1，攻击面分析发展历程

攻击面分析是开展网络攻防的重要支撑。攻击面分析是一种从攻击者视角对数字资产攻击面进行采集发现、脆弱性检测、风险评估及持续检测的资产安全性分析管理方法，攻击面分析最大特性就是以外部攻击者视角来审视所有目标资产（包含已知资产、未知资产、数字品牌、泄露数据等）可被利用的攻击可能性。

2021年7月，全球权威IT研究顾问机构Gartner发布了《2021安全运营技术成熟度曲线》(《Hype Cycle for Security Operations, 2021》)，将攻击面管理(Attack Surface Management, ASM)相关技术定义为新兴技术。早在2018年Gartner就已经提出攻击面的概念，并将攻击面纳为整体网络安全风险管理计划的一部分。

攻击面分析管理的本质在于攻与防的对抗较量，在这个前提下，需要清楚地认知到，只有更快速的获取敌对目标的攻击面，才能有效的敌对目标进行监视、分析整编。首先，必须审视敌对目标组织内部和外部可能存在的网络攻击面。其次，需要重点考虑最可能产生价值的漏洞。第三，需要对敌对组织的网络防御体系进行校验，根据发现的问题快速地进行分析监视，为精准攻击提供支撑。

2.建设思路

通过研究多种数据源的融合技术、基于自然语言处理和知识图谱技术对多种数据源进行大数据处理捕获情报技术及多维度攻击态势评估技术，构建一个针对敌对目标开展的攻击测绘和战机捕获的系统。

目前我国对数字资产的及攻击面的认知度还较为传统，对风险的识别和响应依然采取以人工经验为主的手段，对未知资产的管控手段欠缺。

通过调研国内攻击面分析管理的技术能力，针对网络全域目标态势监测、分析和整编，拟开展全球攻击测绘和目标战机捕获相关内容建设，以攻击者视角建立对外打击目标的多维度攻击面情报获取能力，研究攻关分布式情报数据采集、网络空间资产测绘、智能化关联分析等核心技术，研究建设外部攻击面管理原型系统，对目标互联网暴露面进行测绘。

3.技术方案

（一）总体架构

攻击面是所有数字资产中可被利用的弱点总和，不仅仅是过去漏洞狭义的软件缺陷，还包括人员、技术、业务流程中存在的缺陷等。攻击面管理可以说既是一个新兴技术，一个新兴的方法论，亦是一个天然的技术融合架构。

攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。从应用场景上来讲，可以分为外部视角的攻击面管理和内部视角攻击面管理两类。

（二）外部攻击面管理方案

从外部发现敌对目标的数字资产，包括但不限于应用、IP、端口、域名、数据、云服务、公共云服务错误配置、泄露的代码、暴露的数据库等已知资产和未知资产、敌对目标在外部可被利用的品牌、商誉及信息泄露等，建立资产和风险清单之后，对可以进行打击的目标进行优先级排序，并形成常态化网络作战全域目标态势监视分析。

• 未知暴露面发现

通过对全球暴露在互联网上的数字资产进行发现探测、自动化分析信息资产的关联性，对开源情报数据源等数据资产暴露面发现，对网络空间资产的可查、可定位，持续监测网络安全态势。基于IP、Domain、关键字等基础信息，对域名、IP资产、网站、数字资产进行发现。能够识别目标在互联网上的数字业务暴露面、信息资产暴露面、敏感数据暴露面，关联业务暴露面及互联网敏感数据泄露监测，通过提升敏感数据泄露监测能力获得最新行业资讯和事件应对经验。

• 外部攻击面测绘

能够梳理对目标数字业务的安全管理产生风险影响的内容，包括热点漏洞、攻击事件等信息。分析多源异构的攻击面数据，高效精准定位与受害主体的关联度，预测可能发生的攻击威胁，分析目标的安全失陷的可能性。深度发现对目标资产可能造成影响的攻击事件、攻击组织。

• 扩展情报支撑

采集国内外多个开源情报源，形成高价值的漏洞情报、扩展情报、威胁情报，广泛覆盖全球范围内多类型多语种高价值情报源。快速检索互联网情报数据，发现面向互联网的攻击面情报，掌握多种渠道中的安全信息，及时发现可能对目标产生影响的漏洞数据、数字资产数据，并将其纳入暴露面与攻击面的管理范围。对公开威胁情报源进行大数据处理捕获情报数据，精确定位情报来源。

• 攻击面风险分析

能够针对IP地理位置数据、Whois数据、ISP数据、社工数据、漏洞数据、资产数据、威胁情报数据等进行风险分析。能够多种弱点类型进行统一汇聚，并自动化进行过滤和标记处理，并建立备弱点与弱点之间，弱点与攻击链之间的实体关联关系，分析完整的链路并分析攻击面风险影响。识别并分析标注出敌对目标可能被利用尝试突破的区域和可攻击的资产。通过定向漏洞情报、风险情报、资产暴露面等信息，进行持续自动化渗透攻击，获取更全面的资产信息。

• 攻击面检测报告

能够将攻击面信息结果数据以报告的形式生成并导出，报表支持多种格式，报告能偶以资产和漏洞双视角对数据进行分类聚合，统一汇总呈现。

• 界面展示

能够按照暴露面的多种属性进行聚合展示，通过可视化的图表，呈现暴露面的整体内容趋势走向、类型分布，以及综合评估暴露面的易受攻击性、易暴露性、安全风险性等。能够将漏洞、不安全配置情况、敏感端口服务暴露等问题进行统计，按照弱点类型、整体数量趋势等进行统计展示。

4.关键技术

• 基于人工智能的资产指纹识别技术

引入机器学习、深度学习等方法进行资产的指纹识别，可以在较短时间，实现基于协议栈指纹的被动识别，大幅提高未精确匹配指纹的识别率，从而弥补和提高基于规则库的资产指纹识别速度和准确性。

• 基于知识谱图结合人工智能模型进行攻击路径推理分析

基于知识图谱的人工智能技术，人工智能技术基于图以及语义网络为基础的知识图谱进行大量模型训练，将知识图谱结合人工智能技术融合到安全场景中，尤其是针对目标的攻击路径推理分析场景，形成机器效率与专家经验融合的闭环，以辅助提升人工智能在外部攻击面管理中的可用性。

• 多元数据源融合技术

收集和整理多种情报、预警、漏洞等数据，根据数据统一的标准，去除重复的数据，并且以标准化的形式存储到数据库中，最后以Web和API接口的方式对用户提供服务。可以按照一定标准形式，统一读取数据，进行查询和统计。去重复和标准化的核心思想是将文本挖掘算法引入到数据融合中，从而解决多种数据冗余和异构问题。