无源雷达，知道创宇网空“全面测绘”新技法

（原标题：无源雷达，知道创宇网空“全面测绘”新技法）

　　【导语】“云端情报赋能，强网战力升级”知道创宇2021新品发布季第三场直播发布的产品是「ZoomEye无源雷达」，它是一款融合了知道创宇数十年的网空测绘基因所诞生的基于流量分析系统的产品，以被动测绘的方式帮助用户进行更全面的网络空间资产监控。「无源雷达」的“加入”能够帮助客户完善内部或者专有网络的测绘，那么“被动测绘”的无源雷达究竟与市面上现有的资产测绘产品有哪些不同呢？

　　网络空间是动态化、虚拟化的，那么如何将网络空间和地理空间相互映射，从而使错综复杂、变化莫测的网络空间通过测绘形成一份动态、实时、精准、高效的网络空间地图，就引起了无限关注。

　　近年来，“网络空间测绘”作为对网络空间进行真实描述和直观反映的一种创新技术，在刻画网络空间战略地图上起到了关键作用。“网络空间测绘”的概念得到了越来越多外界关注的同时，也让这一细分领域发展得如火如荼。

　　网络空间资产安全管理之路，重重困境

　　*资产普查存在困难

　　包括诸如个人电脑、工业设备、服务器、网络路由器等等企业内部资产繁多复杂，资产的不直观、变化快、种类多的特性使得资产普查具有一定的难度。

　　*资产管理无法有序开展

　　资产发现不足、分类不清、归属不明使得资产管理无法有序开展。

　　不走寻常路的无源雷达

　　毫不夸张地讲，在国内探寻网络空间资产测绘这一话题，绕不开国内早期于这个方向布局的安全公司知道创宇，绕不开知道创宇自研的国际领先网空资产测绘搜索引擎ZoomEye。

　　知道创宇通过全球范围内部署的上千台资产测绘雷达，持续对全球IPv4/v6地址进行探测，积累了十多年的网空资产数据，并对数据进行深度挖掘与多维度关联分析。无源雷达产品则是融合了知道创宇十余年的网空测绘基因所诞生的一款基于流量分析系统的被动测绘产品，帮助用户更全面的进行网络监控。

　　无源雷达同时支持实时流量处理与离线流量数据处理两种模式，通过被动流量数据处理、流量类型分析、设备特征分析等实现对流量资产信息的分析识别，进而掌握流量关联的网络通信路径中各通信节点的网络资产情况。

　　无源雷达功能盘点

　　*全数据解析

　　无源雷达不仅支持解析实时数据，而且支持解析离线数据，用户可以自定义上传pcap包进行解析，亦或者可以指定ftp服务器下特定的文件夹进行解析。

　　*高性能流量处理能力

　　无源雷达提供了超大容量的数据存储空间，最大支持1TB的内存用来存储原始数据流、会话数据、日志数据等信息，拥有着强大的数据处理能力。

　　在流量处理性能方面，基于DPI的应用支持1g、10g、100g三个档次的吞吐，其他的简单应用支持1g、10g、100g、1t四个档次的吞吐。

　　*识别资产信息类型

　　无源雷达识别资产的信息类型丰富，它提供了丰富的资产识别指纹规则，可以识别出资产的多重信息，例如端口、协议、运营商等ip基础信息；设备类型、操作系统、数据库类型等ip指纹信息；域名、web框架、web数据库等web指纹信息。

　　*网络风险感知

　　无源雷达具有网络风险感知能力，在进行资产识别后，会根据资产操作系统、组件等关联Seebug库，进行脆弱性分析；同时也支持通过报文内容进行特征比对来识别可疑行为。

　　无源雷达技术亮点提炼

　　*支持解析单双边流量

　　无源雷达不仅支持从双边流量中解析到资产信息，对于单边流量，即有发包无回包或者有回包无发包的流量，仍然可以做到正常解析，在一定程度上保证了资产探测的全面性。而实际场景中经常会有单边流量数据包的出现，所以此个亮点在客户的实际应用场景中，往往会发挥更大的作用。

　　*自定义指纹规则

　　无源雷达提供自定义指纹规则来针对性的解决特殊资产测绘，对于一些企业的专有设备，高校的自研设备等特殊资产，由于其保密性未对外公开，用户可以自定义资产指纹规则用于此类特殊资产的识别。

　　自定义网络空间资产指纹规则功能，开放编写权限给用户，用户可以不依赖于产品现有指纹积累，可以根据自身的设备特征进行设备指纹的添加，实现专有设备的探测发现和安全管控。

　　*IP-Rank目标价值标记

　　提供IP-Rank目标价值标记，IP-Rank目标价值标记是针对IP的安全价值进行评估的功能模块，通过复杂的算法模型，从行业分类，历史存活，漏洞类型等多个维度进行评估，最终以分数的形式进行输出，可以作为目标是否有价值的判断。

　　比如我们搜索相关ip地址，从发现的结果中根据一些价值指标，比如存活情况、组件价值等分析得出「target rank评分」，这个数字代表了目标ip的价值程度,用户就能直观地判断出该目标有没有价值，为下一步行动提供了最明确的方向。

　　*绘制人物关系图谱

　　无源雷达具备从邮件服务中获取人物关系图谱的能力，这也是产品的核心竞争能力之一。它能够图形化展示邮件收发关系，人物名称等。比如可以通过邮件的交互信息、称谓称呼分析出公司的组织架构，关键人物等，从而实现知识抽取及对实体和关系进行管理，以此判断威胁主体、攻击方法、防御手段等等内容。

　　无源雷达产品力争全方位解决用户的痛点问题：

　　政企客户内部资产普查困难，无源雷达可以通过监听流量对资产进行全面的梳理；

　　政企客户内部资产管理无序，无源雷达则通过还原资产关系，对资产进行分层管理；

　　客户重点目标发现困难，无源雷达可以通过提供了IP-Rank目标价值标记，对有价值的目标进行排序；

　　客户数据多，人工处理难度大无源雷达可以帮助进行处理解析，性能高效。

　　除此之外，无源雷达还可以进行人物关系绘制、资产拓扑绘制、资产脆弱性分析等，以此来为客户创造巨大的价值。

　　知道创宇着眼于全球网络空间的互联网基础态势，致力于实现全球范围资源探测和攻击威胁监测，对全球网空态势数据实时更新，构建了永不过时的互联网安全基础态势测绘底图。“被动测绘”无源雷达的面世，标志着知道创宇的网络空间资产测绘产品将全面支持主动测绘及被动测绘，将进一步支持政府企业用户更全面、更准确、更实时的网络空间资产安全管理和安全事件响应。