俄乌局势愈发紧张，军事行动已经持续13天。同样在网络空间中，对抗从未停止，随着战况的发展及各国对于战争做出的反应，网络空间中的舆论及攻防对抗也愈演愈烈。知道创宇聚焦网络空间中的战场态势，希望还原实时的战况发展。

此次俄乌双方在网络战中，都体现出很高的技术水平和高效的国家级团队作战能力。双方在网络战中的博弈，实际上体现的是两大阵营的对垒，其实质是技术和综合力量的比拼。

知道创宇基于ZoomEye团队的网络空间测绘数据、关基目标库、创宇安全智脑、云蜜罐平台的攻击日志数据，及NDR系统的APT组织数据，通过数据统计和趋势分析来感知网空战场的态势：

1)国家级别的“网络战”，是长期持续性行为。双方对关键信息基础设施侦查摸底的储备积累，先于实体军事冲突多年之前已悄然展开。同时，国家级别“网络战”从未停止，在实体军事冲突之时会愈发猛烈。

2)从乌克兰多维度的数据测绘动态变化反映了俄罗斯在本次冲突中的主导地位，也反映了俄罗斯的战略、战法、战术：在2月24日发起“闪电战”的战法；主要针对乌克兰军事等关键信息基础设施进行打击的战略思想，俄罗斯对基辅采取“围而不攻”的战术实施等等。

3)对乌克兰城市持续动态测绘监控，可以对本次冲突主要战场及战场的动态进展，进行明显的侧写画像：如从网络资产受损程度体现主要的军事冲突发生在哈尔科夫州、顿涅茨克州和扎波罗热州这3个州。

1、网络战价值：配合实战，争取战场主动

信息时代，在实体战争发生之前，交战双方会提前进行相应的网络战储备。“得信息者得天下”，网络战已经成为压制对手、战胜对手的必需途径。

网络战在实战开战甚至多年之前就持续进行。要赢得网络战的胜利，无论平时和战时，都必须要摸清对方关键信息基础设施状态；探明政府、军事信息系统的威胁和缺陷；深度看清网络空间状况和实时变化。
本次俄乌冲突中，俄罗斯对乌克兰实施的“闪电战”，就是在对信息系统精确动态画像、深度把控态势的基础上，对乌克兰的网络空间实施全面的打击。网络战配合实战，快速完成打击，赢得战场主动。

2、网空测绘还原网空战场态势

ZoomEye平台作为一款全球化的网络空间搜索引擎，对全球网络空间进行实时测绘，通过网络空间测绘数据分析可知：

国家级别的网络攻防对抗，是个长期持续的储备型工作，网络战中双方关键信息基础设施目标的探测工作先于实体冲突之前已悄然展开。在实际冲突发生之时，网络空间作为战争的另一战场，其对抗展开与军事冲突相互呼应，实时反映冲突的发展，是博弈的另一重要空间。

2.2 乌克兰全境IP地址的在线存活趋势

IPv4地址空间中，隶属于乌克兰的IP数量为1116万，其中在线存活的IP数量约为240万。

2022年1月27日开始，ZoomEye团队针对乌克兰全境IP地址的在线存活状态进行每日监测，监测数据如下图所示。

基于数据得出的结论：

• 乌克兰全境网络资产，在2月24日急剧掉线，掉线比例达到14%，截至3月7日掉线比例为22%。
• 网络资产急剧掉线的时间点（2月24日），与特别军事行动时间节点相吻合，印证了实体战场和网络空间态势之间有确切的时间对应关系，同时也反映了俄罗斯对乌克兰的启用了“闪电战”战术，与乌克兰采用临时切断互联网的“防御”战术有强相关性。
• 2月24日20:37，乌克兰全境网络资产在线存活数量有一次反弹上升，推测与乌克兰临时切断互联网后重新恢复有关。随后2022年2月25日至3月7日乌克兰全境资产数据呈持续下降趋势，但是相比2月24日数据下降波动弧度较小，这说明俄罗斯与乌克兰的战局进展节奏被俄罗斯主导把控。

2.3 乌克兰各州IP地址的在线存活趋势

以乌克兰直辖市和州的维度，来看存活IP数量的变化趋势，监测数据如下图所示。从图中可以看出，多数直辖市和州的存活IP数量，在2月24日均有急剧下降，与乌克兰全境IP地址在线存活数量的变化趋势相吻合。

以乌克兰直辖市和州的维度，统计2月24日急剧下降的IP存活比例和3月7日的IP存活比例，数据如下表所示。（该表格以2月23日各州存活IP数量进行排序）

基于数据得出的结论：

• 网络资产绝对数量说明城市规模及地位：基辅是乌克兰的首都和最大城市，网络资产数量也是位居第一；哈尔科夫州的网络资产数量位居第二，其首府哈尔科夫是乌克兰第二大城市。

• 哈尔科夫州、顿涅茨克州和扎波罗热州，这3个州的网络资产掉线状况比较严重，在线存活比例均低于62%，并持续下降，与这3个州发生了军事实体冲突的现实状况及进度相符合；

• 克里米亚州的网络资产状况几乎不受影响，与克里米亚州属于俄罗斯实际控制并未发生军事冲突的状况相符合；

• 第聂伯罗彼得罗夫斯克州、利沃夫州和切尔卡瑟州，这3个州的网络资产掉线状况很轻微，在线存活比例均高于87%，与这3个州未发生大规模军事实体冲突的现实状况相符合；

• 基辅的网络资产掉线状况并不严重，在线存活比例为81.18%，与目前俄罗斯对基辅“围而不攻”的策略相符合。这个也符合目前俄罗斯对于乌克兰的政治等战略诉求。

2.4 乌克兰关键信息基础设施存活趋势

网络战中，关键信息基础设施必然是遭受网络攻击的重点。ZoomEye团队基于关基目标库的数据，区分乌克兰网络资产中的关基设施和非关基设施，进行统计分析，如下面的图表所示。

掉线关基设施的所属行业分布，如下图所示。掉线关基设施数量最多的3个行业是：金融、政府、能源。

基于数据得出的结论：

• 从关基设施/非关基设施的维度来看网络资产掉线状况：2月24日网络资产急剧掉线，关基设施掉线比例为57.81%，非关基设施掉线比例为7.52%；截至3月7日，关基设施掉线比例为66.00%，非关基设施掉线比例为16.07%。相比较而言，关基设施的掉线比例，远远高于非关基设施，这个与俄罗斯重点打击乌克兰军事等关键信息基础设施的作战战略强相关。

• 乌克兰关键信息基础设施的掉线比例较高的行业为：金融、政府、能源；与媒体报道中俄罗斯针对乌克兰的政府和银行网站开展大量DDOS网络攻击的情况相呼应。

• 从2月24日到3月7日非关基设施的掉线比例有了明显的增加，说明战争对乌克兰的民众生活及社会局势带来了越来越多的不稳定性，媒体报道显示大量的乌克兰人民选择离开乌克兰。

2.5 乌克兰持续存活IP地址的在线存活趋势

乌克兰近3年持续存活的IP地址，共计43491个。此处持续存活的定义是，该IP地址处于持续开机提供服务的状态，并且对应的硬件设备和软件系统没有发生变化；因此持续存活的IP地址是相对比较重要且提供关键服务的IP地址。

2022年1月27日开始，ZoomEye团队针对这43491个地址的在线存活状态进行每日监测，监测数据如下图所示。

乌克兰持续存活IP地址数量显著下降的时间点为2月24日，与俄罗斯总统普京宣布发起特别军事行动的时间点相吻合。

2.6 通过ZoomEye关键词看网络空间对抗

ZoomEye团队分析了近三年来涉及俄罗斯和乌克兰关键词的网络资产搜索，统计了以周为周期的查询关键词数量，趋势图如下所示。

基于数据得出的结论：

• 从2021年的下半年开始俄乌相关关键词查询有明显提升，这跟APT组织资产部署数据趋势增长时间段相近重叠，同时也说明了网络战先行及持续性特点。

• 搜索核心关注点在于工控相关的核心关键基础设施上。

• 从实体冲突开始，涉及俄乌双方的关键词搜索量明显提升，符合网络战与实体战混合进行的特点。我们认为这也跟大量民间黑客组织介入有相关性。

3、关键信息基础设施是网络空间战争的攻防重点

战争无论从任何角度来看，都是全方位的国力较量，会分化为热战、舆论、经济、网络等等不同的战场，而不同领域的博弈最终都是为了争取各自的胜利而努力，所以自然网络空间的攻防也与现实的战况相互呼应。从ZoomEye团队对于网络空间中战况的还原不难看出：

1）对于网络空间的探测和信息收集是网络空间攻防的基础，一直持续进行着；2）关键信息基础设施无论在网络空间的攻防中都占据着至关重要的位置。

知道创宇围绕“云、管、边、端”和“情报、探测、感知、防护、态势”两大维度打造产品体系，以攻防一线的实战经验不断锤炼完善产品体系，敏锐感知网络空间的资产、系统、风险、威胁、事件等安全元素的动态变化，输出威胁情报，共同打造网络空间安全向前积极防御体系。

ZoomEye作为全球网络空间测绘领域的领导者，通过贯彻“动态测绘”、“行为测绘”理念，结合多维度数据信息进行大数据“交叉测绘”，应用于网络信息战争中的态势感知，对网络环境测绘数据实施全面观测和深入分析，对对战双方战略、战法、战术的实施及战争状态进行动态画像，精准评估、获取战场态势有着积极明显的效果。

知道创宇全线产品可以在网络空间对抗中持续进行价值输出，一方面，结合条理清晰的威胁情报输出，可以获知是谁在发起攻击、具体攻击手段、攻击者眼中的安全防御薄弱点等高价值信息；另一方面，为自身安全产品赋能，为用户进行针对性防御体系加固。

对于国家信息基础设施的组织及企业来说，网络空间安全向前积极防御体系更具针对性，是对整体网络安全防御体系的整体能力提升。

4、参考信息

1.知道创宇，《网络战发展成“第五战场”，这些数据告诉你乌克兰的网络现状》

https://mp.weixin.qq.com/s/UhZIaFTu–fhkMH7SVtfow

2.知道创宇，《俄乌战争中的俄罗斯APT网络攻击部队行为分析》

https://mp.weixin.qq.com/s/j2w_cZgprGsM0zTQ5ngEWA

3. 知道创宇，《群狼环伺-2021年度中国周边APT组织活动年鉴》

https://view.inews.qq.com/a/20220117A08CZZ00

4.ZoomEye，《谈谈网络空间测绘在国家级断电断网事件上的应用》

https://mp.weixin.qq.com/s/vFygIcSNnAgPaEqVBp7LsQ?scene=25#wechat_redirect

5.知道创宇，《趣访“漏洞之王”黑哥，探寻知道创宇十年网络资产测绘之路！》

https://mp.weixin.qq.com/s?__biz=MjM5NzA3Nzg2MA==&mid=2649852342&idx=1&sn=a3b0d73fdb54e53d8bebcda95dd27b49&scene=21#wechat_redirect

知道创宇

知道创宇是一家基于AI和大数据驱动的云安全公司，专注于为政府机构、企事业单位提供全方位的网络安全解决方案。公司成立于2007年，由数位资深的安全专家创办，总部位于北京，2013年获得腾讯投资，拥有北京、成都、武汉三大研发中心和近百位国内一线安全人才组成的核心安全研究团队，在深圳、广州、上海、香港等地区设有35个分公司和办事处。知道创宇是国内较早提出云监测与云防御理念的网络安全公司，目前在云防御产品上建设有由创宇盾、抗D保、加速乐等组成的云安全防御平台，形成了从网站防护到加速，再到品牌线上商业保护的一整套解决方案；在云监测方面，形成了从区域资产，到漏洞威胁，再到攻击态势全面的获取能力。招商银行、中信证券、广发证券、腾讯、京东、今日头条、新浪微博、抖音、比特大陆、火币网、和讯网、云南卫视等都是知道创宇的客户。