網絡安全攻防視角下的資產安全運營研究

摘要：本文結合攻防雙方的技術特點，從攻擊視角和安全運營視角出發，將主動探測、搜索引擎多接口探測技術和被動探測技術相結合，實現了資產自動化探測、自動化攻擊面挖掘和攻擊面生命周期管理，有效解決了資產探測分析和攻擊面管理難的問題，降低公司網絡安全運營風險。

關鍵詞：網絡安全；攻防視角；資產探測；指紋識別；攻擊面；資產安全運營

doi：10.3969/J.ISSN.1672-7274.2025.03.041

中圖分類號：TP 393.08 " " " " "文獻標志碼：B " " " " " "文章編碼：1672-7274（2025）03-0-03

Research on Asset Security Operation from the Perspective

of Network Security Attack and Defense

TENG Kaiqing， ZENG Zhelin， ZHANG Cheng， LIU Sipeng

（China United Network Communications Co.， Ltd. Fujian Branch， Fuzhou 350001， China）

Abstract： The article combines the technical characteristics of both the attack and defense sides， and from the perspectives of attack and security operations， combines active detection， search engine multi interface detection technology， and passive detection technology to achieve automated asset detection， automated attack surface mining， and attack surface lifecycle management capabilities， effectively solving the problem of difficult asset detection analysis and attack surface management， and reducing the company's network security operation risks.

Keywords： network security; offensive and defensive perspective; asset detection; fingerprint recognition; attack surface; asset security operation

1 " 研究背景

在當今數字化時代，企業的創新與進步為民眾提供了多元產品和服務，促進了社會經濟的持續穩定發展。同時，大型企業密集的通信網絡也是社會信息流通的關鍵通道，連接著各行業與廣大民眾，支撐著經濟活動、政務服務、公共安全等重要領域運行。企業數字化資產如硬件服務設備、業務系統、服務軟件、數據中心等，對于保障業務服務質量、滿足用戶需求以及推動產業發展起著核心作用。

基于聯網服務的特性，數字資產面臨來自網絡攻擊的風險。一方面，有針對性的攻擊可能造成大量用戶敏感信息泄露；另一方面，惡意攻擊可能控制網絡基礎設施，使網絡陷入癱瘓，進而對社會經濟穩定和公共安全造成難以估量的損失。如何提高對資產安全的管理和防護成為企業安全保障的重要因素。

2 " 面臨的問題

（1）數字資產規模大。企業為滿足數字化發展的需要，投入大量資源建設網絡，產生海量規模的互聯網資產，包括IP地址、域名、網絡設備和各類功能豐富的數據庫、中間件、泛應用軟件。

（2）應急響應效率低。企業行政單元間調度成本高，信息傳遞鏈長，應急流程環節多，導致應急響應效率低、風險排查周期長的問題。因此，亟須通過技術手段識別、管控企業資產的風險隱患。

（3）攻擊面閉環管理難。企業在攻擊面閉環管理工作中面對不斷變化的數字資產，無法確保無遺漏地發現所有攻擊面，也缺乏統一有效的評估模型和標準，難以保證風險評估的準確性，同時新的攻擊技術不斷出現，處置手段無法持續維持有效性。

3 " 網絡空間資產探測技術

資產探測技術是指通過一系列技術手段對互聯網、企業內網/專網等網絡空間的IP地址、域名、主機、數據庫進行信息普查和詳細探測，該技術用于網絡安全監測、風險評估、安全審計等多方面工作[1]。

3.1 攻擊視角資產探測技術

3.1.1 資產主動探測技術

資主動探測技術是利用TCP/IP模型的傳輸層、網絡層和應用層協議[2]，開展資產探測和分析工作。其技術實現方式是通過向網絡資產發送定制的請求，利用響應包提取指紋，并與指紋庫對比進行資產識別[3]。

（1）基于傳輸層的探測。基于傳輸層的資產探測技術依賴傳輸層協議，如傳輸控制協議（TCP）和用戶數據報協議（UDP），通過存活設備開放的端口及服務分析資產。TCP掃描技術包括SYN掃描、CONNECT掃描、FIN掃描等。UDP掃描利用UDP無連接的特點，向目標端口發送UDP包，并根據返回報文判斷端口狀態。

（2）基于網絡層的探測。基于網絡層的資產探測技術利用IP層協議和數據包特征提供探測服務。常用的技術包括ICMP、ARP、Traceroute/Tracert探測技術，如ICMP探測通過ICMP包中的“類型”和“代碼”判斷主機的存活性和其他信息。

（3）基于應用層的探測。基于應用層的資產探測技術通過分析流量中HTTP、FTP、SMTP等應用層協議數據包，提取關鍵信息識別資產。例如HTTP通過響應包的server字段判斷操作系統類型及運行的應用和服務信息。

3.1.2 資產搜索引擎探測技術

資產搜索引擎探測技術包括使用內容搜索引擎和安全搜索引擎探測。安全搜索引擎常見的有Zoomeye、FOFA等。Zoomeye可以準確識別超過30種不同類型的網絡終端設備，包括路由器、交換機、網絡攝像頭、網絡打印機等[4]。FOFA系統是覆蓋最完整的IT設備搜索引擎，擁有包含1.7億資產指紋數據的網絡空間資產基因庫。

3.2 安全運營視角下資產探測技術

安全運營視角下的資產探測技術利用被動探測方法收集資產。其采用網絡嗅探、流量分析技術，分析流量在TCP/IP模型中不同層級的協議數據。例如，分析應用層協議或網絡側協議，如HTTP、FTP、IP等，獲得主機存活信息、端口信息及應用服務等更多指紋特征信息。

被動探測技術不主動向目標發起請求，但是這一技術無法發現未產生流量的設備，同時也需要較大的成本投入。

4 " 資產安全運營系統

4.1 系統架構概述

資產安全運營系統分為資產探測、自動化攻擊面挖掘和攻擊面生命周期管理模塊，架構如圖1所示。

4.2 資產探測

資產探測分資產探測-資產數據收集與清洗-指紋識別三個過程。該模塊對初次收集到的資產進行數據清洗，并進行特征提取和指紋識別，獲得資產的細顆粒度信息，形成特征庫。

4.2.1 資產探測

本次研究采用攻防結合探測的技術，利用攻防雙方的特點，把資產探測劃分為攻擊視角資產探測階段和安全運營視角資產探測階。收集入庫的資產信息關鍵字段見表1。

（1）資產探測攻擊視角階段包括主動探測和搜索引擎探測技術。

主動資產探測技術使用傳輸層、網絡層和應用層的探測技術進行啟發式搜索。

搜索引擎資產探測技術需要輸入目標基礎信息，為精準探測資產，可以使用多個條件一起查詢。

（2）資產探測安全運營視角階段。安全運營者視角階段利用流量探針和DNS解析數據共同開展被動探測。能實時抓取流量，對資產進行被動資產探測。

4.2.2 資產數據收集與清洗

通過主動探測和安全搜索引擎探測技術收集的資產數據存在噪聲數據，需要進行數據清洗去除數據噪聲。

（1）資產數據直接清洗。備案信息查詢使用ICP備案查詢接口，對域名信息進行備案查詢；域名證書則通過Censys網站進行證書組織校對，主機探測通過掃描的端口獲取基礎信息，判斷資產歸屬。

（2）特征庫的更新和使用。特征庫的升級維護使用爬蟲技術爬取網站title、備案信息、favicon、網站內容，在已有資產網站提取特征并通過人工判斷，符合條件的納入特征庫中。

4.2.3 資產指紋識別

（1）指紋識別攻擊視角階段。本階段采用主動探測和基于資產搜索引擎的指紋識別技術對清洗過的資產數據進行分析，采用Nmap和Masscan開展端口及服務掃描，并結合資產搜索引擎探測指紋，識別CMS類型、Web服務組件、開發語言等信息[5]。

（2）指紋識別安全運營視角階段。本階段從網絡層、應用層通信中等返回的Banner信息和響應包中獲得指紋。當前主流的開源被動流量分析工具有P0f、Fatt、Prads等系統[6]，本次研究經過驗證選定P0f和Prads兩款分析工具共同進行指紋識別。

4.2.4 自動化資產探測

自動資產探測由被動探測和周期性主動探測兩條路線。被動探測通過流量實時監測，比對資產增量和資產指紋變動，當發生變化后立即對該資產的關聯資產進行主動探測和搜索引擎探測，清洗探測結果后更新指紋庫。周期性主動探測則以一周為單位，進行周期性的主動探測，并在清洗探測結果后更新資產庫。

4.3 自動化攻擊面挖掘

著名軍工企業Lockheed Martin提出了偵測、利用、攻擊、控制、移動5個階段的攻擊鏈模型，本次研究關注攻擊鏈的偵測、利用和攻擊階段，以獲得有效的Meterpreter[7]。偵測階段使用資產指紋信息，在偵測階段主要進行資產指紋獲取，并利用獲取的指紋在利用階段開展威脅建模，匹配Web漏洞、操作系統漏洞、弱口令等荷載，在攻擊階段調用Metasploit框架開展自動化滲透，輸出存在的攻擊面和對應的荷載。自動化探測在資產變更或漏洞庫更新時觸發，提取相關資產指紋進行攻擊荷載匹配，然后排查攻擊面，最后將攻擊面存入數據庫中，詳細流程見圖2。

4.4 攻擊面生命周期管理

攻擊面生命周期管理依托平臺的資產管理、攻擊面管理和數據展示模塊進行攻擊面全生命周期的管理。漏洞管理模塊管理攻擊面發現、驗證、修復、復測和關閉過程，實現攻擊面全生命周期可管、可控。數據展示模塊可視化展示攻擊面統計信息、資產統計信息和風險情報信息，直觀展現風險態勢分析等。最終實現攻擊面快速處置，減少風險暴露，降低安全事件發生概率。

5 " 結束語

本文設計了一套資產安全運營系統，能實現對網絡空間資產的實時探測、指紋分析、攻擊面挖掘和攻擊面全生命周期管理。目前系統還處于初期試驗階段，在資產數據清洗、指紋識別準確度方面還有需要優化的地方。未來將繼續完善平臺功能，使平臺賦能各行各業，構建更安全的網絡空間。

參考文獻

[1] 張衍亮.網絡空間探測與安全評估平臺的設計與實現[D].濟南：山東大學，2023.

[2] 李明興.基于深度學習的網絡資產探測技術研究與實現[D].北京：北京郵電大學，2023.

[3] 王宸東，郭淵博，甄帥輝，等.網絡資產探測技術研究[J].計算機科學，

2018，45（12）：24-31.

[4] 王鵬，秦志鵬.網絡空間資產探測技術研究[J].網絡安全技術與應用，

2024（5）：20-22.

[5] 陳安哲.基于網絡空間探測的動態網絡資產探測掃描系統的設計與實現[D].上海：華東師范大學，2022.

[6] 謝文杰.IP測控網流量監控與分析系統的設計與實現[D].成都：電子科技大學，2018.

[7] 康海燕，龍墨瀾，張聰明.自動化滲透測試應用研究綜述[J].網絡空間安全科學學報，2023，1（2）：59-72.