摘要：本文結(jié)合攻防雙方的技術(shù)特點(diǎn)，從攻擊視角和安全運(yùn)營(yíng)視角出發(fā)，將主動(dòng)探測(cè)、搜索引擎多接口探測(cè)技術(shù)和被動(dòng)探測(cè)技術(shù)相結(jié)合，實(shí)現(xiàn)了資產(chǎn)自動(dòng)化探測(cè)、自動(dòng)化攻擊面挖掘和攻擊面生命周期管理，有效解決了資產(chǎn)探測(cè)分析和攻擊面管理難的問(wèn)題，降低公司網(wǎng)絡(luò)安全運(yùn)營(yíng)風(fēng)險(xiǎn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；攻防視角；資產(chǎn)探測(cè)；指紋識(shí)別；攻擊面；資產(chǎn)安全運(yùn)營(yíng)

doi：10.3969/J.ISSN.1672-7274.2025.03.041

中圖分類(lèi)號(hào)：TP 393.08 " " " " "文獻(xiàn)標(biāo)志碼：B " " " " " "文章編碼：1672-7274（2025）03-0-03

Research on Asset Security Operation from the Perspective

of Network Security Attack and Defense

TENG Kaiqing， ZENG Zhelin， ZHANG Cheng， LIU Sipeng

（China United Network Communications Co.， Ltd. Fujian Branch， Fuzhou 350001， China）

Abstract： The article combines the technical characteristics of both the attack and defense sides， and from the perspectives of attack and security operations， combines active detection， search engine multi interface detection technology， and passive detection technology to achieve automated asset detection， automated attack surface mining， and attack surface lifecycle management capabilities， effectively solving the problem of difficult asset detection analysis and attack surface management， and reducing the company's network security operation risks.

Keywords： network security; offensive and defensive perspective; asset detection; fingerprint recognition; attack surface; asset security operation

1 " 研究背景

在當(dāng)今數(shù)字化時(shí)代，企業(yè)的創(chuàng)新與進(jìn)步為民眾提供了多元產(chǎn)品和服務(wù)，促進(jìn)了社會(huì)經(jīng)濟(jì)的持續(xù)穩(wěn)定發(fā)展。同時(shí)，大型企業(yè)密集的通信網(wǎng)絡(luò)也是社會(huì)信息流通的關(guān)鍵通道，連接著各行業(yè)與廣大民眾，支撐著經(jīng)濟(jì)活動(dòng)、政務(wù)服務(wù)、公共安全等重要領(lǐng)域運(yùn)行。企業(yè)數(shù)字化資產(chǎn)如硬件服務(wù)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)軟件、數(shù)據(jù)中心等，對(duì)于保障業(yè)務(wù)服務(wù)質(zhì)量、滿(mǎn)足用戶(hù)需求以及推動(dòng)產(chǎn)業(yè)發(fā)展起著核心作用。

基于聯(lián)網(wǎng)服務(wù)的特性，數(shù)字資產(chǎn)面臨來(lái)自網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。一方面，有針對(duì)性的攻擊可能造成大量用戶(hù)敏感信息泄露；另一方面，惡意攻擊可能控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施，使網(wǎng)絡(luò)陷入癱瘓，進(jìn)而對(duì)社會(huì)經(jīng)濟(jì)穩(wěn)定和公共安全造成難以估量的損失。如何提高對(duì)資產(chǎn)安全的管理和防護(hù)成為企業(yè)安全保障的重要因素。

2 " 面臨的問(wèn)題

（1）數(shù)字資產(chǎn)規(guī)模大。企業(yè)為滿(mǎn)足數(shù)字化發(fā)展的需要，投入大量資源建設(shè)網(wǎng)絡(luò)，產(chǎn)生海量規(guī)模的互聯(lián)網(wǎng)資產(chǎn)，包括IP地址、域名、網(wǎng)絡(luò)設(shè)備和各類(lèi)功能豐富的數(shù)據(jù)庫(kù)、中間件、泛應(yīng)用軟件。

（2）應(yīng)急響應(yīng)效率低。企業(yè)行政單元間調(diào)度成本高，信息傳遞鏈長(zhǎng)，應(yīng)急流程環(huán)節(jié)多，導(dǎo)致應(yīng)急響應(yīng)效率低、風(fēng)險(xiǎn)排查周期長(zhǎng)的問(wèn)題。因此，亟須通過(guò)技術(shù)手段識(shí)別、管控企業(yè)資產(chǎn)的風(fēng)險(xiǎn)隱患。

（3）攻擊面閉環(huán)管理難。企業(yè)在攻擊面閉環(huán)管理工作中面對(duì)不斷變化的數(shù)字資產(chǎn)，無(wú)法確保無(wú)遺漏地發(fā)現(xiàn)所有攻擊面，也缺乏統(tǒng)一有效的評(píng)估模型和標(biāo)準(zhǔn)，難以保證風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性，同時(shí)新的攻擊技術(shù)不斷出現(xiàn)，處置手段無(wú)法持續(xù)維持有效性。

3 " 網(wǎng)絡(luò)空間資產(chǎn)探測(cè)技術(shù)

資產(chǎn)探測(cè)技術(shù)是指通過(guò)一系列技術(shù)手段對(duì)互聯(lián)網(wǎng)、企業(yè)內(nèi)網(wǎng)/專(zhuān)網(wǎng)等網(wǎng)絡(luò)空間的IP地址、域名、主機(jī)、數(shù)據(jù)庫(kù)進(jìn)行信息普查和詳細(xì)探測(cè)，該技術(shù)用于網(wǎng)絡(luò)安全監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、安全審計(jì)等多方面工作[1]。

3.1 攻擊視角資產(chǎn)探測(cè)技術(shù)

3.1.1 資產(chǎn)主動(dòng)探測(cè)技術(shù)

資主動(dòng)探測(cè)技術(shù)是利用TCP/IP模型的傳輸層、網(wǎng)絡(luò)層和應(yīng)用層協(xié)議[2]，開(kāi)展資產(chǎn)探測(cè)和分析工作。其技術(shù)實(shí)現(xiàn)方式是通過(guò)向網(wǎng)絡(luò)資產(chǎn)發(fā)送定制的請(qǐng)求，利用響應(yīng)包提取指紋，并與指紋庫(kù)對(duì)比進(jìn)行資產(chǎn)識(shí)別[3]。

（1）基于傳輸層的探測(cè)?；趥鬏攲拥馁Y產(chǎn)探測(cè)技術(shù)依賴(lài)傳輸層協(xié)議，如傳輸控制協(xié)議（TCP）和用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP），通過(guò)存活設(shè)備開(kāi)放的端口及服務(wù)分析資產(chǎn)。TCP掃描技術(shù)包括SYN掃描、CONNECT掃描、FIN掃描等。UDP掃描利用UDP無(wú)連接的特點(diǎn)，向目標(biāo)端口發(fā)送UDP包，并根據(jù)返回報(bào)文判斷端口狀態(tài)。

（2）基于網(wǎng)絡(luò)層的探測(cè)?；诰W(wǎng)絡(luò)層的資產(chǎn)探測(cè)技術(shù)利用IP層協(xié)議和數(shù)據(jù)包特征提供探測(cè)服務(wù)。常用的技術(shù)包括ICMP、ARP、Traceroute/Tracert探測(cè)技術(shù)，如ICMP探測(cè)通過(guò)ICMP包中的“類(lèi)型”和“代碼”判斷主機(jī)的存活性和其他信息。

（3）基于應(yīng)用層的探測(cè)。基于應(yīng)用層的資產(chǎn)探測(cè)技術(shù)通過(guò)分析流量中HTTP、FTP、SMTP等應(yīng)用層協(xié)議數(shù)據(jù)包，提取關(guān)鍵信息識(shí)別資產(chǎn)。例如HTTP通過(guò)響應(yīng)包的server字段判斷操作系統(tǒng)類(lèi)型及運(yùn)行的應(yīng)用和服務(wù)信息。

3.1.2 資產(chǎn)搜索引擎探測(cè)技術(shù)

資產(chǎn)搜索引擎探測(cè)技術(shù)包括使用內(nèi)容搜索引擎和安全搜索引擎探測(cè)。安全搜索引擎常見(jiàn)的有Zoomeye、FOFA等。Zoomeye可以準(zhǔn)確識(shí)別超過(guò)30種不同類(lèi)型的網(wǎng)絡(luò)終端設(shè)備，包括路由器、交換機(jī)、網(wǎng)絡(luò)攝像頭、網(wǎng)絡(luò)打印機(jī)等[4]。FOFA系統(tǒng)是覆蓋最完整的IT設(shè)備搜索引擎，擁有包含1.7億資產(chǎn)指紋數(shù)據(jù)的網(wǎng)絡(luò)空間資產(chǎn)基因庫(kù)。

3.2 安全運(yùn)營(yíng)視角下資產(chǎn)探測(cè)技術(shù)

安全運(yùn)營(yíng)視角下的資產(chǎn)探測(cè)技術(shù)利用被動(dòng)探測(cè)方法收集資產(chǎn)。其采用網(wǎng)絡(luò)嗅探、流量分析技術(shù)，分析流量在TCP/IP模型中不同層級(jí)的協(xié)議數(shù)據(jù)。例如，分析應(yīng)用層協(xié)議或網(wǎng)絡(luò)側(cè)協(xié)議，如HTTP、FTP、IP等，獲得主機(jī)存活信息、端口信息及應(yīng)用服務(wù)等更多指紋特征信息。

被動(dòng)探測(cè)技術(shù)不主動(dòng)向目標(biāo)發(fā)起請(qǐng)求，但是這一技術(shù)無(wú)法發(fā)現(xiàn)未產(chǎn)生流量的設(shè)備，同時(shí)也需要較大的成本投入。

4 " 資產(chǎn)安全運(yùn)營(yíng)系統(tǒng)

4.1 系統(tǒng)架構(gòu)概述

資產(chǎn)安全運(yùn)營(yíng)系統(tǒng)分為資產(chǎn)探測(cè)、自動(dòng)化攻擊面挖掘和攻擊面生命周期管理模塊，架構(gòu)如圖1所示。

4.2 資產(chǎn)探測(cè)

資產(chǎn)探測(cè)分資產(chǎn)探測(cè)-資產(chǎn)數(shù)據(jù)收集與清洗-指紋識(shí)別三個(gè)過(guò)程。該模塊對(duì)初次收集到的資產(chǎn)進(jìn)行數(shù)據(jù)清洗，并進(jìn)行特征提取和指紋識(shí)別，獲得資產(chǎn)的細(xì)顆粒度信息，形成特征庫(kù)。

4.2.1 資產(chǎn)探測(cè)

本次研究采用攻防結(jié)合探測(cè)的技術(shù)，利用攻防雙方的特點(diǎn)，把資產(chǎn)探測(cè)劃分為攻擊視角資產(chǎn)探測(cè)階段和安全運(yùn)營(yíng)視角資產(chǎn)探測(cè)階。收集入庫(kù)的資產(chǎn)信息關(guān)鍵字段見(jiàn)表1。

（1）資產(chǎn)探測(cè)攻擊視角階段包括主動(dòng)探測(cè)和搜索引擎探測(cè)技術(shù)。

主動(dòng)資產(chǎn)探測(cè)技術(shù)使用傳輸層、網(wǎng)絡(luò)層和應(yīng)用層的探測(cè)技術(shù)進(jìn)行啟發(fā)式搜索。

搜索引擎資產(chǎn)探測(cè)技術(shù)需要輸入目標(biāo)基礎(chǔ)信息，為精準(zhǔn)探測(cè)資產(chǎn)，可以使用多個(gè)條件一起查詢(xún)。

（2）資產(chǎn)探測(cè)安全運(yùn)營(yíng)視角階段。安全運(yùn)營(yíng)者視角階段利用流量探針和DNS解析數(shù)據(jù)共同開(kāi)展被動(dòng)探測(cè)。能實(shí)時(shí)抓取流量，對(duì)資產(chǎn)進(jìn)行被動(dòng)資產(chǎn)探測(cè)。

4.2.2 資產(chǎn)數(shù)據(jù)收集與清洗

通過(guò)主動(dòng)探測(cè)和安全搜索引擎探測(cè)技術(shù)收集的資產(chǎn)數(shù)據(jù)存在噪聲數(shù)據(jù)，需要進(jìn)行數(shù)據(jù)清洗去除數(shù)據(jù)噪聲。

（1）資產(chǎn)數(shù)據(jù)直接清洗。備案信息查詢(xún)使用ICP備案查詢(xún)接口，對(duì)域名信息進(jìn)行備案查詢(xún)；域名證書(shū)則通過(guò)Censys網(wǎng)站進(jìn)行證書(shū)組織校對(duì)，主機(jī)探測(cè)通過(guò)掃描的端口獲取基礎(chǔ)信息，判斷資產(chǎn)歸屬。

（2）特征庫(kù)的更新和使用。特征庫(kù)的升級(jí)維護(hù)使用爬蟲(chóng)技術(shù)爬取網(wǎng)站title、備案信息、favicon、網(wǎng)站內(nèi)容，在已有資產(chǎn)網(wǎng)站提取特征并通過(guò)人工判斷，符合條件的納入特征庫(kù)中。

4.2.3 資產(chǎn)指紋識(shí)別

（1）指紋識(shí)別攻擊視角階段。本階段采用主動(dòng)探測(cè)和基于資產(chǎn)搜索引擎的指紋識(shí)別技術(shù)對(duì)清洗過(guò)的資產(chǎn)數(shù)據(jù)進(jìn)行分析，采用Nmap和Masscan開(kāi)展端口及服務(wù)掃描，并結(jié)合資產(chǎn)搜索引擎探測(cè)指紋，識(shí)別CMS類(lèi)型、Web服務(wù)組件、開(kāi)發(fā)語(yǔ)言等信息[5]。

（2）指紋識(shí)別安全運(yùn)營(yíng)視角階段。本階段從網(wǎng)絡(luò)層、應(yīng)用層通信中等返回的Banner信息和響應(yīng)包中獲得指紋。當(dāng)前主流的開(kāi)源被動(dòng)流量分析工具有P0f、Fatt、Prads等系統(tǒng)[6]，本次研究經(jīng)過(guò)驗(yàn)證選定P0f和Prads兩款分析工具共同進(jìn)行指紋識(shí)別。

4.2.4 自動(dòng)化資產(chǎn)探測(cè)

自動(dòng)資產(chǎn)探測(cè)由被動(dòng)探測(cè)和周期性主動(dòng)探測(cè)兩條路線(xiàn)。被動(dòng)探測(cè)通過(guò)流量實(shí)時(shí)監(jiān)測(cè)，比對(duì)資產(chǎn)增量和資產(chǎn)指紋變動(dòng)，當(dāng)發(fā)生變化后立即對(duì)該資產(chǎn)的關(guān)聯(lián)資產(chǎn)進(jìn)行主動(dòng)探測(cè)和搜索引擎探測(cè)，清洗探測(cè)結(jié)果后更新指紋庫(kù)。周期性主動(dòng)探測(cè)則以一周為單位，進(jìn)行周期性的主動(dòng)探測(cè)，并在清洗探測(cè)結(jié)果后更新資產(chǎn)庫(kù)。

4.3 自動(dòng)化攻擊面挖掘

著名軍工企業(yè)Lockheed Martin提出了偵測(cè)、利用、攻擊、控制、移動(dòng)5個(gè)階段的攻擊鏈模型，本次研究關(guān)注攻擊鏈的偵測(cè)、利用和攻擊階段，以獲得有效的Meterpreter[7]。偵測(cè)階段使用資產(chǎn)指紋信息，在偵測(cè)階段主要進(jìn)行資產(chǎn)指紋獲取，并利用獲取的指紋在利用階段開(kāi)展威脅建模，匹配Web漏洞、操作系統(tǒng)漏洞、弱口令等荷載，在攻擊階段調(diào)用Metasploit框架開(kāi)展自動(dòng)化滲透，輸出存在的攻擊面和對(duì)應(yīng)的荷載。自動(dòng)化探測(cè)在資產(chǎn)變更或漏洞庫(kù)更新時(shí)觸發(fā)，提取相關(guān)資產(chǎn)指紋進(jìn)行攻擊荷載匹配，然后排查攻擊面，最后將攻擊面存入數(shù)據(jù)庫(kù)中，詳細(xì)流程見(jiàn)圖2。

4.4 攻擊面生命周期管理

攻擊面生命周期管理依托平臺(tái)的資產(chǎn)管理、攻擊面管理和數(shù)據(jù)展示模塊進(jìn)行攻擊面全生命周期的管理。漏洞管理模塊管理攻擊面發(fā)現(xiàn)、驗(yàn)證、修復(fù)、復(fù)測(cè)和關(guān)閉過(guò)程，實(shí)現(xiàn)攻擊面全生命周期可管、可控。數(shù)據(jù)展示模塊可視化展示攻擊面統(tǒng)計(jì)信息、資產(chǎn)統(tǒng)計(jì)信息和風(fēng)險(xiǎn)情報(bào)信息，直觀展現(xiàn)風(fēng)險(xiǎn)態(tài)勢(shì)分析等。最終實(shí)現(xiàn)攻擊面快速處置，減少風(fēng)險(xiǎn)暴露，降低安全事件發(fā)生概率。

5 " 結(jié)束語(yǔ)

本文設(shè)計(jì)了一套資產(chǎn)安全運(yùn)營(yíng)系統(tǒng)，能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間資產(chǎn)的實(shí)時(shí)探測(cè)、指紋分析、攻擊面挖掘和攻擊面全生命周期管理。目前系統(tǒng)還處于初期試驗(yàn)階段，在資產(chǎn)數(shù)據(jù)清洗、指紋識(shí)別準(zhǔn)確度方面還有需要優(yōu)化的地方。未來(lái)將繼續(xù)完善平臺(tái)功能，使平臺(tái)賦能各行各業(yè)，構(gòu)建更安全的網(wǎng)絡(luò)空間。

參考文獻(xiàn)

[1] 張衍亮.網(wǎng)絡(luò)空間探測(cè)與安全評(píng)估平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].濟(jì)南：山東大學(xué)，2023.

[2] 李明興.基于深度學(xué)習(xí)的網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2023.

[3] 王宸東，郭淵博，甄帥輝，等.網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)研究[J].計(jì)算機(jī)科學(xué)，

2018，45（12）：24-31.

[4] 王鵬，秦志鵬.網(wǎng)絡(luò)空間資產(chǎn)探測(cè)技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，

2024（5）：20-22.

[5] 陳安哲.基于網(wǎng)絡(luò)空間探測(cè)的動(dòng)態(tài)網(wǎng)絡(luò)資產(chǎn)探測(cè)掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].上海：華東師范大學(xué)，2022.

[6] 謝文杰.IP測(cè)控網(wǎng)流量監(jiān)控與分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2018.

[7] 康海燕，龍墨瀾，張聰明.自動(dòng)化滲透測(cè)試應(yīng)用研究綜述[J].網(wǎng)絡(luò)空間安全科學(xué)學(xué)報(bào)，2023，1（2）：59-72.