網(wǎng)絡(luò)空間測繪技術(shù)白皮書WhitePaperforCyberspaceMappingTechniques中關(guān)村實驗室清華大學國防科技大學遠江盛邦安全科技集團股份有限公司2025年7月 前 言前提和核心支撐。導，促進行業(yè)的健康與可持續(xù)發(fā)展。目 錄第一章引言 1背景與意義 1目標與范圍 2第二章網(wǎng)絡(luò)空間測繪的理論基礎(chǔ) 5網(wǎng)絡(luò)空間的定義與特性 5傳統(tǒng)測繪理論在網(wǎng)絡(luò)空間的應用與延伸 6網(wǎng)絡(luò)空間地圖與網(wǎng)絡(luò)空間坐標系 8第三章網(wǎng)絡(luò)空間測繪技術(shù)體系 11核心技術(shù) 11探測技術(shù) 11分析技術(shù) 19可視化技術(shù) 31平臺架構(gòu)設(shè)計 38分層架構(gòu)示例 38動態(tài)更新機制與實時性保障 40不同架構(gòu)的比較 41第四章國內(nèi)外研究與實踐進展 47國際動態(tài) 47相關(guān)國家網(wǎng)絡(luò)空間測繪項目簡介 47工業(yè)界平臺-國外情況 54國內(nèi)成果-學術(shù)研究 59“三層三空間映射”理論 59網(wǎng)絡(luò)空間主權(quán)框架 61中科院信工所的研究 62中科院地理所的研究 63哈爾濱工業(yè)大學的研究 65清華大學的研究 67國內(nèi)成果-工業(yè)界平臺 72知道創(chuàng)宇ZoomEye 72華順信安Fofa 744.3.3360Quake 77盛邦安全Daydaymap 80奇安信天眼 83綠盟科技網(wǎng)絡(luò)空間地形圖 87數(shù)智安安全測繪平臺 89第五章技術(shù)挑戰(zhàn)與未來趨勢 93當前技術(shù)挑戰(zhàn) 93數(shù)據(jù)規(guī)模與實時性矛盾 93隱蔽資產(chǎn)探測、虛假信息干擾、隱私合規(guī)風險 96云服務(wù)動態(tài)資源探測 98未來發(fā)展趨勢 1015.2.1技術(shù)融合 1015.2.2應用深化 104標準化建設(shè) 106面向新形態(tài)網(wǎng)絡(luò)空間的測繪 108第六章典型應用場景與案例 117攻防對抗支撐 117攻擊面管理（ASM） 1176.1.2防御案例 119國家安全與關(guān)鍵基礎(chǔ)設(shè)施保護 122國家級網(wǎng)絡(luò)地形圖構(gòu)建（參考美國SHINE計劃） 122電力、通信等行業(yè)的脆弱性測繪與應急響應 125第七章總結(jié)與倡議 131網(wǎng)絡(luò)空間測繪技術(shù)的戰(zhàn)略價值 131產(chǎn)學研協(xié)同創(chuàng)新倡議 132主要參考文獻 135附錄 編寫組成員名單 139 — —PAGE10第一章引言背景與意義網(wǎng)絡(luò)空間作為第五疆域的戰(zhàn)略地位及數(shù)字化時代安全需求升級21演進正在重新定義現(xiàn)代國家安全邊界。傳播、分布式拒絕服務(wù)攻擊（DDoS）等，不斷地對網(wǎng)絡(luò)空間進行滲透和破壞。更加主動、全面的安全防護方式。網(wǎng)絡(luò)空間測繪的定義詳細的網(wǎng)絡(luò)空間地圖，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)與行為的可視化、威脅感知與攻防支撐。撐。目標與范圍白皮書目標闡述，幫助讀者建立起對該技術(shù)體系的全面認識?？臻g測繪技術(shù)的共同發(fā)展。指導，促進行業(yè)的健康、可持續(xù)發(fā)展。覆蓋范圍1、技術(shù)原理布、風險分布和行為模式等關(guān)鍵信息。2、平臺開發(fā)化的用戶需求，平臺還需具備良好的可擴展性與運行穩(wěn)定性。3、攻防應用技術(shù)方法，以及面臨的挑戰(zhàn)和應對策略。4、標準化探索的發(fā)展現(xiàn)狀，分析標準體系建設(shè)的現(xiàn)實需求與未來演進趨勢。第二章網(wǎng)絡(luò)空間測繪的理論基礎(chǔ)網(wǎng)絡(luò)空間的定義與特性網(wǎng)絡(luò)空間（Cyberspace）的起源與多國定義演進網(wǎng)絡(luò)空間這一概念最早可追溯到20世紀80年代。1984年，加拿大科幻小說家威廉·吉布森在其小說《神經(jīng)漫游者》中，首次創(chuàng)造了“Cyberspace”一詞，用來描述一種由計算機生成的虛擬空間，在這個空間里，人們的意識和數(shù)據(jù)能夠自由流動與交互，這一設(shè)想為后續(xù)網(wǎng)絡(luò)空間概念的發(fā)展奠定了基礎(chǔ)?？臻g進行定義和闡釋。美國早期，美國側(cè)重于從技術(shù)層面理解網(wǎng)絡(luò)空間，將其視為一個由計算機系統(tǒng)、經(jīng)濟發(fā)展等方面的重要性日益凸顯，美國在《國家網(wǎng)絡(luò)空間政策評估報告》對抗屬性，強調(diào)在網(wǎng)絡(luò)空間進行戰(zhàn)略防御和進攻的能力建設(shè)。撐。動態(tài)性、虛實融合性、跨域關(guān)聯(lián)性等核心特征動態(tài)性5G應對這些不斷演化的網(wǎng)絡(luò)威脅。虛實融合性跨域關(guān)聯(lián)性傳統(tǒng)測繪理論在網(wǎng)絡(luò)空間的應用與延伸地理測繪中的“地圖地志對抗方針”模型在網(wǎng)絡(luò)空間的延伸在地理測繪中，“地圖-地志-對抗方針”活動制定的策略和方法。地址等網(wǎng)絡(luò)資源的探測和分析，繪制出網(wǎng)絡(luò)空間情報分析四層級在網(wǎng)絡(luò)測繪中的應用架，使網(wǎng)絡(luò)測繪可以更好的服務(wù)于網(wǎng)絡(luò)安全、社會治理等戰(zhàn)略需求。描述性分析解釋性分析掘和分析，探究事件背后的深層次原因。評估性分析估報告和改進建議。預測性分析全防護。網(wǎng)絡(luò)空間地圖與網(wǎng)絡(luò)空間坐標系地理/物理空間坐標進行設(shè)備的安裝、調(diào)試和維修等操作。地理/物理空間坐標是傳統(tǒng)空間定位的基礎(chǔ)，主要依托于坐標系體系實現(xiàn)精準定位。國內(nèi)互聯(lián)網(wǎng)地圖服務(wù)普遍采用加密坐標系以滿足國家安全要求：WGS84GPSGPS模塊獲取的坐標通?；谠撟鴺讼怠CJ02（火星坐標系）：該坐標系由國測局制定，在WGS-84標準。該體系通過算法確保公開地圖與真實地理坐標存在不可逆偏移。BD09GCJ02次坐標變換增強地理數(shù)據(jù)的保護強度。其坐標轉(zhuǎn)換需依賴專用算法，與WGS84的直接兼容性較低。網(wǎng)絡(luò)空間坐標體系的設(shè)計提供了有益的技術(shù)參考。網(wǎng)絡(luò)空間地圖技術(shù)構(gòu)建的虛擬空間全景圖。其核心功能包括：資產(chǎn)可視化IT資產(chǎn)（等），并標注地理位置、運行狀態(tài)及安全風險。態(tài)勢感知（策略?？缬蛴成涞摹皵?shù)字沙盤”。網(wǎng)絡(luò)空間地圖在技術(shù)層面涉及節(jié)點標識、拓撲建模、服務(wù)映射等內(nèi)容：節(jié)點標識：ASN、IP址、MAC地址等多種標識符組合標識網(wǎng)絡(luò)設(shè)備。（網(wǎng)絡(luò)圖譜。（狀態(tài)。與物理地圖不同，網(wǎng)絡(luò)地圖需動態(tài)更新以反映實時流量、故障節(jié)點等變化，這對數(shù)據(jù)采集與渲染技術(shù)提出了更高要求。網(wǎng)絡(luò)空間坐標理論方向包括：多維屬性坐標化成性能坐標系。例如，基于歐氏距離的坐標模型可優(yōu)化內(nèi)容分發(fā)路徑。動態(tài)坐標變換（）等。加密與標準化防止惡意節(jié)點定位。特別是網(wǎng)絡(luò)空間坐標理論還很不成熟，還未在更廣泛的范圍內(nèi)形成共識。第三章網(wǎng)絡(luò)空間測繪技術(shù)體系核心技術(shù)3.1所示。探測技術(shù)

圖3.1網(wǎng)絡(luò)空間測繪技術(shù)體系活躍性探測到復IP活躍性探測/一、基本原理IP活躍性探測IP活躍性探測的核心目標是確定網(wǎng)絡(luò)中某個地址是否處于活躍狀態(tài)。常見的方法是使用ICMP（InternetControlMessageProtocol）協(xié)議。ICMP是TCP/IP協(xié)議族中的一種控制消息協(xié)議，用于在主機與路由器之間傳遞網(wǎng)絡(luò)狀態(tài)信息。典型做法是向目標地址發(fā)送ICMPEchoRequest（即Ping報文），若ICMPICMPEchoReply報文，從而確認該地址的活躍性。端口開放性探測TCP/IP服務(wù)通常監(jiān)聽80或443端口。通過向目標主機的不同端口發(fā)送特定TCPSYN掃描、TCPConnect掃描等。二、國內(nèi)外研究現(xiàn)狀與成果國外代表性成果是由Fyodor于網(wǎng)絡(luò)安全檢測與資產(chǎn)發(fā)現(xiàn)任務(wù)中。該工具支持多種掃描技術(shù)，包括TCPSYN掃描、TCPConnect掃描、UDP掃描等，具備高效且準確的端口探測能力，可快速發(fā)現(xiàn)目標主機開放的端口。Nmap還提供了豐富的腳本引擎，究團隊都將Nmap作為網(wǎng)絡(luò)探測的重要工具，并基于其進行二次開發(fā)與功能擴展。ZMap：ZMapZMap可在數(shù)分鐘內(nèi)完成對整個空間中某一指定端口（如443端口）的全面掃描，性能遠超傳統(tǒng)工具如NmapZMap（HTTPDNS）常用它發(fā)現(xiàn)暴露的物聯(lián)網(wǎng)設(shè)備或評估HTTPS普通服務(wù)器即可運行，但需一定網(wǎng)絡(luò)知識配置參數(shù)。RobertDavidGraham開發(fā)。它采用異步掃描技術(shù)，能夠在短時間內(nèi)掃描大量的IP地址和端口。Masscan的掃描速度比Nmap外的一些大型網(wǎng)絡(luò)安全演習和研究項目中，Masscan被廣泛應用于快速發(fā)現(xiàn)網(wǎng)絡(luò)中的開放端口和活躍主機。國內(nèi)代表性成果X-Scan泛應用。IP探測技術(shù)?；钴S和開放端口提供了有力支持。SMap：SMap1IPv4/IPv6雙NMap、ZMap等。SMap針對傳統(tǒng)工具在擴展性差、定制困難、維IPv4/IPv6護性。相較于傳統(tǒng)掃描工具，SMap集成多種前沿探測算法，在IPv6活躍ZMap化高水平開源掃描器，建議國內(nèi)科研人員優(yōu)先采用并積極參與SMap的后續(xù)維護與生態(tài)建設(shè)。三、技術(shù)發(fā)展趨勢隨著網(wǎng)絡(luò)環(huán)境的日益復雜，IP活躍性探測和端口開放性探測技術(shù)也面臨著1Smapgithub項目:/AddrMiner/smap趨勢，通過學習網(wǎng)絡(luò)行為模式，實現(xiàn)更精準、更高效的探測。服務(wù)掃描HTTPHTTP的HTTP賴于協(xié)議解析技術(shù)。TCP、UDP、HTTP、FTP發(fā)現(xiàn)潛在風險等方面具有關(guān)鍵作用。HTTPHTTP構(gòu)，包括請求行、請求頭、請求數(shù)據(jù)等。圖3.2HTTP協(xié)議報文解析示例協(xié)議解析主要基于以下原理：報文特征匹配（GETPOST等方法HTTP協(xié)議。 — —PAGE15狀態(tài)機分析TCP過程和數(shù)據(jù)交互邏輯。二、國內(nèi)外研究現(xiàn)狀與成果國外代表性成果ServiceScan采用了先進的指紋速準確地確定服務(wù)類型。在國外的網(wǎng)絡(luò)漏洞挖掘和安全評估項目中，ServiceScan被廣泛應用于發(fā)現(xiàn)網(wǎng)絡(luò)中隱藏的服務(wù)漏洞。Shodan：Shodan是一個著名的搜索引擎，它通過掃描全球網(wǎng)絡(luò)中的設(shè)備，建立了一個龐大的設(shè)備和服務(wù)數(shù)據(jù)庫。Shodan不僅能夠掃描開放端口和識究人員和企業(yè)利用Shodan來了解全球網(wǎng)絡(luò)中的服務(wù)分布情況和安全態(tài)勢。LZR:LZR是一種高效的網(wǎng)絡(luò)服務(wù)發(fā)現(xiàn)工具，旨在檢測和識別運行在非標準ZMap1835種協(xié)議進行指紋識別。LZR持。Nmap的協(xié)議支持：Nmap是一款廣泛使用的開源網(wǎng)絡(luò)掃描工具，它支持多TCPUDP析。Nmap協(xié)議解析的能力。BPF（BerkeleyPacketFilter）語法對網(wǎng)絡(luò)流量進行IP/TCP/UDP/ICMP和跨層關(guān)聯(lián)分析。 — —PAGE16Wireshark的深度解析也常被科研人員用于對新發(fā)現(xiàn)或未知協(xié)議進行逆向分析與協(xié)國內(nèi)代表性成果綠盟科技的服務(wù)掃描方法斷變化的網(wǎng)絡(luò)環(huán)境。遠江盛邦的資產(chǎn)探測技術(shù)：IPv4、IPv6IPv4/IPv6地址的全方位屬性識別能力，能夠識信息匹配發(fā)現(xiàn)資產(chǎn)脆弱性。三、技術(shù)發(fā)展趨勢服務(wù)安全威脅。一、概念與背景資產(chǎn)指紋識別是網(wǎng)絡(luò)空間測繪中用于確定網(wǎng)絡(luò)資產(chǎn)的具體信息和特征的技二、技術(shù)原理資產(chǎn)指紋識別主要基于以下幾種原理：特征碼匹配詳細信息。行為分析對這些行為特征的分析，可以輔助進行資產(chǎn)的識別。息采集與后期的風險評估分析：圖3.3資產(chǎn)指紋識別流程示意圖配和結(jié)果輸出等環(huán)節(jié)。通過這樣的流程，可以逐步確定目標資產(chǎn)的詳細信息。三、國內(nèi)外研究現(xiàn)狀與成果國外代表性成果Shodan網(wǎng)絡(luò)空間搜索引擎：Shodan被稱為“互聯(lián)網(wǎng)上最可怕的搜索引擎”，它通過對大量的網(wǎng)絡(luò)資產(chǎn)進行掃描和指紋識別，建立了龐大的資產(chǎn)數(shù)據(jù)庫。ShodanShodan對網(wǎng)絡(luò)空間資產(chǎn)的實時監(jiān)測。Censys準識別，為網(wǎng)絡(luò)安全研究和情報收集提供了有價值的數(shù)據(jù)。國內(nèi)代表性成果綠盟科技的全量探測方法ZoomEye是由知道創(chuàng)宇開發(fā)的網(wǎng)絡(luò)空間測繪ZoomEye動掃描與安全指紋匹配機制，可有效支撐攻擊面管理和漏洞監(jiān)測等任務(wù)。FOFA網(wǎng)絡(luò)空間搜索引擎：FOFAFOFA利DayDayMap是由盛邦安全推出的新一代網(wǎng)絡(luò)IPv623萬+30+IPv4/IPv6AI能化優(yōu)化，廣泛服務(wù)于政企機構(gòu)的網(wǎng)絡(luò)防護與攻防演練。分析技術(shù)資產(chǎn)關(guān)聯(lián)分析一、資產(chǎn)關(guān)聯(lián)分析的意義資產(chǎn)關(guān)聯(lián)分析旨在挖掘不同網(wǎng)絡(luò)資產(chǎn)之間的潛在關(guān)聯(lián)關(guān)系，包括物理連接、進而揭示潛在的安全風險傳播路徑。圖3.4資產(chǎn)關(guān)聯(lián)分析的示例圖以圖3.4二、國內(nèi)外學術(shù)界研究成果國外研究成果英國劍橋大學研究團隊Louvain美國斯坦福大學、CMU等的研究（如LSTM短期記憶網(wǎng)絡(luò)）來預測資產(chǎn)之間未來的關(guān)聯(lián)關(guān)系。國內(nèi)研究成果清華大學的科研團隊器之間由于共享存儲資源而產(chǎn)生的關(guān)聯(lián)。中國科學院信工所的研究程度。三、國內(nèi)外工業(yè)界研究成果國外公司成果系統(tǒng)中包含資產(chǎn)關(guān)聯(lián)分析模塊。資產(chǎn)關(guān)聯(lián)分析預測可能被攻擊的其他相關(guān)資產(chǎn)。（MITREATT&CK閾值等與資產(chǎn)信息融合，通過自適應關(guān)聯(lián)分析算法識別跨系統(tǒng)的攻擊傳播鏈條。國內(nèi)公司成果阿里云（奇安信器、網(wǎng)絡(luò)設(shè)備之間的關(guān)聯(lián)，識別潛在的安全風險。資產(chǎn)與組織關(guān)聯(lián)映射分析一、資產(chǎn)與組織關(guān)聯(lián)映射分析的概念與重要性（速定位責任主體。圖3.5資產(chǎn)與組織關(guān)聯(lián)映射分析的示例圖3.5接起來，直觀地展示了資產(chǎn)與組織的關(guān)聯(lián)關(guān)系。二、國內(nèi)外學術(shù)界研究成果國外研究成果澳大利亞悉尼大學輕量級目錄訪問協(xié)議和Kerberos實現(xiàn)資產(chǎn)與組織的映射。德國慕尼黑工業(yè)大學（揭示資產(chǎn)與組織之間的潛在關(guān)聯(lián)。例如，發(fā)現(xiàn)某個關(guān)鍵資產(chǎn)在組織內(nèi)的重要性和影響力。國內(nèi)研究成果上海交通大學確映射。復旦大學（目中對資產(chǎn)的使用成本，從而建立資產(chǎn)與組織的關(guān)聯(lián)。三、國內(nèi)外工業(yè)界研究成果國外公司成果（Oracle）系統(tǒng)能夠自動更新與該員工相關(guān)的資產(chǎn)與組織的關(guān)聯(lián)關(guān)系。Azure（（理和安全控制。國內(nèi)公司成果華為深信服供有力支持。資產(chǎn)定位一、定義及重要性定合理的安全策略，提高應急響應效率。圖3.6資產(chǎn)定位總體流程3.6驗證模塊對定位結(jié)果進行準確性評估和修正。二、國內(nèi)外學術(shù)界成果國外學術(shù)界基于地理位置指紋的資產(chǎn)定位IP地址分配規(guī)則以及網(wǎng)絡(luò)流量的地理路由特征，結(jié)合基站位置、衛(wèi)星定位等信息，DNS信息以及網(wǎng)絡(luò)延遲等代理等干擾因素。基于網(wǎng)絡(luò)拓撲的資產(chǎn)邏輯定位轉(zhuǎn)化為低維向量，從而實現(xiàn)對資產(chǎn)邏輯位置的快速準確識別。國內(nèi)學術(shù)界多源數(shù)據(jù)融合的資產(chǎn)定位方法：國內(nèi)一些高校結(jié)合地理信息系統(tǒng)（GIS）數(shù)（DNS）終端資產(chǎn)的高精度定位。基于區(qū)塊鏈的資產(chǎn)定位安全驗證：為保障資產(chǎn)定位信息的安全性和可信性，地理定位，清華大學研究團隊從定位地標和定位算法的角度研究基于大規(guī)模地標挖掘及基于圖神經(jīng)網(wǎng)絡(luò)的定位方法。通過挖掘地標網(wǎng)頁的特征， — —PAGE25網(wǎng)絡(luò)的強表征能力，顯著提升了定位精度。三、國內(nèi)外工業(yè)界成果國外工業(yè)界網(wǎng)絡(luò)安全廠商的資產(chǎn)定位解決方案：國外一些知名的網(wǎng)絡(luò)安全公司，如FortinetCrowdStrike產(chǎn)搜索和篩選功能，能夠為企業(yè)提供全面的資產(chǎn)分布視圖?；ヂ?lián)網(wǎng)服務(wù)提供商的資產(chǎn)定位技術(shù)GoogleAmazon障和異常資產(chǎn)，保障云服務(wù)的穩(wěn)定性和可靠性。IPMaxmind、IP2Location：MaxMind定位和在線欺詐檢測服務(wù)的公司，其核心產(chǎn)品GeoIP數(shù)據(jù)庫通過分析地（容本地化和網(wǎng)絡(luò)安全等領(lǐng)域。MaxMind提供的地理定位數(shù)據(jù)庫覆蓋全球主要地區(qū)，具有較高的數(shù)據(jù)更新頻率，并支持多種編程語言的集成調(diào)用，是當前業(yè)界廣泛采用的主流定位解決方案之一。IP2Location提供基于IP地址的地理位置和網(wǎng)絡(luò)屬性數(shù)據(jù)庫，支持查詢國家、地區(qū)、城市、ISP、IP2Location定位領(lǐng)域的重要工具之一。國內(nèi)工業(yè)界安全態(tài)勢感知平臺的資產(chǎn)定位功能 — —PAGE26運營商的物聯(lián)網(wǎng)資產(chǎn)定位服務(wù)GPS領(lǐng)域的應用提供了有力支持。IP定位服務(wù)埃文科技、IPIP.net：地IPv42128IPv6IP風險畫像。IPIP.netIPv4和IPv6IPIP.netAPI景。度和高可靠性的IP地址定位服務(wù)，覆蓋對象包括IPv4全地址空間及超過12億長期活躍的IPv6API和離線數(shù)據(jù)庫，適合不同場景的定位應用。威脅建模一、定義及重要性降低安全風險。3.7的制定。圖3.7威脅建模的基本流程二、國內(nèi)外學術(shù)界成果國外學術(shù)界基于攻擊圖的威脅建模統(tǒng)中的關(guān)鍵漏洞和潛在攻擊路徑?；跈C器學習的威脅態(tài)勢預測和長短時記憶網(wǎng)絡(luò)（LSTM）對網(wǎng)絡(luò)流量的時間序列數(shù)據(jù)進行分析，能夠提前發(fā)現(xiàn)異常的攻擊行為。國內(nèi)學術(shù)界行推理和分析，能夠更全面地識別潛在威脅和攻擊場景。多屬性威脅建模與量化評估三、國內(nèi)外工業(yè)界成果國外工業(yè)界安全情報平臺的威脅建模功能FireEyeRecordedFuture示，幫助企業(yè)及時發(fā)現(xiàn)潛在的安全威脅。云服務(wù)提供商的威脅建模與防護MicrosoftAzureAmazonWebServices效抵御各種網(wǎng)絡(luò)攻擊。ATT&CKTactics,Techniques,andCommonKnowledge）模型，將攻擊行為分解為戰(zhàn)術(shù)（Tactics）、技術(shù)ATT&CK“基于特征”向“基于行為”升級。國內(nèi)工業(yè)界態(tài)勢感知平臺的威脅建模與分析等，利用機器學習和關(guān)聯(lián)分析技術(shù)，構(gòu)建威脅模型。同時，通過可視化界面展示威脅的分布和發(fā)展態(tài)勢，為安全管理人員提供決策支持。物聯(lián)網(wǎng)安全廠商的威脅建模解決方案并制定相應的防護策略。一、概述研究成果。圖3.8多源數(shù)據(jù)融合的漏洞與暴露面分析過程二、國內(nèi)外學術(shù)界成果國外學術(shù)界多源數(shù)據(jù)融合的漏洞分析方法（CN通過長短期記憶網(wǎng)絡(luò)（LSTM）對特征進行序列分析，從而更精準地預測漏法有一定提高?；趫D神經(jīng)網(wǎng)絡(luò)的暴露面分析（（如連接關(guān)系GNN面，從而為企業(yè)的安全防護提供了新的思路。國內(nèi)學術(shù)界基于知識圖譜的漏洞與暴露面分析安全風險的感知能力。大數(shù)據(jù)驅(qū)動的網(wǎng)絡(luò)暴露面分析原理三、國內(nèi)外工業(yè)界成果國外工業(yè)界自動化漏洞掃描與分析平臺地掃描網(wǎng)絡(luò)資產(chǎn)，發(fā)現(xiàn)漏洞并評估其風險。知名安全廠商Rapid7的Nexpose提高了企業(yè)的安全運維效率。實時暴露面監(jiān)測系統(tǒng)FireEye的Helix事件。國內(nèi)工業(yè)界綠盟科技的漏洞掃描與分析解決方案降低網(wǎng)絡(luò)安全風險。可視化技術(shù)地理空間強/一、地理空間強相關(guān)模型概念中，使得用戶可以清晰地看到不同地區(qū)的網(wǎng)絡(luò)資產(chǎn)分布情況。實現(xiàn)方式：該模型通常結(jié)合地理信息系統(tǒng)（GIS）技術(shù)實現(xiàn)網(wǎng)絡(luò)資產(chǎn)的空間地址對應的（可以通過專業(yè)的地理定位數(shù)據(jù)庫獲取應用場景3.9圖3.9全球資產(chǎn)安全等級評估示意圖二、地理空間弱相關(guān)模型概念實現(xiàn)方式供一種相對宏觀的地理參照。應用場景圖3.10資產(chǎn)關(guān)聯(lián)圖3.10許多節(jié)點和連接節(jié)點的邊。節(jié)點代表不同地區(qū)的網(wǎng)絡(luò)資產(chǎn)，邊表示資產(chǎn)之間的流量較大；而一些非洲內(nèi)部的節(jié)點之間邊比較細，表明這些資產(chǎn)之間的交互較少。一、拓撲圖拓撲圖是用于表示網(wǎng)絡(luò)中各個組件之間連接關(guān)系的圖形化工具。在網(wǎng)絡(luò)空（理或邏輯連接關(guān)系，幫助用戶直觀地理解網(wǎng)絡(luò)的結(jié)構(gòu)和布局。類型及應用：物理拓撲圖邏輯拓撲圖識別網(wǎng)絡(luò)中的關(guān)鍵路徑和潛在的安全弱點。3.11高速鏈路連接到各個服務(wù)器群；接入層交換機則連接到客戶端設(shè)備，并與核心交換機相連。服務(wù)器群之間可能存在不同的網(wǎng)絡(luò)連接，以實現(xiàn)數(shù)據(jù)的備份和共享。3.11二、隱喻表達與DAVA循環(huán)體系隱喻表達是指在可視化過程中，將抽象的網(wǎng)絡(luò)概念和關(guān)系用更直觀、形象絡(luò)中的節(jié)點隱喻為城市，將連接節(jié)點的邊隱喻為公路，從而使網(wǎng)絡(luò)結(jié)構(gòu)更具有場景感和親和力。DAVA循環(huán)體系（Data-Abstraction-Visualization-Analysis，數(shù)據(jù)-抽象-可視化-分析）經(jīng)過抽象處理后轉(zhuǎn)化為可視化表示，再通過分析反饋來優(yōu)化整個過程。其基本循環(huán)步驟包括：息、流量數(shù)據(jù)、配置信息等。這些數(shù)據(jù)是整個循環(huán)的基礎(chǔ)。抽象（Abstraction）可視化（Visualization）間的邊隱喻為星際航線，通過這種形象的方式展示網(wǎng)絡(luò)結(jié)構(gòu)。分析（Analysis）化展示方式，形成一個閉環(huán)的迭代過程。應用價值：DAVA情況。圖3.12企業(yè)網(wǎng)絡(luò)星型拓撲結(jié)構(gòu)圖3.12一個網(wǎng)絡(luò)設(shè)備，星球之間的光線代表設(shè)備之間的連接關(guān)系。不同大小和顏色的周圍的小星球代表客戶端設(shè)備。通過這種隱喻方式，網(wǎng)絡(luò)的層次結(jié)構(gòu)和連接關(guān)系一目了然?？梢暬夹g(shù)前沿探索（AR）融合絡(luò)空間測繪帶來全新的交互與認知方式。在網(wǎng)絡(luò)可視化領(lǐng)域，增強現(xiàn)實技術(shù)可HoloLens解設(shè)備的運行負載、連接關(guān)系與告警等級等，從而快速定位異常區(qū)域并進行針控制和空間定位的支持，便于在多源數(shù)據(jù)中高效切換與分析，可用于輔助開展CyberverseAR融合的網(wǎng)絡(luò)拓撲可視化。知識圖譜驅(qū)動可視化“從數(shù)據(jù)到知識”MITREATT&CK-術(shù)-程序（TTPs）的可視化，支持行為路徑查找與上下文多跳交互操作。例如，Neo4jAPT攻擊階段以圖結(jié)構(gòu)呈現(xiàn)，幫助用戶快速識別高危路徑和潛在落地資產(chǎn)。另外，GraphistryGPU溯源。三維時空融合可視化時序數(shù)據(jù)驅(qū)動相結(jié)合的一種先進可視表達方式，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)空間中“—物理空間—時間演變”Cesium.js、Three.js等WebGL地址、子網(wǎng)段、組織結(jié)構(gòu)等邏輯網(wǎng)絡(luò)信息映射至AI增強的儀表布局：AI“對話式數(shù)據(jù)可視化”AI自動構(gòu)建適應任務(wù)的可視化面板。例如，用戶輸入“接與攻擊來源分布”AIAILangChainTools表輸出，打造“問答式數(shù)據(jù)可視化助手”。TableauGPT據(jù)分析平臺，實現(xiàn)“AskData”供統(tǒng)計摘要。數(shù)字孿生技術(shù)是指在虛擬空間中創(chuàng)建物理系統(tǒng)的高保3D場景或多層網(wǎng)絡(luò)架“可感、可控、可推演”3D、UnrealEngineIoT數(shù)據(jù)流平臺與可視中PLC控制網(wǎng)絡(luò)的狀態(tài)變化與入侵“邊運維邊仿真”和演練推演的全面革新。高速數(shù)據(jù)流動態(tài)渲染：在網(wǎng)絡(luò)空間測繪中，高速數(shù)據(jù)流帶來的數(shù)據(jù)吞吐量和時效性挑戰(zhàn)對可視化系統(tǒng)提出了更高要求。傳統(tǒng)靜態(tài)圖表難以適應高速更新GPUWebSocket/ZeroMQWebGL提供了瀏覽器端的高性能圖形渲染能力，Deck.gl支持大規(guī)模PlotlyDsh提供PthonApheECharts5Canvas技術(shù)對比與選型建議可視化技術(shù)的技術(shù)對比與選型建議如表3.1所示。表3.1技術(shù)對比與選型建議技術(shù)類型適用場景優(yōu)勢局限性地理空間強相關(guān)模型精準定位、應急響應高精度、支持物理聯(lián)動依賴高質(zhì)量GIS數(shù)據(jù)拓撲圖分層布局大型復雜網(wǎng)絡(luò)結(jié)構(gòu)清晰、可擴展性強手動配置復雜度高DAVA隱喻表達攻防推演、決策支持直觀易懂、閉環(huán)反饋需定制化開發(fā)成本高平臺架構(gòu)設(shè)計分層架構(gòu)示例界和工業(yè)界的成果進行分析。圖3.13網(wǎng)絡(luò)空間測繪平臺的分層架構(gòu)圖3.13和應用接口層：一、數(shù)據(jù)采集層功能掃描等，收集網(wǎng)絡(luò)設(shè)備和系統(tǒng)的基礎(chǔ)信息。成果舉例ShodanCensysZoomEyeFoFa為后續(xù)分析提供豐富的數(shù)據(jù)基礎(chǔ)。二、分析引擎層功能有價值的信息，發(fā)現(xiàn)潛在的安全威脅和資產(chǎn)關(guān)系。成果舉例威脅檢測的準確性。三、可視化層功能：將分析結(jié)果以直觀的方式展示給用戶。利用地理空間強/成果舉例DAVA四、應用接口層功能API成果舉例API統(tǒng)的無縫對接。動態(tài)更新機制與實時性保障態(tài)更新機制和實時性保障能力。以下結(jié)合數(shù)智安公司平臺技術(shù)實踐進行分析。一、動態(tài)更新機制動態(tài)更新機制主要體現(xiàn)在數(shù)據(jù)采集和分析結(jié)果的更新上。數(shù)據(jù)采集更新方式（信息。成果舉例過優(yōu)化掃描策略，結(jié)合分布式掃描技術(shù)，實現(xiàn)了對大規(guī)模網(wǎng)絡(luò)資產(chǎn)的快速、定期更新。分析結(jié)果更新方式系。成果舉例（ApacheFlinkSpark的實時性和響應能力。二、實時性保障數(shù)據(jù)傳輸優(yōu)化方式間延遲。同時，對數(shù)據(jù)進行預處理和壓縮，減少傳輸?shù)臄?shù)據(jù)量。成果舉例：國外的一些大型網(wǎng)絡(luò)空間測繪項目采用了分布式文件系統(tǒng)（如（100Gbps以太網(wǎng)SD（軟件定義網(wǎng)絡(luò)實現(xiàn)對網(wǎng)絡(luò)帶寬的靈活分配和優(yōu)化，保障數(shù)據(jù)的實時傳輸。分析處理加速方式（GPU計算生成。成果舉例據(jù)處理和分析方面取得了顯著的成果。工業(yè)界的一些安全廠商也開始引入GPU時監(jiān)測和響應。不同架構(gòu)的比較這里將分層架構(gòu)與其他常見的微服務(wù)、云計算架構(gòu)進行比較。一、分層架構(gòu)優(yōu)點易于理解和維護常運行?？蓴U展性強型時，可以對分析引擎層進行優(yōu)化和擴展。可復用性高方法可以應用于多個類似的網(wǎng)絡(luò)空間測繪項目中，降低了開發(fā)成本。缺點性能瓶頸統(tǒng)的實時性。分層過多導致系統(tǒng)復雜雜性，導致開發(fā)和維護難度增加。二、微服務(wù)架構(gòu)3.14所示，微服務(wù)架構(gòu)將網(wǎng)絡(luò)空間測繪平臺拆分成多個小型、自治的RESTfulAPI、消息隊列等）獲取分析結(jié)果并進行展示。優(yōu)點高可擴展性可以單獨增加該微服務(wù)的實例數(shù)量，提高采集效率。快速迭代和部署新該服務(wù)，而不會影響其他服務(wù)的正常運行。技術(shù)異構(gòu)性支持服務(wù)可以使用Python編寫，分析引擎微服務(wù)可以使用Java并結(jié)合機器學JavaScript術(shù)的優(yōu)勢。圖3.14微服務(wù)架構(gòu)缺點服務(wù)間通信成本服務(wù)管理和協(xié)調(diào)復雜度高等問題都需要額外的機制來解決。三、云計算架構(gòu)云計算架構(gòu)借助云計算平臺的強大計算資源和存儲能力來構(gòu)建網(wǎng)絡(luò)空間測繪平臺。常見的云計算模式包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）IaaS提供的虛擬服務(wù)器、PaaSSaaS測繪服務(wù)。例如，利用AmazonWebServices（AWS）的EC2S3SaaS3.15所示。圖3.15云計算架構(gòu)示意圖優(yōu)點資源彈性伸縮可以減少資源的使用，降低成本。無需前期大量投資計算資源來開展網(wǎng)絡(luò)空間測繪工作。高可用性和可靠性AWS的S3存儲，即使某個存儲節(jié)點出現(xiàn)故障，數(shù)據(jù)也不會丟失。缺點對網(wǎng)絡(luò)依賴度高無法訪問平臺或獲取數(shù)據(jù)。數(shù)據(jù)安全和隱私問題根據(jù)具體的應用場景和需求選擇合適的架構(gòu)，或者進行不同架構(gòu)的有機組合。 — —PAGE47第四章國內(nèi)外研究與實踐進展國際動態(tài)相關(guān)國家網(wǎng)絡(luò)空間測繪項目簡介美國藏寶圖計劃一、背景概述“藏寶圖計劃”是美國出于國家安全和軍事戰(zhàn)略需求而開展的一個大型網(wǎng)絡(luò)空間態(tài)勢感知項目。該計劃沒有暴露具體的起止時間，但據(jù)推斷可能在2000年4.1給出了該項目的框架示意圖。二、項目框架結(jié)構(gòu)表4.1總結(jié)了該架構(gòu)各層次的主要功能。數(shù)據(jù)收集層IP定期掃描，獲取開放的端口和正在運行的服務(wù)信息。數(shù)據(jù)處理與分析層異常的網(wǎng)絡(luò)連接行為，可能暗示著存在網(wǎng)絡(luò)攻擊的跡象?？梢暬c決策支持層將處理和分析后的數(shù)據(jù)以直觀的地圖形式呈現(xiàn)出來，形成網(wǎng)絡(luò)空間的“藏寶圖”。地圖上可以標記出各種網(wǎng)絡(luò)資產(chǎn)的地理位置、安全狀況等信息。同時，為決策者提供分析報告和決策建議，幫助他們制定網(wǎng)絡(luò)安全戰(zhàn)略和應對措施。表4.1藏寶圖計劃層級功能層級主要功能數(shù)據(jù)收集層從多種渠道收集網(wǎng)絡(luò)空間各類數(shù)據(jù)，如IP、域名、端口等數(shù)據(jù)處理與分析層清洗、分類、整合數(shù)據(jù)，運用機器學習和數(shù)據(jù)挖掘技術(shù)挖掘數(shù)據(jù)關(guān)聯(lián)和模式可視化與決策支持層將數(shù)據(jù)以地圖形式可視化展示，為決策者提供分析報告和決策建議圖4.1藏寶圖計劃項目框架示意圖三、主要功能介紹1、網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)美國了解其他國家的網(wǎng)絡(luò)基礎(chǔ)設(shè)施分布，為網(wǎng)絡(luò)攻擊或防御做好準備。2、威脅預警 — —PAGE49警信號，使美國能夠及時采取措施應對攻擊。3、戰(zhàn)略決策輔助絡(luò)作戰(zhàn)計劃和國家安全戰(zhàn)略。美國“X計劃一、背景概述“X計劃”（2012年-2019年4.2給出了該項目的框架示意圖。二、項目框架結(jié)構(gòu)表4.2總結(jié)了該架構(gòu)各層次的主要功能。網(wǎng)絡(luò)作戰(zhàn)規(guī)劃模塊執(zhí)行與控制模塊發(fā)現(xiàn)目標網(wǎng)絡(luò)的防御策略發(fā)生變化，系統(tǒng)可以自動調(diào)整攻擊手段。態(tài)勢感知與評估模塊模型，分析作戰(zhàn)行動是否達到預期目標，為后續(xù)的作戰(zhàn)決策提供依據(jù)。 — —PAGE50表4.2美國X計劃模塊功能模塊主要功能網(wǎng)絡(luò)作戰(zhàn)規(guī)劃模塊根據(jù)任務(wù)目標和網(wǎng)絡(luò)態(tài)勢制定詳細網(wǎng)絡(luò)作戰(zhàn)計劃，包括選擇目標、確定時機和規(guī)劃路徑等執(zhí)行與控制模塊自動調(diào)度和執(zhí)行網(wǎng)絡(luò)作戰(zhàn)行動，實時監(jiān)控進度并處理異常情況，可動態(tài)調(diào)整攻擊手段態(tài)勢感知與評估模塊持續(xù)收集網(wǎng)絡(luò)態(tài)勢信息，實時評估作戰(zhàn)效果，為后續(xù)決策提供依據(jù)4.2X三、主要功能介紹網(wǎng)絡(luò)作戰(zhàn)協(xié)同“X計劃”同作戰(zhàn)。模擬和演練擬不同的作戰(zhàn)場景和對手策略，提高作戰(zhàn)人員的應對能力。實時監(jiān)控和調(diào)整在作戰(zhàn)過程中實時監(jiān)控網(wǎng)絡(luò)態(tài)勢，根據(jù)實際情況及時調(diào)整作戰(zhàn)計劃和行動。確保作戰(zhàn)行動能夠適應復雜多變的網(wǎng)絡(luò)環(huán)境。美國“SHINE計劃一、背景概述DHSICS-CERT（工業(yè)控制系統(tǒng)應急小組）國本土關(guān)鍵基礎(chǔ)設(shè)施相關(guān)設(shè)備網(wǎng)絡(luò)可達及安全態(tài)勢而制定的項目，代號為“SHINE(ShodanIntelligenceExtraction)”BobRadvanovsky和JakeBrodsky（Shodan的兩位開發(fā)者），20082014131日?！癝HINE計劃”的目標是基于開放情報源，根據(jù)可定義、可搜索的術(shù)語集進行設(shè)備搜索，并進行進一步數(shù)據(jù)分析，改善、降低互聯(lián)網(wǎng)中ICS系統(tǒng)的安全風險。二、項目/系統(tǒng)框架結(jié)構(gòu)表4.3總結(jié)了該項目架構(gòu)各層次的主要功能。數(shù)據(jù)采集層Shodan息。數(shù)據(jù)分析與威脅識別層Shodan風險評估與響應層隊提供實時的攻擊預警。可視化與報告層表4.3美國SHINE計劃層級功能層級主要功能數(shù)據(jù)采集層從Shodan等互聯(lián)網(wǎng)設(shè)備搜索引擎中提取設(shè)備和服務(wù)的相關(guān)信息數(shù)據(jù)分析與威脅識別層對分析采集到的數(shù)據(jù)進行智能化的威脅分析，并識別潛在的安全威脅風險評估與響應層評估潛在的安全威脅，執(zhí)行相應的防護措施，并提供實時的攻擊預警可視化與報告層提供實時的圖形化展示，以及相關(guān)的安全事件歷史，幫助決策者做出響應。三、主要功能介紹智能數(shù)據(jù)提取與設(shè)備信息聚合SHINEShodan具體型號、運行服務(wù)、版本信息等，有助于精確識別暴露的攻擊面。高效的漏洞挖掘與風險識別通過結(jié)合已知的漏洞數(shù)據(jù)庫（如CVE、NVD等）以及學習模型，SHINE計劃能夠高效地對已提取的設(shè)備信息進行漏洞挖掘。系統(tǒng)會根據(jù)設(shè)備類型、服務(wù)版本等信息，對潛在的漏洞進行優(yōu)先級排序，幫助安全人員迅速定位高風險設(shè)備?？缙脚_、跨設(shè)備的安全分析SHINE不同設(shè)備間的互動所帶來的安全風險。一、背景概述二、項目/系統(tǒng)框架結(jié)構(gòu)表4.4總結(jié)了該項目架構(gòu)各層次的主要功能。數(shù)據(jù)采集源實時收集本地的網(wǎng)絡(luò)安全事件數(shù)據(jù)，如惡意軟件攻擊、網(wǎng)絡(luò)入侵嘗試等。數(shù)據(jù)傳輸與整合對這些數(shù)據(jù)進行整合和處理，去除重復和無效信息。分析與可視化模塊來，地圖上用不同的顏色和圖標表示不同的威脅信息。表4.4俄羅斯卡巴斯基威脅地圖層級功能層級主要功能數(shù)據(jù)采集源全球各地用戶設(shè)備和安全網(wǎng)關(guān)實時收集本地網(wǎng)絡(luò)安全事件數(shù)據(jù)，如惡意軟件攻擊、網(wǎng)絡(luò)入侵嘗試等數(shù)據(jù)傳輸與整合將采集數(shù)據(jù)安全傳輸?shù)綌?shù)據(jù)中心，整合處理，去除重復和無效信息分析與可視化模塊運用數(shù)據(jù)分析技術(shù)深入分析數(shù)據(jù)，分析攻擊來源、目標、類型和趨勢等，以地圖形式直觀展示結(jié)果圖4.3俄羅斯卡巴斯基威脅地圖項目框架示意圖三、主要功能介紹實時威脅展示攻擊的頻率較高。趨勢分析用戶預測未來可能面臨的威脅類型和高發(fā)地區(qū)，提前做好防范措施。情報共享為全球用戶提供網(wǎng)絡(luò)安全情報共享平臺。用戶可以根據(jù)威脅地圖上的信息，及時調(diào)整自身的安全策略，共同應對網(wǎng)絡(luò)安全挑戰(zhàn)。工業(yè)界平臺-國外情況Shodan平臺一、基本背景概述ShodanJohnMatherly2009Google等常規(guī)搜索引擎搜索網(wǎng)Shodan人們對設(shè)備暴露風險的廣泛關(guān)注。二、平臺框架結(jié)構(gòu)Shodan的平臺框架主要由數(shù)據(jù)采集層、數(shù)據(jù)處理層和數(shù)據(jù)展示層構(gòu)成：數(shù)據(jù)采集層Shodan等，并將數(shù)據(jù)發(fā)送回中央服務(wù)器。數(shù)據(jù)處理層進行分析，提取關(guān)鍵信息，并建立索引，以便后續(xù)快速查詢。數(shù)據(jù)展示層WebAPIShodan（對搜索Shodan平臺框架結(jié)構(gòu)示意圖：圖4.4Shodan平臺框架結(jié)構(gòu)示意圖三、主要功能介紹設(shè)備搜索功能（如“camera”搜索攝像頭設(shè)備、服務(wù)端口（如“port:80”80端口的設(shè)備）等，Shodan制造商、使用的軟件版本等。地理定位功能Shodan可以將搜索到的設(shè)備在地圖上進行標記，直觀地展示設(shè)備的地理位置分布。這對于了解特定地區(qū)的設(shè)備部署情況和安全狀況非常有幫助。安全漏洞檢測Shodan取措施進行防范。數(shù)據(jù)統(tǒng)計分析球聯(lián)網(wǎng)設(shè)備的整體情況。Censys平臺一、基本背景概述Censys由安全專家ZakirDurumeric、EricWustrowJAlexHalderman在2013年創(chuàng)立。Censys（HTTPHTTPS、SMTP等們評估網(wǎng)絡(luò)安全態(tài)勢、發(fā)現(xiàn)潛在威脅和進行合規(guī)性檢查。二、平臺框架結(jié)構(gòu)Censys的平臺框架主要包括以下幾個部分：掃描基礎(chǔ)設(shè)施Censys構(gòu)建了一套分布式的掃描系統(tǒng)，利用多個掃描節(jié)點從全球不同位置收集各種協(xié)議的響應信息。數(shù)據(jù)存儲與處理系統(tǒng)用戶接口WebAPICensys戶可以根據(jù)自己的需求提交查詢請求，并獲取相關(guān)的數(shù)據(jù)和分析結(jié)果。以下是Censys平臺框架結(jié)構(gòu)的示意圖：圖4.5Censys平臺框架結(jié)構(gòu)的示意圖三、主要功能介紹全面的互聯(lián)網(wǎng)測繪Censys全面信息。證書分析功能CensysSSL/TLS使用等安全問題。歷史數(shù)據(jù)查詢態(tài)。這對于研究網(wǎng)絡(luò)的演化、安全事件的追溯和趨勢分析非常有價值。API服務(wù)CensysAPICensys的數(shù)據(jù)集成到自己的應API現(xiàn)內(nèi)部網(wǎng)絡(luò)中暴露的敏感設(shè)備和服務(wù)。RIPEAtlas一、基本背景概述RIPEAtlasRIPENCC（網(wǎng)絡(luò)資源協(xié)調(diào)中心）創(chuàng)建的一個全球RIPEAtlas2010RIPEAtlas（小型硬件設(shè)備二、平臺框架結(jié)構(gòu)RIPEAtlas的架構(gòu)是由多個層次構(gòu)成的，主要包括以下幾個層次：1)物理層（測量探針）RIPEAtlas（路由器或?qū)Ｓ迷O(shè)備）Atlas平臺進行交互，定期或?qū)崟r上傳數(shù)據(jù)。數(shù)據(jù)采集與存儲層（數(shù)據(jù)傳輸和存儲）RIPEAtlas會被存儲在高效的數(shù)據(jù)庫中，供后續(xù)分析使用。數(shù)據(jù)分析與處理層（實時分析與查詢）用戶接口與可視化層（WebAPI）為用戶提供交互界面，支持通過Web界面、API或命令行進行數(shù)據(jù)訪問、查詢和可視化展示。用戶可以方便地查看網(wǎng)絡(luò)性能的各種數(shù)據(jù)、生成分析報告、執(zhí)行定制化的測量任務(wù)。外部服務(wù)與集成層（合作與共享）Atlas三、主要功能介紹網(wǎng)絡(luò)路徑與連通性分析RIPEAtlas用。延遲和帶寬測量RIPEAtlasISP是優(yōu)化網(wǎng)絡(luò)性能的重要手段。數(shù)據(jù)開放與研究RIPEAtlas網(wǎng)絡(luò)測量實驗。國內(nèi)成果-學術(shù)研究“三層三空間映射”理論一、基本背景資源管理，解放軍信息工程大學提出了“三層三空間映射”理論。二、主要思路/思想邏輯空間和信息空間三個空間（4.6）。物理層與物理空間和運行的基礎(chǔ)，它們之間通過物理連接和地理位置關(guān)系形成了物理拓撲結(jié)構(gòu)。邏輯層與邏輯空間了數(shù)據(jù)在物理設(shè)備之間的流動方式。信息層與信息空間層規(guī)則和物理層設(shè)備的制約?！叭龑尤臻g映射”理論強調(diào)這三個層次和三個空間之間存在著復雜的映射通過研究這些映射關(guān)系，可以深入理解網(wǎng)絡(luò)空間的復雜性和內(nèi)在規(guī)律。三、主要成果和結(jié)論用提供了有力支持?！叭龑尤臻g映射”據(jù)。圖4.6三層三空間映射示例圖網(wǎng)絡(luò)空間主權(quán)框架一、基本背景（為維護國家網(wǎng)絡(luò)空間主權(quán)提供理論支持和實踐指導。二、主要思路或思想網(wǎng)絡(luò)空間的管轄權(quán)、控制權(quán)和發(fā)展權(quán)等多個方面。管轄權(quán)容進行監(jiān)管等。控制權(quán)國家安全。發(fā)展權(quán)絡(luò)產(chǎn)業(yè)、提高國民網(wǎng)絡(luò)素養(yǎng)等，以增強國家在網(wǎng)絡(luò)空間的綜合實力。該框架強調(diào)網(wǎng)絡(luò)空間主權(quán)的相對性和相互性，各國在行使網(wǎng)絡(luò)空間主權(quán)時，應遵循國際法和國際關(guān)系基本準則，尊重他國的網(wǎng)絡(luò)空間主權(quán)，通過合作共同維護全球網(wǎng)絡(luò)空間的和平與安全。三、主要成果和結(jié)論和安全有序。圖4.7網(wǎng)絡(luò)空間主權(quán)框架中科院信工所的研究一、基本背景挑戰(zhàn)。二、主要思路或思想三、主要成果和結(jié)論IPv66GAI,由生成對抗網(wǎng)絡(luò)（GAN）和卷積瓶頸注意力模塊（CBAM）上對各個定位技術(shù)進行了拆解,提出了一個普適的定位理論。在域名系統(tǒng)SPv4和Pv6的合作解析關(guān)系，通過跨棧服務(wù)關(guān)聯(lián)發(fā)現(xiàn)IPv6DNS(SiameseNetwork)在IPv6上支持TLS1.3的大規(guī)模加密流量中發(fā)現(xiàn)加密DNS解析器DNS解析器進行探測，DNS解析器測量能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)中的異常行為，及時發(fā)現(xiàn)和防范安全威脅。效應對日益增長的網(wǎng)絡(luò)安全威脅。中科院地理所的研究一、基本背景切的現(xiàn)實需求。二、主要思路或思想握網(wǎng)絡(luò)空間的態(tài)勢。地理圖層（終端設(shè)備等連通性和脆弱性。三、主要成果或主要結(jié)論圖4.8某地區(qū)網(wǎng)絡(luò)節(jié)點分布地圖4.8NSGIS地區(qū)網(wǎng)絡(luò)節(jié)點分布地圖。“核心區(qū)”“邊緣區(qū)”種分布規(guī)律對于理解網(wǎng)絡(luò)空間的發(fā)展不平衡性和制定網(wǎng)絡(luò)普及政策具有重要的意義。安全防護策略，提高網(wǎng)絡(luò)的抗攻擊能力。-地-網(wǎng)”紐帶哈爾濱工業(yè)大學的研究一、基本背景開展了一系列創(chuàng)新性的研究工作。二、主要思路或思想止非法入侵和惡意攻擊。三、主要成果或主要結(jié)論地址位置相同、相連路由器間地理位置相近的SinkDNSDNS服務(wù)器緩存測量與風險評估系統(tǒng),DNS服務(wù)器緩存的部署與風險狀況；并對中國境內(nèi)部署的根DNS服務(wù)器的根任播節(jié)點的服務(wù)性能進行了分析。在證書系統(tǒng)測繪方面，應用不同的機器學習模型并通過驗證提取(VFE)來區(qū)分惡意X.509證書和良性X.509證書。開發(fā)了基于深度學習的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)：該系統(tǒng)利用卷積神經(jīng)網(wǎng)絡(luò)DDoSSQL4.9展示了該系統(tǒng)的工作流程示意圖。4.9基于深度學習的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)工作流程了解網(wǎng)絡(luò)的運行狀態(tài)和安全態(tài)勢，發(fā)現(xiàn)潛在的安全威脅和漏洞。清華大學的研究一、基本背景IPv6IPv6放性智能化預測方面進行介紹。隨著互聯(lián)網(wǎng)的迅猛發(fā)展，IPv4地址資源日益枯竭，難以支撐物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等大規(guī)模設(shè)備接入需求。IPv6作為新一代互聯(lián)網(wǎng)協(xié)議應運而生，憑借其巨大的地址空間，為未來的網(wǎng)絡(luò)擴展提供了堅實基礎(chǔ)。然而，IPv6的大規(guī)模部IPv6IPv6IPv6IPv6統(tǒng)的網(wǎng)絡(luò)探測和分析方法在IPv6網(wǎng)絡(luò)中面臨效率和準確性的問題，因此需要新的技術(shù)和方法來適應IPv6網(wǎng)絡(luò)的特點。二、主要思路或思想IPv6的網(wǎng)絡(luò)空間探測（活躍地址探測）鑒于IPv6IPv6IPv6（4.10），IPv6地址空間劃分為三種場景IPv6的積累。無種子地址的區(qū)域IPv6地址結(jié)構(gòu)規(guī)律和外部（提出了一種基于多級關(guān)聯(lián)策略的活躍IPv6地址探測IPv6地址探測的邊界。（BalancedSpacePatternRepresentation,BSPR）對種子地址模式進行建模，并構(gòu)建通用模式庫。隨后，利用該區(qū)域內(nèi)有IPv6地址的高效探測。IPv6活躍地址的探測效率與發(fā)現(xiàn)速率，避免了傳統(tǒng)暴力掃描的低效問題。這些研究成果已在IPv6網(wǎng)絡(luò)測量和安全分析中得到廣泛應用，特別是在網(wǎng)絡(luò)空間態(tài)勢感知和網(wǎng)絡(luò)安全防御領(lǐng)域。例如，團隊的研究為IPv6網(wǎng)絡(luò)中的資產(chǎn)發(fā)現(xiàn)、漏洞管理和攻擊溯源提供了重要工具，推動了我國IPv6網(wǎng)絡(luò)的規(guī)?；渴鸷桶踩Ｕ?。圖4.10IPv6活躍地址探測框架AddrMiner端口開放性預測IPv4IPv6（4.11）直至達到預設(shè)的輪次上限。通過上述的算法，團隊實現(xiàn)了端口開放性預測系統(tǒng)，圖4.11端口開放性預測架構(gòu)圖IPv6拓撲發(fā)現(xiàn)在Pv6（如圖4.12PingTracerouteIPv6網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。響應限速策略——這限制了我們使用較高的發(fā)包速率進行探測。因此，IPv6拓撲發(fā)現(xiàn)，對探測包的選取進行了精心的設(shè)計，這包括兩點：1）通過強化學習的方法找到具有高探測收益的目標區(qū)域，并給這些區(qū)域分DoubleTreeYarrp6等多種優(yōu)化技（IPv6拓撲發(fā)現(xiàn)主動探測方法，在探測效率、探測結(jié)果覆蓋廣度等指標上都超過前人的方法。（ICMPv6探測包IXPASpeering拓撲結(jié)構(gòu)分析IPv6IPv6周期非常短（數(shù)小時）。圖4.12IPv6拓撲發(fā)現(xiàn)方法三、主要成果IPv6的網(wǎng)絡(luò)空間探測（活躍地址探測）高效探測算法IPv6AddrMiner。活躍IPv6地址庫：通過持續(xù)探測，團隊累計發(fā)現(xiàn)超過21億高質(zhì)量活躍IPv6IPv6泛支撐國內(nèi)外知名科研機構(gòu)的IPv6平臺。端口開放性預測高精度預測模型IPv698%的端口狀態(tài)，及時發(fā)現(xiàn)潛在的安全風險。特征重要性分析預測的效率和準確性。IPv6拓撲發(fā)現(xiàn)準確的拓撲模型IPv6IPv6重要的依據(jù)。拓撲變化規(guī)律IPv6IPv6IPv6撲的變化情況，采取相應的措施保障網(wǎng)絡(luò)的穩(wěn)定運行。國內(nèi)成果-工業(yè)界平臺ZoomEye一、基本背景概述ZoomEye是知道創(chuàng)宇自主研發(fā)的一款網(wǎng)絡(luò)空間搜索引擎，它被廣泛應用于網(wǎng)絡(luò)資oomEePv6IPv4和IPv6ZoomEye25OSINT服務(wù)于漏洞應急響應和國家級網(wǎng)絡(luò)安全保障。二、平臺框架結(jié)構(gòu)ZoomEye4.13所示：圖4.13ZoomEye平臺框架示意圖數(shù)據(jù)采集層分布式掃描節(jié)點如HTTP、HTTPSFTP等爬蟲程序HTMLDNS可以更全面地獲取網(wǎng)絡(luò)資產(chǎn)信息。數(shù)據(jù)存儲層可靠性，數(shù)據(jù)庫采用了數(shù)據(jù)備份和冗余機制。數(shù)據(jù)檢索層Web界面ZoomEye的Web懂的搜索語法進行資產(chǎn)查詢。Web展示，方便用戶快速定位所需的網(wǎng)絡(luò)資產(chǎn)。API接口提供了豐富的API三、主要功能介紹網(wǎng)絡(luò)資產(chǎn)搜索用戶可以根據(jù)（如8080端口Apache服務(wù)器）的設(shè)備。資產(chǎn)詳情查詢安全漏洞預警ZoomEye本存在已知漏洞，ZoomEye會及時提醒用戶。資產(chǎn)可視化展示平臺提供了直觀的可視化界面，將搜索結(jié)果以地圖、圖表等形式展示出來。用戶可以通過地圖快速了解不同地區(qū)的網(wǎng)絡(luò)資產(chǎn)分布情況，通過圖表對比不同類型資產(chǎn)的數(shù)量和比例。產(chǎn)品特色AI（DeepSeek大模型IPv4/IPv6及多協(xié)議資產(chǎn)。華順信安Fofa一、基本背景概述華順信安是一家專注于網(wǎng)絡(luò)空間測繪技術(shù)創(chuàng)新的企業(yè)。Fofa作為其核心產(chǎn)品，是一款具有強大搜索能力的網(wǎng)絡(luò)空間資產(chǎn)搜索引擎。Fofa的目標是幫助企網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)，為用戶提供全方位的網(wǎng)絡(luò)安全情報服務(wù)。Fofa為安全人員節(jié)省大量的時間和精力，在國內(nèi)網(wǎng)絡(luò)安全市場上占據(jù)重要地位。二、平臺框架結(jié)構(gòu)Fofa的平臺框架主要包括數(shù)據(jù)采集模塊、數(shù)據(jù)挖掘與分析模塊、數(shù)據(jù)存儲與索引模塊和用戶交互模塊，其框架結(jié)構(gòu)示意圖如4.14所示：圖4.14Fofa平臺框架示意圖數(shù)據(jù)采集模塊全量掃描節(jié)點：Fofa部署了大量的全量掃描節(jié)點，對全球范圍內(nèi)的網(wǎng)絡(luò)資產(chǎn)進行周期性的全面掃描。掃描內(nèi)容包括各種網(wǎng)絡(luò)協(xié)議、應用程序和設(shè)備信息，確保能夠覆蓋盡可能多的網(wǎng)絡(luò)資產(chǎn)。增量掃描機制：除了全量掃描，F(xiàn)ofa還采用了增量掃描機制，對新出現(xiàn)或發(fā)生變化的資產(chǎn)進行實時監(jiān)測和更新。這種機制可以保證數(shù)據(jù)的及時性和準確性。數(shù)據(jù)挖掘與分析模塊趨勢等，并為用戶提供相應的分析報告和建議。數(shù)據(jù)存儲與索引模塊備份和恢復功能，以確保數(shù)據(jù)的安全性和可靠性。用戶交互模塊Web搜索界面：用戶可以通過Fofa的Web搜索界面輸入搜索語法進行上手。API開發(fā)接口為開發(fā)者提供了APIFofa的搜索功能集成到自己的應用程序中，實現(xiàn)個性化的開發(fā)需求。三、主要功能介紹高級搜索語法Fofa支持復雜的搜索語法，用戶可以根據(jù)多種條件組合進行資產(chǎn)搜索。例（ANDOR目標資產(chǎn)，大大提高了搜索的靈活性和準確性。資產(chǎn)關(guān)聯(lián)分析Fofa能夠?qū)λ阉鞯降馁Y產(chǎn)進行關(guān)聯(lián)分析，找出不同資產(chǎn)之間的潛在聯(lián)系。威脅情報推送結(jié)合實時的安全威脅情報，F(xiàn)ofa會為用戶推送與搜索結(jié)果相關(guān)的安全威脅用戶。歷史數(shù)據(jù)查詢分析網(wǎng)絡(luò)發(fā)展趨勢和安全事件的歷史演變具有重要意義。產(chǎn)品特點群生態(tài)。攻擊面管理創(chuàng)新：通過“線索融合-資產(chǎn)關(guān)聯(lián)-風險評估”三步自動化流程，以攻擊者視角發(fā)現(xiàn)未知資產(chǎn)，支持滾雪球式資產(chǎn)擴展與分類管理。360Quake一、基本背景概述360Quake是360公司旗下一款全面且強大的網(wǎng)絡(luò)空間搜索引擎和資產(chǎn)測360360Quake絡(luò)空間的安全穩(wěn)定。二、平臺框架結(jié)構(gòu)360Quake用戶交互層四個部分組成，下面詳細介紹各部分及其作用。數(shù)據(jù)采集層多種數(shù)據(jù)采集渠道和方法，包括但不限于：主動掃描：通過部署大量的掃描節(jié)點，主動對網(wǎng)絡(luò)中的IP地址段進行周期性的掃描，獲取資產(chǎn)的開放端口、服務(wù)信息、應用程序版本等基礎(chǔ)信息。被動監(jiān)聽：在網(wǎng)絡(luò)關(guān)鍵節(jié)點部署監(jiān)聽設(shè)備，被動收集網(wǎng)絡(luò)中的數(shù)據(jù)包信息，從中提取關(guān)于資產(chǎn)的相關(guān)線索，如域名解析記錄、設(shè)備通信信息等。數(shù)據(jù)處理層括：數(shù)據(jù)清洗確性和一致性。例如，過濾掉由于網(wǎng)絡(luò)干擾產(chǎn)生的無效掃描結(jié)果。數(shù)據(jù)標準化續(xù)的分析和查詢。例如，將不同操作系統(tǒng)返回的服務(wù)信息進行規(guī)范格式化。數(shù)據(jù)存儲HBaseMongoDB數(shù)據(jù)分析層和分析。主要功能有：資產(chǎn)關(guān)聯(lián)分析視圖，幫助用戶了解資產(chǎn)的整體分布和相互關(guān)系。漏洞發(fā)現(xiàn)與分析否存在已知的可利用漏洞。威脅情報分析意組織有關(guān)聯(lián)。用戶交互層訪問和使用平臺的功能。具體包括：搜索查詢：提供多樣化的搜索方式，用戶可以根據(jù)資產(chǎn)的IP地址、域名、端口號、服務(wù)類型等多個維度進行精確或模糊查詢，快速定位目標資產(chǎn)?？梢暬故镜亓私赓Y產(chǎn)的分布密集程度。API接口API360Quake的功能集成到自己的系統(tǒng)中，實現(xiàn)自動化的資產(chǎn)監(jiān)測和安全分析。三、主要功能介紹資產(chǎn)搜索功能360Quake具備強大的資產(chǎn)搜索能力，用戶可以根據(jù)各種條件進行靈活搜索。多維度搜索IP（HTTPFTP、SSH等段，查詢該網(wǎng)段內(nèi)所有開放HTTP服務(wù)的資產(chǎn)信息；或者輸入某個域名，查找該域名對應的所有地址及相關(guān)資產(chǎn)詳情。高級搜索語法（ANDOR使用“port:80ANDtitle:80端口且頁面標題包含“財務(wù)系統(tǒng)”的資產(chǎn)。漏洞發(fā)現(xiàn)功能通過對采集到的資產(chǎn)信息與已知漏洞庫進行比對和分析，360Quake能夠及時發(fā)現(xiàn)潛在的安全漏洞。漏洞精準識別漏洞實時監(jiān)測洞時，系統(tǒng)會立即通過短信、郵件等方式通知用戶。威脅情報分析功能360Quake析服務(wù)。威脅源識別意異?；顒?。攻擊態(tài)勢感知擊分布情況，以及攻擊趨勢的變化，從而提前做好安全防范措施。資產(chǎn)報表與可視化展示功能產(chǎn)狀況。 — —PAGE80資產(chǎn)報表生成PDF、Excel等常見文件格式，便于用戶進行存檔和分享?？梢暬故井a(chǎn)品特點360攻擊鏈分析，側(cè)重實時風險預警。產(chǎn)發(fā)現(xiàn)與漏洞驗證。Daydaymap一、基本背景概述Daydaymap的安全風險。產(chǎn)，包括服務(wù)器、設(shè)備、應用程序等，并對其進行詳細的信息采集和分析。Daydaymap二、平臺框架結(jié)構(gòu)Daydaymap四個部分組成，以下是各層的詳細介紹：數(shù)據(jù)采集層數(shù)據(jù)采集層是Daydaymap平臺的基礎(chǔ)，它負責通過多種方式收集網(wǎng)絡(luò)空間中的資產(chǎn)信息。主要的采集方式包括：主動掃描運行的服務(wù)、操作系統(tǒng)信息等。 — —PAGE81被動監(jiān)聽：通過監(jiān)聽網(wǎng)絡(luò)流量，獲取設(shè)備之間的通信信息，發(fā)現(xiàn)潛在的資產(chǎn)。第三方數(shù)據(jù)整合資產(chǎn)信息。收集到全面的網(wǎng)絡(luò)空間資產(chǎn)信息。數(shù)據(jù)處理層數(shù)據(jù)索引，便于后續(xù)的查詢和分析。能夠處理大規(guī)模的數(shù)據(jù)。數(shù)據(jù)分析層數(shù)據(jù)分析層是Daydaymap平臺的核心，它運用機器學習、深度學習、關(guān)聯(lián)分析等技術(shù)，對處理后的數(shù)據(jù)進行深入挖掘和分析。主要的分析內(nèi)容包括：資產(chǎn)關(guān)聯(lián)分析用程序與服務(wù)器的依賴關(guān)系等。漏洞風險分析等級。威脅情報分析：與外部威脅情報源進行關(guān)聯(lián)，及時發(fā)現(xiàn)潛在的安全威脅。通過數(shù)據(jù)分析層的處理，可以為用戶提供有價值的安全洞察和決策依據(jù)。4）應用服務(wù)層求進行使用。主要的應用包括：資產(chǎn)可視化：通過直觀的圖表和地圖等形式，展示網(wǎng)絡(luò)空間資產(chǎn)的分布和狀態(tài)。安全監(jiān)測與預警：實時監(jiān)測資產(chǎn)的安全狀態(tài)，當發(fā)現(xiàn)異常情況時及時發(fā)出預警。報告生成：根據(jù)用戶的需求，生成詳細的資產(chǎn)測繪報告和安全分析報告。API4.15所示。4.15Daydaymap三、主要功能介紹資產(chǎn)發(fā)現(xiàn)與識別全面掃描種類型的資產(chǎn)，包括路由器、交換機、服務(wù)器、工控設(shè)備等。資產(chǎn)識別戶全面了解網(wǎng)絡(luò)中的資產(chǎn)狀況。資產(chǎn)分類與管理行查看和篩選，如按地理位置、業(yè)務(wù)部門、資產(chǎn)類型等。漏洞管理漏洞檢測：結(jié)合漏洞數(shù)據(jù)庫和先進的漏洞檢測技術(shù)，對資產(chǎn)進行漏洞檢測，發(fā)現(xiàn)潛在的安全漏洞。漏洞評估幫助用戶優(yōu)先處理高風險漏洞。漏洞跟蹤與修復管理資產(chǎn)的安全性。安全態(tài)勢感知實時監(jiān)測：實時監(jiān)測網(wǎng)絡(luò)空間資產(chǎn)的安全狀態(tài)，及時發(fā)現(xiàn)異常行為和安全事件。威脅情報整合提高用戶的安全防范能力?？梢暬故究焖倭私庹w安全狀況。合規(guī)性檢查合規(guī)標準支持：支持多種國內(nèi)外的合規(guī)標準，如等保、PCIDSS等，幫助用戶檢查網(wǎng)絡(luò)資產(chǎn)是否符合相關(guān)標準的要求。合規(guī)報告生成建議和參考。API接口與集成APIAPIDaydaymap系統(tǒng)、業(yè)務(wù)系統(tǒng)進行集成，實現(xiàn)數(shù)據(jù)的共享和業(yè)務(wù)流程的自動化。定制化開發(fā)性化需求。Daydaymap視化界面和豐富的報表功能也方便用戶進行管理和決策。產(chǎn)品特色2.0估，適配政府及金融行業(yè)需求。目前數(shù)據(jù)對學術(shù)界開放，支撐學術(shù)研究。IPv6IPv6IPv6IPv6數(shù)據(jù)的廣度與深度方面具有明顯優(yōu)勢。奇安信天眼一、基本背景概述二、平臺框架結(jié)構(gòu)應用展示層構(gòu)成，以下是各層的詳細介紹：數(shù)據(jù)采集層等。這些收集到的數(shù)據(jù)將作為后續(xù)處理和分析的基礎(chǔ)。數(shù)據(jù)處理層庫中，以便后續(xù)的查詢和使用。數(shù)據(jù)分析層析和預測，提前發(fā)現(xiàn)潛在的安全隱患。應用展示層決策提供有力的支持。圖4.16是一個簡化的奇安信天眼平臺框架結(jié)構(gòu)示意圖：圖4.16奇安信天眼平臺框架結(jié)構(gòu)示意圖三、主要功能介紹網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)與管理安全漏洞監(jiān)測與預警WebSQL企業(yè)安全團隊，并提供相應的補丁下載鏈接和修復指導。網(wǎng)絡(luò)攻擊檢測與溯源DDoS并且可以為后續(xù)的安全調(diào)查和法律追責提供有力證據(jù)。例如，在檢測到一次DDoS地址、攻擊的峰值流量等信息，幫助企業(yè)安全團隊采取限流、封堵等措施進行應對。安全態(tài)勢感知與評估以及與同行業(yè)相比的安全風險水平，從而有針對性地加強安全防護措施。合規(guī)性檢查與管理產(chǎn)品特色全流量分析與APT防御：基于流量探針的資產(chǎn)識別與異常行為檢測，強化APT攻擊追蹤能力。支持。綠盟科技網(wǎng)絡(luò)空間地形圖一、基本背景概述晰認知成為保障網(wǎng)絡(luò)安全的基礎(chǔ)，該平臺應運而生以滿足市場需求。二、平臺框架結(jié)構(gòu)據(jù)分析層和應用展示層，具體如下：數(shù)據(jù)采集層括全端口掃描，發(fā)現(xiàn)開放的服務(wù)；同時，也會收集網(wǎng)絡(luò)流量中的資產(chǎn)相關(guān)信息。數(shù)據(jù)處理層復的數(shù)據(jù)存儲到數(shù)據(jù)庫中，便于后續(xù)的查詢和分析。數(shù)據(jù)分析層還可以對資產(chǎn)的安全態(tài)勢進行評估和預測。應用展示層圖4.17是一個簡化的框架結(jié)構(gòu)示意圖：圖4.17綠盟框架結(jié)構(gòu)示意圖三、主要功能介紹資產(chǎn)全面發(fā)現(xiàn)設(shè)備，避免因這些設(shè)備的安全漏洞而帶來的潛在風險。資產(chǎn)關(guān)聯(lián)分析關(guān)鍵服務(wù)器出現(xiàn)故障時，能夠迅速定位受影響的其他相關(guān)設(shè)備和服務(wù)。安全漏洞檢測SQL注入漏洞等，并及時生成漏洞報告，為用戶提供修復建議。態(tài)勢感知與預警息，提醒用戶及時采取防范措施。產(chǎn)品特色資產(chǎn)態(tài)勢地圖，支持宏觀決策。對業(yè)務(wù)的影響。數(shù)智安安全測繪平臺一、基本背景概述產(chǎn)的深度測繪和安全分析，為用戶提供全面、精準的資產(chǎn)安全解決方案。二、平臺框架結(jié)構(gòu)塊、核心分析引擎模塊和可視化展示模塊，具體如下：前端采集模塊采用分布式采集節(jié)點，對不同區(qū)域、不同網(wǎng)絡(luò)環(huán)境下的資產(chǎn)進行數(shù)據(jù)采集。如設(shè)備型號、操作系統(tǒng)版本、運行服務(wù)等。數(shù)據(jù)存儲與管理模塊便于后續(xù)的快速查詢和分析。核心分析引擎模塊通過機器學習算法識別異常的數(shù)據(jù)訪問模式，判斷是否存在數(shù)據(jù)泄露的風險?？梢暬故灸K內(nèi)容和方式，方便快捷地獲取所需信息。圖4.18是平臺框架結(jié)構(gòu)的示意圖：圖4.18數(shù)智安安全測繪平臺框架結(jié)構(gòu)示意圖三、主要功能介紹精細資產(chǎn)識別能夠精確識別各類網(wǎng)絡(luò)資產(chǎn)的詳細信息，包括設(shè)備的硬件參數(shù)、軟件版本、應用程序等。例如，對于一臺服務(wù)器，不僅可以識別其操作系統(tǒng)和運行的服務(wù)，還能準確判斷服務(wù)器中安裝的數(shù)據(jù)庫版本和中間件類型。供應鏈安全分析問題而影響整個企業(yè)的網(wǎng)絡(luò)安全。漏洞精準研判動態(tài)監(jiān)測與預警供相應的應急處置建議。產(chǎn)品特色AIIT設(shè)備。動態(tài)資產(chǎn)管理。 — —PAGE100第五章技術(shù)挑戰(zhàn)與未來趨勢當前技術(shù)挑戰(zhàn)數(shù)據(jù)規(guī)模與實時性矛盾IPv6這些方面的技術(shù)難點以及可能的解決方法。一、全網(wǎng)掃描的效率瓶頸技術(shù)難點巨大的數(shù)據(jù)量：當前全球互聯(lián)網(wǎng)規(guī)模極其龐大，包含數(shù)以億計的設(shè)備和據(jù)需要極高的計算資源和存儲容量。掃描時間過長完成掃描時已經(jīng)過時，無法反映當前網(wǎng)絡(luò)的真實情況。目標的動態(tài)性掃描策略的復雜性可能的解決之道分布式掃描架構(gòu)時進行掃描，大大縮短了全網(wǎng)掃描的周期。增量掃描技術(shù)高掃描效率，同時保證掃描結(jié)果的實時性。智能掃描策略可以適當降低掃描頻率。二、IPv6網(wǎng)絡(luò)空間探測技術(shù)難點地址空間巨大：IPv62128IPv4的地址空間大得多。這IPv6在一定程度上緩解了活躍IPv6尚缺乏覆蓋全球的系統(tǒng)性地址發(fā)現(xiàn)方案，所獲取的活躍地址邊界仍較受限。網(wǎng)絡(luò)拓撲復雜IPv6網(wǎng)絡(luò)拓撲結(jié)構(gòu)和設(shè)備分布的難度。路由多樣性了探測數(shù)據(jù)的收集和分析難度。安全機制增強IPsecICMPv6入了限速機制，使得掃描發(fā)包速率受到很大限制?？赡艿慕鉀Q之道分層探測策略：為實現(xiàn)全球活躍IPv6地址的高效發(fā)現(xiàn)，可采用主動探測、被動監(jiān)測與公開數(shù)據(jù)獲取等多種方式。例如，在無種子區(qū)域設(shè)計更高效的主動地IPv6DNSIPv6地址等?；诖淼奶綔y數(shù)據(jù)分析和機器學習：利用大數(shù)據(jù)分析和機器學習技術(shù)，對探測到的IPv6IPv6IPv6址進行分類，找出潛在的活躍網(wǎng)絡(luò)區(qū)域。三、全端口探測技術(shù)難點端口數(shù)量眾多65535掃描可能會被網(wǎng)絡(luò)防火墻或入侵檢測系統(tǒng)視為惡意攻擊行為，從而被阻止。目標設(shè)備響應差異網(wǎng)絡(luò)延遲和丟包返回。這會影響對端口狀態(tài)的判斷，增加誤報和漏報的概率。可能的解決之道優(yōu)化掃描算法有針對性地對可能開放的非常用端口進行掃描。隨機掃描順序率。多次掃描和驗證務(wù)指紋等，對端口狀態(tài)進行驗證。隱蔽資產(chǎn)探測、虛假信息干擾、隱私合規(guī)風險一、隱蔽資產(chǎn)探測挑戰(zhàn)技術(shù)難點資產(chǎn)隱藏技術(shù)多樣化藏資產(chǎn)。例如，利用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）IP動態(tài)變化的資產(chǎn)特性深網(wǎng)資源探測難題：深網(wǎng)（DeepWeb）是指搜索引擎無法索引到的網(wǎng)絡(luò)內(nèi)源通常需要身份驗證才能訪問，普通的掃描工具難以突破訪問權(quán)限進行探測。解決之道多源數(shù)據(jù)融合分析DNSDNS際使用的域名和資產(chǎn)。AI技術(shù)應用滲透測試與主動探測結(jié)合減少被目標網(wǎng)絡(luò)發(fā)現(xiàn)的概率，提高探測的成功率。二、虛假信息（抗測繪）干擾挑戰(zhàn)技術(shù)難點偽造信息的逼真性地址、端口狀態(tài)、服務(wù)信息等。例如，利用蜜罐技術(shù)設(shè)置虛假的服海量信息的甄別難度信息。信息動態(tài)變化導致的誤判護可能導致端口狀態(tài)發(fā)生變化，使得探測工具誤解為虛假信息干擾。解決之道基于行為特征的信息驗證提高識別虛假信息的準確性。關(guān)聯(lián)分析和交叉驗證核實其真實性，從而有效排除虛假信息的干擾。基于機器學習的異常檢測些遠離正常聚類的異常信息。三、隱私合規(guī)風險挑戰(zhàn)技術(shù)難點復雜的法規(guī)要求（CCPA）行網(wǎng)絡(luò)資產(chǎn)測繪時需要確保符合所有相關(guān)法規(guī)的要求，這增加了合規(guī)難度。數(shù)據(jù)收集與隱私保護的平衡描時，如何確保不收集過多的敏感信息，避免造成隱私侵權(quán)。數(shù)據(jù)安全存儲和處理大。一旦數(shù)據(jù)存儲系統(tǒng)遭受攻擊，可能會導致大量用戶隱私信息泄露。解決之道合規(guī)管理體系建設(shè)合規(guī)意識。隱私增強技術(shù)應用數(shù)據(jù)最小化原則數(shù)據(jù)進行清理，刪除不再需要的信息，降低數(shù)據(jù)泄露的風險。云服務(wù)動態(tài)資源探測一、技術(shù)難點資源動態(tài)性與不透明性云上部署的第三方服務(wù)通常具有高度動態(tài)性。其資源會根據(jù)負載自動伸縮，服務(wù)實例可能隨時啟動、停止或遷移，這使得傳統(tǒng)的靜態(tài)探測方法難以跟蹤。例統(tǒng)很難實時準確地捕捉到這些變化。探測系統(tǒng)不透明。多租戶環(huán)境干擾第三方服務(wù)多樣性與協(xié)議兼容性協(xié)議不斷涌現(xiàn)，使得探測系統(tǒng)的協(xié)議庫更新和維護面臨巨大挑戰(zhàn)?，F(xiàn)精準探測。安全與合規(guī)限制部分服務(wù)采用端到端加密技術(shù)，探測系統(tǒng)無法解析加密后的通信內(nèi)容。施過程中需要充分考慮這些合規(guī)要求，否則可能會面臨法律風險。二、可能的解決之道基于API的探測方法云服務(wù)商通常會提供豐富的API接口，用于管理和監(jiān)控云上資源。探測系統(tǒng)可以通過調(diào)用這些API如，通過云平臺的計算服務(wù)API可以獲取虛擬機的創(chuàng)建、刪除和遷移信息，通API可以獲取存儲資源的使用情況。與第三方服務(wù)提供商合作，獲取其開放的API商會為合作伙伴提供特定的探測系統(tǒng)可以利用這些API來提高探測的準確性和實時性。多維度數(shù)據(jù)融合與機器學習算法API例如，使用聚類算法對網(wǎng)絡(luò)流量進行聚類，將具有相似特征的流量歸為同一類，協(xié)議解析與適配技術(shù)的協(xié)議解析工具（如Scapy等），實現(xiàn)對多種網(wǎng)絡(luò)協(xié)議的解析。入探測范圍。安全合規(guī)策略設(shè)計SSL/TLS議對通信數(shù)據(jù)進行加密傳輸，防止數(shù)據(jù)被竊取或篡改。立完善的數(shù)據(jù)管理和審計機制，確保探測過程符合相關(guān)法律法規(guī)和行業(yè)標準。態(tài)。未來發(fā)展趨勢技術(shù)融合AI一、AI驅(qū)動的自動化測繪解決數(shù)據(jù)規(guī)模與處理效率難題AI強大的數(shù)據(jù)處理和分析能力為解決這一擅長處理具有網(wǎng)格結(jié)構(gòu)則適用于處理序列數(shù)據(jù)，如網(wǎng)絡(luò)中的流量信息，可學習流量的變化規(guī)律，從而預測網(wǎng)絡(luò)狀態(tài)。同時，AI大語言模型AI描結(jié)果獲得獎勵或懲罰信號，從而優(yōu)化掃描路徑和順序，使掃描效率達到最優(yōu)；利用LLM技術(shù)自動生成服務(wù)掃描代碼，提升對新型服務(wù)的探測能力。提升隱蔽資產(chǎn)發(fā)現(xiàn)能力AI技術(shù)能夠通過對網(wǎng)絡(luò)行為模式、異常流量等多維度數(shù)據(jù)的深度分析，發(fā)現(xiàn)潛在的隱蔽資產(chǎn)。例如，利用無監(jiān)督學習算法，如DBSCAN（基于密度的空間聚類算法）和自編碼器（Autoencoder），對網(wǎng)絡(luò)流量進行聚類分析和異常檢測。DBSCAN可以將具有相似特征的流量點聚集在一起，通過分析這些聚類結(jié)果，中的各種服務(wù)和設(shè)備會產(chǎn)生大量的文本信息，如日志文件、配置文件等。通過NLP技術(shù)對這些文本信息進行分析，提取其中的關(guān)鍵信息，挖掘潛在的隱蔽資產(chǎn)線索。例如，利用命名實體識別（NER）LLM的隱蔽資產(chǎn)。增強測繪的適應性和智能決策能力方法難以快速適應這種變化。AI新數(shù)據(jù)進行微調(diào)，快速適應新環(huán)境，減少重新訓練模型的時間和成本。同時，在面對復雜的測繪任務(wù)時，AI網(wǎng)絡(luò)中的異?；顒訒r，AI現(xiàn)潛在的安全威脅。二、區(qū)塊鏈技術(shù)保障數(shù)據(jù)可信度防止數(shù)據(jù)篡改和虛假信息干擾點，可以有效地防止數(shù)據(jù)被篡改和虛假信息的干擾。/測繪點共同完成對網(wǎng)絡(luò)空間的可信測繪，提升測繪的覆蓋率。保護隱私和合規(guī)性行加密，確保數(shù)據(jù)在傳輸和存儲過程中的安全性。建立可信的數(shù)據(jù)共享機制數(shù)據(jù)共享平臺，通過智能合約和共識機制，實現(xiàn)數(shù)據(jù)的安全共享。進行數(shù)據(jù)共享和協(xié)作，共同推動網(wǎng)絡(luò)空間測繪技術(shù)的發(fā)展。應用深化一、結(jié)合APT防御的戰(zhàn)術(shù)級地圖在當今復雜的網(wǎng)絡(luò)安全環(huán)境下，高級可持續(xù)威脅（APT）APTAPT攻擊的關(guān)鍵手段。下面詳細闡述其相關(guān)內(nèi)容及應用場景。APT攻擊者利用APTAPTAPT攻擊可能經(jīng)過APTAPT攻擊，通過自動阻斷和溯源，成功挫敗了攻擊企圖。二、數(shù)字孿生網(wǎng)絡(luò)空間建模及應用場景。5G調(diào)整路由策略、更換故障設(shè)備等，減少故障修復時間和對業(yè)務(wù)的影響。建設(shè)提供依據(jù)。三、更多網(wǎng)絡(luò)空間測繪的應用場景工業(yè)互聯(lián)網(wǎng)安全保障PLC質(zhì)量問題。智慧城市建設(shè)恢復工作提供決策依據(jù)。供應鏈安全管理止貨物運輸過程中的信息泄露和供應鏈中斷事件。金融科技風險防控規(guī)性檢查提供依據(jù)，確保其符合監(jiān)管要求。標準化建設(shè)一、網(wǎng)絡(luò)空間測繪當前標準化現(xiàn)狀套方法和標準。數(shù)據(jù)格式不統(tǒng)一XML有的則偏好JSON格式。甚至在一些情況下，為了特定的應用場景，還會使用變得極為困難。接口規(guī)范缺失系統(tǒng)單獨開發(fā)適配代碼，大大增加了開發(fā)成本和復雜度。缺乏行業(yè)規(guī)范引導質(zhì)量和可靠性上參差不齊。二、相關(guān)部門及用戶單位的需求的互聯(lián)互通互操作提出了更為迫切的需求。政府監(jiān)管部門策提供更準確、更及時的支持。企業(yè)用戶一的標準來實現(xiàn)不同測繪系統(tǒng)的互聯(lián)互通，提高工作效率和管理水平。科研機構(gòu)促進學術(shù)交流和合作，推動網(wǎng)絡(luò)空間測繪技術(shù)的發(fā)展。三、網(wǎng)絡(luò)空間測繪標準化發(fā)展趨勢數(shù)據(jù)格式標準化制定通用數(shù)據(jù)模型例如，借鑒地理信息系統(tǒng)（GIS）中的通用數(shù)據(jù)模型，將網(wǎng)絡(luò)空間中的節(jié)點和鏈路進行抽象和分類，以統(tǒng)一的方式進行表示和存儲。推廣標準數(shù)據(jù)文件格式的系統(tǒng)和工具所識別和處理。JSON-LD（JSONforLinkingData）這種具有語義之間的語義關(guān)聯(lián)，方便數(shù)據(jù)的查詢和分析。接口規(guī)范標準化定義通用接口協(xié)議HTTPTCPMQTT見的網(wǎng)絡(luò)協(xié)議，以適應不同的應用場景。例如，采用RESTfulAPI功能調(diào)用。制定統(tǒng)一接口參數(shù)標準行業(yè)規(guī)范與標準體系建設(shè)建立數(shù)據(jù)質(zhì)量評估標準可以提高數(shù)據(jù)的可靠性和可用性。例如，規(guī)定設(shè)備信息的準確率應達到95%以上，網(wǎng)絡(luò)拓撲的更新周期不應超過24小時等。規(guī)范數(shù)據(jù)采集與使用規(guī)則行嚴格的加密和訪問控制。推動國際標準合作全球網(wǎng)絡(luò)空間的安全和穩(wěn)定。面向新形態(tài)網(wǎng)絡(luò)空間的測繪一、新形態(tài)網(wǎng)絡(luò)空間的特點云網(wǎng)絡(luò)動態(tài)性結(jié)構(gòu)和設(shè)備狀態(tài)不斷改變。多租戶性絡(luò)性能的要求差異很大。彈性伸縮物聯(lián)網(wǎng)設(shè)備多樣性中的溫度傳感器和智能門鎖可能使用不同的無線通信協(xié)議進行數(shù)據(jù)傳輸。分布廣泛業(yè)中的遠程土壤濕度傳感器可能部署在偏遠的農(nóng)田中，網(wǎng)絡(luò)連接不穩(wěn)定。數(shù)據(jù)海量輛速度、流量等信息。內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）節(jié)點分布廣泛：CDNCDNAkamai在世界各地擁有數(shù)千個節(jié)點服務(wù)器。內(nèi)容分發(fā)動態(tài)性：CDN會根據(jù)用戶的地理位置和網(wǎng)絡(luò)狀況動態(tài)地選擇最合適的節(jié)點服務(wù)器進行內(nèi)容分發(fā)。例如，當用戶訪問某一網(wǎng)站時，CDN會自動選擇距離用戶最近且網(wǎng)絡(luò)連接最好的節(jié)點服務(wù)器提供內(nèi)容。流量波動大在熱門視頻發(fā)布時，相關(guān)網(wǎng)站的流量會急劇增加，CDN需要能夠快速響應并提供足夠的帶寬。暗網(wǎng)匿名性強（如TOR網(wǎng)絡(luò)IP（易、毒品販賣、個人信息販賣等）的人群，加劇了對其監(jiān)管和探測的難度。內(nèi)容高度隱蔽（如.onion絡(luò)發(fā)現(xiàn)工具找到，它們隱藏在普通互聯(lián)網(wǎng)的背后，為惡意活動提供了避風港。網(wǎng)絡(luò)結(jié)構(gòu)復雜繪的難度。二、新形態(tài)網(wǎng)絡(luò)空間測繪研究現(xiàn)狀云網(wǎng)絡(luò)接口來獲取云網(wǎng)絡(luò)的資源信息的API物聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)CDN網(wǎng)絡(luò)測繪的研究主要集中在節(jié)點發(fā)現(xiàn)和性能評估方面。通過向CDNCDN網(wǎng)絡(luò)的全局拓撲結(jié)構(gòu)和流量分布仍然是研究的熱點。暗網(wǎng)基于流量分析的探測方法密和混淆技術(shù)，這種方法的準確率和召回率仍有待提高。主動探測與蜜罐技術(shù)基于情報共享的探測格式不統(tǒng)一、隱私保護和信任問題，限制了其效果的進一步提升。三、新形態(tài)網(wǎng)絡(luò)空間測繪需求云網(wǎng)絡(luò)安全評估機實例。資源管理調(diào)度資源，提高資源利用率。例如，優(yōu)化云服務(wù)器的配置，避免資源浪費。合規(guī)性檢查：確保云網(wǎng)絡(luò)的配置符合相關(guān)的法規(guī)和標準要求，例如GDPR（通用數(shù)據(jù)保護條例）等。物聯(lián)網(wǎng)安全監(jiān)測露等問題。例如，檢測智能攝像頭是否被非法入侵。故障診斷網(wǎng)絡(luò)優(yōu)化遲。內(nèi)容分發(fā)網(wǎng)絡(luò)性能優(yōu)化CDN故障排查CDNCDN了問題。競爭分析CDNCDN選擇和使用策略提供參考。暗網(wǎng)安全保障需求維護社會秩序。威脅情報收集需求學術(shù)研究需求等問題提供理論和實踐基礎(chǔ)。四、新形態(tài)網(wǎng)絡(luò)空間測繪基本思路云網(wǎng)絡(luò)數(shù)據(jù)采集：利用云平臺提供的API數(shù)據(jù)分析：動態(tài)變化。最后，分析云網(wǎng)絡(luò)中的安全威脅和風險，評估云服務(wù)的安全性。結(jié)果呈現(xiàn)：網(wǎng)絡(luò)視圖。生成云網(wǎng)絡(luò)的安全報告和性能評估報告，為用戶的決策提供支持。物聯(lián)網(wǎng)設(shè)備發(fā)現(xiàn)：利用藍牙、WiFi注冊信息，獲取設(shè)備的詳細信息和地理位置。拓撲繪制：性和動態(tài)性，實時更新拓撲結(jié)構(gòu)。數(shù)據(jù)整合與分析：業(yè)務(wù)價值。內(nèi)容分發(fā)網(wǎng)絡(luò)節(jié)點發(fā)現(xiàn)：DNSCDNCDN提供商的合作，獲取節(jié)點的地理位置和網(wǎng)絡(luò)配置信息。性能評估：向CDNCDN整體性能。拓撲構(gòu)建：CDNCDN網(wǎng)絡(luò)的動態(tài)性，實時更新拓撲結(jié)構(gòu)，反映CDN網(wǎng)絡(luò)的變化情況。暗網(wǎng)多模態(tài)數(shù)據(jù)融合準地判斷一個暗網(wǎng)節(jié)點是否涉及非法活動，以及活動的具體類型。AI與機器學習的深度應用GRU）別和預測能力。以獲取更多有價值的信息?？鐕献髋c國際標準制定挑戰(zhàn)。暗網(wǎng)測繪工作的規(guī)范化和科學化。與區(qū)塊鏈技術(shù)結(jié)合據(jù)交換和合作。面向新涌現(xiàn)暗網(wǎng)技術(shù)的適應性探測保在新的暗網(wǎng)技術(shù)出現(xiàn)時能夠迅速開展有效的測繪工作?？梢暬c交互技術(shù)的應用地了解暗網(wǎng)的整體態(tài)勢和關(guān)鍵信息，提高決策效率和準確性。好地應對暗網(wǎng)帶來的威脅。（如俄烏沖突等StarlinkDaydaymap為代表的部分網(wǎng)絡(luò)空間測繪平臺已經(jīng)專門針對星鏈衛(wèi)星互聯(lián)網(wǎng)進行版本的時候再做專題研究。 — —117第六章典型應用場景與案例攻防對抗支撐攻擊面管理（ASM）一、應用場景描述則需要盡可能全面地了解自身的攻擊面，以便采取有效的防護措施。網(wǎng)絡(luò)安全策略不同，ASM擊面的動態(tài)管理，能夠幫助組織及時發(fā)現(xiàn)潛在的安全威脅并進行處理。二、網(wǎng)絡(luò)空間測繪對識別暴露資產(chǎn)的作用網(wǎng)絡(luò)空間測繪是一種通過各種技術(shù)手段對網(wǎng)絡(luò)資產(chǎn)進行全面探測和定位的方法。在攻擊面管理中，它對于識別暴露資產(chǎn)起著至關(guān)重要的作用。全面資產(chǎn)發(fā)現(xiàn)避免因資產(chǎn)信息不完整而導致的安全隱患。實時動態(tài)監(jiān)測————PAGE118評估和管理。資產(chǎn)屬性識別判斷該服務(wù)器是否存在已知的