。当指定要展示的自治系统编号范围为[0,22n-1],其采用的希尔伯特曲线阶数为n。
图3分别展示了指定自治系统编号范围为[0,3],[0,15],[0,63]映射得到的自治系统编号二维坐标系
示例,其中每个坐标表示一个自治系统编号。该坐标系直观表示AS粒度的网络空间信息。
a) n=1 b) n=2 c) n=3
图3 自治系统编号二维坐标系示例
自治系统编号二维坐标系构建的验证规则是检验每个自治系统编号是否按照A.2确定的映射算
法映射到相应的二维坐标。
5.3.4 自治系统编号-互联网地址分配时间序列三维坐标系
自治系统编号-互联网地址分配时间序列三维坐标系也是网络空间坐标系的一种,由自治系统编
号和互联网地址分配时间序列两个基向量构成,在自治系统编号二维坐标系的基础上,添加AS下的互
联网地址分配时间序列作为第三维坐标向量与之正交,构建三维网络空间坐标系。该坐标系反映
AS粒度的网络空间信息,细化呈现网络空间信息通信的关键属性,即互联网地址信息,支持对AS下的
互联网地址进行分析和映射。
自治系统编号-互联网地址分配时间序列三维坐标系如图4所示,其中X 轴坐标和Y 轴坐标共同
确定自治系统编号。在自治系统编号二维坐标系的基础上,将该AS下的互联网地址分配时间序列作
为第三维坐标向量与自治系统编号正交,正方向表示序列递增,每个三维坐标(X,Y,Z)表示一个
AS下的一个互联网地址,其中第三维坐标向量(Z 轴)映射算法按照 A.3确定。该坐标系直观表示
AS粒度和主机粒度的网络空间信息。
图4 自治系统编号-互联网地址分配时间序列三维坐标系
自治系统编号-互联网地址分配时间序列三维坐标系验证规则是检验每个自治系统编号是否按照
A.2确定的算法映射到相应的二维坐标,以及AS下的互联网地址是否按照A.3中Z 轴映射算法映射
到第三维坐标。
6 网络空间地图要求
6.1 概述
网络空间地图遵循相应的法则将网络空间资源要素信息,通过科学的概括并采用符号系统表示在
网络空间坐标系上,以传递其数量和质量在空间和时间上的分布规律和发展变化。
为了表达丰富的网络空间信息,通过确定网络空间地图比例尺,支持网络空间的多尺度呈现;通过
确定部分网络空间专题地图,在网络空间坐标系的基础上叠加多个图层,展现不同的网络空间视图,并
可进一步根据实际应用需要对网络空间专题地图进行扩展。
6.2 比例尺
多尺度表达是人类由远及近认知空间信息的基础。网络空间地图具备对海量资源要素在不同尺度
下的定位和表达能力。网络空间地图比例尺用于实现不同尺度下不同网络空间资源的分层可视化,应
实现从自治域资源,到某一自治域下的大型网络,再到小型网络、子网以及细粒度的互联网地址资源定
位、描述与搜索,体现网络空间的层次结构,满足不同用户的可视化需求。
IPv4网络空间地图比例尺和IPv6网络空间地图比例尺如表1所示,其中网络空间地图比例尺是
互联网地址二维坐标系中每个坐标(X,Y)所表示的CIDR地址块和构建相应的二维坐标系所采用的希
尔伯特映射算法的阶数n。
表1 网络空间地图比例尺
IPv4网络空间地图比例尺 IPv6网络空间地图比例尺 网络空间地图标注信息
/16(n=8)/32(n=16) 自治域
/20(n=10)/48(n=24) 大型网络
/24(n=12)/56(n=28) 小型网络
/28(n=14)/64(n=32) 子网(局域网、物联网、组织机构)
/32(n=16)/128(n=64) 互联网地址及属性(端口、服务、链路、终端节点等)
6.3 专题地图
6.3.1 资源地图
网络空间资源地图是对网络空间资源要素的总体描述和展示,主要建立在互联网地址二维坐标系
的基础上,按照6.2确定的网络空间地图比例尺,进行不同伸缩尺度下的地图呈现。资源地图应主要包
括以下展示尺度。
a) 自治域:在地图中显示各自治域的信息,包括自治域名称、管理机构、所属国家、平均网速、所含
机构和互联网地址数量等。可按照自治域名称、互联网地址、机构名称、国家名称等进行搜索。
b) 大型网络:在地图中显示大型网络对应的详细信息,包括大型网络名称、包含的小型网络数量、
活跃互联网地址数量、设备类型分布、操作系统分布、应用数量及流量统计分布、大型网络的历
史统计信息等。可按照大型网络名称、互联网地址、日期时间等进行搜索。
c) 小型网络:在地图中显示小型网络对应的详细信息,包括小型网络名称、包含的子网数量、活跃
互联网地址数量、设备类型分布、操作系统分布、应用数量及流量统计分布、小型网络的历史统
计信息等。可按照小型网络名称、互联网地址、日期时间等进行搜索。
d) 子网:在地图中显示子网对应的详细信息,包括子网名称、包含的活跃互联网地址数量、设备类
型分布、操作系统分布、应用数量及流量统计分布、子网的历史统计信息等。可按照子网名称、
互联网地址、日期时间等进行搜索。
e) 互联网地址:在地图中显示互联网地址对应的详细信息,包括互联网地址对应的设备类型、操
作系统、应用、对应的流量、互联网地址的历史统计信息等。可按照互联网地址、设备类型、操
作系统、应用名称、日期时间等进行搜索。
网络空间资源地图验证规则是检验是否按照6.2确定的网络地图比例尺在不同尺度下的互联网地
址坐标系中依次展示自治域、大型网络、小型网络、子网、互联网地址等详细信息。
6.3.2 拓扑地图
网络空间拓扑地图是对互联网拓扑的描述与展示,反映网络拓扑的发展变化以及动态规律,主要建
立在自治系统编号二维坐标系的基础上。
在自治系统编号坐标系中,对于建立连接关系的自治域,应采用飞线表示它们之间的连接关系。自
治域之间的连接关系分为三种。
a) 提供者-客户:前者为后者的互联网传输服务提供者,后者为前者的客户。
b) 对等体-对等体:两个自治域互为对等关系。
c) 客户-提供者:前者为后者的客户,后者为前者的互联网传输服务提供者。
提供者-客户和客户-提供者关系的连接,采用单箭头方式表示,箭头指向客户。对等体-对等体
关系的连接,则采用双箭头方式表示。
网络空间拓扑地图验证规则是检验是否在自治系统编号二维坐标系的基础上采用不同形式的飞线
表示自治域之间不同类型的连接关系。
6.3.3 流量地图
网络空间流量地图是对网络空间流量信息的描述与展示,反映网络空间中流量的分布规律及其相
互关系,主要建立在逻辑端口三维坐标系的基础上。
在逻辑端口三维坐标系中,应采用散点形式表示对应互联网地址的端口流量信息,散点大小代表流
量大小。该流量是该互联网地址的端口全部流量,或者特定应用流量。网络空间流量地图支持按照互
联网地址、应用名称、流量大小、日期时间等进行搜索。
网络空间流量地图验证规则是检验是否在逻辑端口三维坐标系中采用散点形式表示对应互联网地
址的端口流量信息。
6.3.4 安全地图
网络空间安全地图是基于网络空间地图对网络空间态势的描述与展示,建立在多种网络空间坐标
系的基础上,包括互联网地址二维坐标系、自治系统编号二维坐标系等。应采用飞线形式表示攻击事
件,并通过列表展示安全威胁、攻击事件、异常行为等具体信息,支持按照攻击类型、攻击时间等进行
搜索。
网络空间安全地图验证规则是检验其是否在网络空间坐标系中显示异常行为和事件,以及是否采
用飞线和列表的形式表示具体信息。
附 录 A
(规范性)
网络空间坐标系映射算法
A.1 基于希尔伯特曲线将互联网地址映射到二维坐标(X,Y)的算法
下面给出基于希尔伯特曲线将互联网地址映射到二维坐标(X,Y)的算法。
a) 算法一:IP2xy(IP,IPB,n)
其中:
---IP是互联网地址中网络地址部分的十进制表示;
---IPB是IP的二进制表示IPB=(h2n-1h2n-2h1h0)2;
---n代表希尔伯特曲线阶数;
---输出Hout为映射的二维坐标。
1:Data={0,1,2,..,n-1}
2:< v0,v1 >=Rot(IPB,n,0)
3:foreachnumk∈Datado
4: xk=(v0,k×(~h2k))v1,kh2k+1
5: yk=(v0,k|h2k)v1,kh2k+1
6:Hout=< x,y >=< (xn-1xn-2x0)2,(yn-1yn-2y0)2 >
7:returnHout
b) 算法二:Rot(IPB,n,k)
其中:
---IPB是互联网地址中网络地址部分的二进制表示IPB=(h2n-1h2n-2h1h0)2;
---n代表希尔伯特曲线阶数;
---k代表起始阶数。
1:Ifk==n
2: v0,n-1=0,v1,n-1=0
3:else
4: < v0,v1 >=Rot(IPB,n,k+1)
5: v0,k=v0,k+1h2k~h2k+1
6: v1,k=v1,k+1((~h2k)×(~h2k+1))
7:return< v0,n-1v0,n-2v0,0,v1,n-1v1,n-2v1,0 >
A.2 基于希尔伯特曲线将自治系统编号映射到二维坐标(X,Y)的算法
下面给出基于希尔伯特曲线将自治系统编号映射到二维坐标(X,Y)的算法。
a) 算法一:ASN2xy(ASN,ASNB,n)
其中:
---ASN是自治系统编号的十进制表示;
---ASNB是ASN的二进制表示ASNB=(h2n-1h2n-2h1h0)2;
---n代表希尔伯特曲线阶数;
---输出Hout为映射的二维坐标。
1:Data={0,1,2,..,n-1}
2:< v0,v1 >=RotAS(ASNB,n,0)
3:foreachnumk∈Datado
4: xk=(v0,k×(~h2k))v1,kh2k+1
5: yk=(v0,k|h2k)v1,kh2k+1
6:Hout=< x,y >=< (xn-1xn-2x0)2,(yn-1yn-2y0)2 >
8.returnHout
b) 算法二:RotAS(ASNB,n,k)
其中:
---ASNB是ASN的二进制表示ASNB=(h2n-1h2n-2h1h0)2;
---n代表希尔伯特曲线阶数;
---k代表起始阶数。
1:Ifk==n
2: v0,n-1=0,v1,n-1=0
3:else
4: < v0,v1 >=RotAS(ASNB,n,k+1)
5: v0,k=v0,k+1h2k~h2k+1
6: v1,k=v1,k+1((~h2k)×(~h2k+1))
7:return < ......
|