大网威胁研究：塑造网络安全新时代的全球威胁洞察力

如果将全球网络空间比作一片浩瀚无垠的数字海洋，暗流涌动的僵尸网络、掀起滔天巨浪的 DDoS 攻击、隐匿深海的APT 潜伏、遍布暗礁的黑灰产链条，无时无刻不在冲击网络安全的防线。

想要在这片浩渺海域中提前预警、精准溯源、快速处置，绝不能只盯着一隅风浪，必须站在全网制高点，以俯瞰全域的视野穿透表象、洞见根源。

这正是大网威胁研究的核心价值——它不是单点防御、局部监测，而是以海量数据为基石、以技术研判为支撑，面向全网开展的大规模威胁监控，第一时间捕捉全球网络空间的异常动向、新型威胁与攻击脉络，真正实现对安全威胁的“全局感知”与“深度研判”，为全球网络安全防御提供最前置、最精准、最完整的威胁洞察。

用一句话概括，大网威胁研究就是依托全网级数据基础设施和大规模监控，第一时间发现当前互联网上正在流行和新出现的主要威胁，构建覆盖僵尸网络、后门木马、APT、黑灰产和AI新型供给面的国家或行业级的全局感知能力。

结合奇安信XLab过去十年的实践，本文尝试回答如何真正打造一套全球网络空间的“全局感知与深度研判系统”，以及它在AI智能体时代的演进方向。

一、透过两个安全大事件，解读大网威胁研究

"大规模"和"第一时间发现"是大网威胁研究的两个关键词，既考验底层数据能力，也考验分析研判深度。我们用两个具体的例子来说明大网威胁研究主要做的事情。

1.1  全球最具破坏力僵尸网络：KimWolf 与 AISURU

最近一年来，全球最大DDoS攻击流量的纪录不断被刷新。针对Microsoft的15.7 Tbps攻击、Google的6.3 Tbps攻击、Cloudflare的31.4 Tbps攻击，这些创纪录的巨型DDoS攻击背后，都是由同一个新型僵尸网络组织发起。我们（奇安信XLab）率先监控并发布了攻击细节，并且独家揭秘并命名了这一感染全球超300万台设备、覆盖222个国家的巨型僵尸网络——KimWolf。2025年12月1日，我们成功接管了KimWolf v5版本中的一个C2域名，观测到日活跃Bot峰值约达183万，3天内观察到270万个独立IP。该僵尸网络的C2域名流行度一度排名全球第一，感染设备多为电视、机顶盒、平板等终端。不久前，这个当前破坏力最大的僵尸网络组织被FBI捣毁，FBI的官方通报中对我们的工作予以了致谢。

1.2  大规模网络故障与地缘政治影响评估

大网威胁研究不仅关注恶意软件，还包括基于海量数据对全球重大网络事件进行分析。例如，针对伊朗、委内瑞拉、阿富汗等国家出现的大规模网络故障，我们能够量化军事行动与社会运动对网络空间的实际影响，分析大规模网络故障背后的技术原因。

再如2024年的CrowdStrike蓝屏事件，影响全球850万台Windows设备。当政府机构需要评估国内的影响规模时，CrowdStrike和微软等官方厂商都无法提供有效数字。我们基于设备与云端域名通信机制————设备会定期连接域名ts01-b.cloudsink.net，从DNS视角出发，精准评估了受影响的规模和具体受影响的单位。

再如2025年8月12日的大规模DNS劫持事件，涉及华为、京东、阿里云等诸多头部域名，IPv4和IPv6地址均遭劫持，范围波及全国，我们通过DNS数据快速定位了劫持的发生位置和影响范围。

这类能力的核心意义在于：当重大事件发生时，能够第一时间回答“影响了谁、影响了多少、问题发生在哪里”。

二、大网威胁研究实践基石：数据是安全的灵魂

在RSA 2024 上，Splunk CEO Gary Steele 和 CrowdStrike CEO George Kurtz 提出了同一个判断：Security is a Data problem。这句话不是口号，而是行业行业的现实。安全归根到底是数据问题。没有数据，一切分析、研判、响应都是空谈。这也是我们过去十年做大网威胁研究的核心理念。

具体来说，我们认为大网威胁监控和发现应该围绕三个数据平台来建设：基础网络安全数据平台、Malware & Payload 平台、网络空间测绘平台。这三个平台相互支撑和补充，各有侧重，共同构成一套完整的大网威胁感知体系。

2.1 基础网络安全数据平台

这个平台的核心是处理和分析海量骨干网 DNS 和 Netflow 数据。

为什么首先强调 DNS？因为 DNS 是互联网上最被低估的传感器。DNS 几乎无处不在，与操作系统和设备类型无关——只要一台设备连上了互联网，它几乎一定会产生 DNS 流量。DNS 流量仅占总流量的千分之一到千分之三，但覆盖了超过 90% 的恶意软件通信行为，投入产出比极高。在骨干网级别采集和分析 DNS 数据，等于在互联网的主动脉上装了一个高灵敏度的传感器，这座金矿的价值很多人还没有意识到。

在平台建设方面，我们建立了国内第一家公开的 PassiveDNS 数据库，数据总量超过 2700 万亿条，覆盖超过千亿域名，每日处理万亿次 DNS 请求。同时，我们围绕域名和 IP 构建了一系列基础数据平台，包括 Whois 数据库（80 亿条）、SSL 证书数据库（30 亿条）、IP 信誉情报库（2000 万+），形成了一个多维度的基础情报体系。

该平台的应用价值体现在四个方面：

首先是威胁分析拓线。PassiveDNS是最基础也是最重要的安全威胁情报来源之一。既有实时数据，也有历史数据。僵尸网络、木马、蠕虫、网络钓鱼、仿冒网站、恶意软件感染、网络赌博、金融诈骗黑灰产，乃至APT检测与发现、重大安全事件，甚至非安全类事件，都能从中找到线索。

其次是威胁态势感知。基础DNS数据与威胁情报碰撞，输出国家级和区域级的威胁态势。导入IP地址归属单位信息后，可以直接定位威胁归属的具体客户和单位，为关键基础设施提供无侵入式的失陷检测和预警。

（下图是威胁情报团队结合情报和大网 DNS 数据，输出的全国失陷态势）

第三是热点事件分析和影响面评估。前面提到的CrowdStrike蓝屏事件影响面评估、2025年8月大规模DNS劫持事件分析，都是基于这个平台快速完成的。有了这套数据能力，"有事领导会来问，因为你总有答案"。

最后是大规模威胁情报生产。从基础 DNS 数据出发，通过规则引擎和大语言模型等多种分析引擎，大规模生产域名信誉、C2 检测、DGA 域名识别等多种高价值情报数据。

2.2 Malware & Payload 平台：从“看见异常”到“看懂攻击”

DNS 和 Netflow 数据的优势是覆盖面广，但劣势也很明显——缺乏具体网络数据包，在某些场景下视野不够完整。Malware & Payload 平台就是为了弥补这个短板。

这个平台的核心是一套分布在全球网络中的样本和攻击载荷捕获系统，能够捕获和分析恶意软件样本、收集攻击者使用的具体技术手法、还原攻击载荷以识别攻击者的意图和能力。

在平台建设方面，我们建设了多源样本采集体系，在全球部署了超过1500个蜜罐节点，并接入了边界流量、安全日志等多种数据来源。每日捕获数万攻击样本，对数千个流行僵尸网络 C2 进行实时监控，每日捕获近十万条攻击指令。在此基础上，我们还会主动接管僵尸网络 C2 进行影响面评估，配合执法机构摧毁僵尸网络组织、抓捕嫌疑人。

该平台的应用价值体现在以下3个方面

首先是大规模恶意软件发现与分析。我们独家披露并命名了 50+ 个全球有影响力的僵尸网络，如 Bigpanzi、Mozi、Fbot 等。一个典型的案例是 VO1D 僵尸网络：感染了全球 168 万台 Android 电视设备，日活 110 万，覆盖 200 多个国家和地区。它使用 DGA 算法生成 C2 域名，我们逆向了 DGA 算法，因此可以实时监控其上线的肉鸡规模。

其次是对全球 DDoS 攻击的监控。每日监控攻击指令数十万条，攻击目标近万个。前面提到的那些全球重大 DDoS 攻击事件，以及率先披露的 2025 年初的 Deepseek DDoS 攻击，我们之所以能第一时间发布攻击细节，靠的就是这个平台的持续监控能力。

最后是攻击行为捕获与在野漏洞利用。累计捕获超过 2000 万 IP 的各类攻击行为，涵盖网络扫描、暴力破解、漏洞利用、渗透测试、样本传播等。同时持续追踪在野漏洞利用趋势，捕获 0day 漏洞，记录漏洞首次被利用时间、攻击源信息、投递样本和原始 payload 等关键数据。

2.3 网络空间测绘平台Hunter：补齐资产视角

前面两个平台偏被动采集，网络空间测绘平台则是主动出击——对互联网资产和暴露面进行主动测绘和监控。

目前我们Hunter 的数据覆盖 243 个国家，实现全端口扫描覆盖，国内外高频端口的扫描周期为 7 到 10 天。在数据规模上，资产总数超过 260 亿，独立 IPv4 数达 6.4 亿+，域名资产数超过 56 亿，网站资产数超过 99 亿，ICP 备案资产数达 5.9 亿，ASN 覆盖率达到 99%。

这个平台为威胁分析提供了互联网资产视角的补充，使我们能够从"谁在被攻击"和"什么资产暴露在外"的角度来完善威胁图景。

三、面向 Agentic 时代：威胁研究必须率先迁移

过去十几年，我们的数据建设和大网威胁研究聚焦的是互联网时代的经典威胁。数据围绕域名、IP、样本文件、URL 展开，研究围绕僵尸网络、DDoS 攻击、木马、后门等恶意软件展开。这些工作仍然重要，但威胁的范式正在发生根本性的转移。

Agentic 时代已经到来。大模型和智能体生态——包括 MCP、Skills、Plugin 等正在成为新的攻击面。针对大模型的 Prompt Injection（主动注入、间接注入），针对 MCP/Skills 的工具投毒、数据泄露、越权执行，以及 智能体生态的供应链攻击，正在变得越来越频繁。无论是我们的大网能力建设还是大网研究重点，都应该主动向这个方向迁移。

首先，我们需要建设覆盖全球的AI 威胁监控能力。

当所有的资源和应用都在向大模型和智能体迁移时，对应的威胁也在同步迁移。我们的威胁研究方向需要跟上这个节奏，目标是建设全球 AI 威胁监控能力，具体包括 AI 基础设施测绘和智能体生态风险监控，比如对智能体生态供应链安全（Skills、MCP、Models）的持续监控。

前不久我们和威胁情报团队一起推出了国内首个 Skills 扫描检测平台（safeskill.qianxin.com），这是我们在这个方向上迈出的第一步。总之一个原则：当前的主要威胁是什么，我们的研究重点就应该是什么。需要保持敏锐，积极调整，不能沿着惯性做事。

其次，需要依托智能体增强威胁研究能力。

2025 年之前，AI 在安全领域的应用主要以 Copilot 形式呈现——由人主动驱动，通过自然语言完成告警调查、信息查询、摘要生成等任务。2025 年，安全行业正式进入 Agentic 时代，各家厂商开始发布针对不同任务类型的专用安全智能体，覆盖威胁狩猎、告警调查、恶意软件分析、漏洞管理等场景。核心转变在于：让智能体代替人主动开展安全分析，而不再等待人工触发。

我们也在积极探索通过智能体来增强大网威胁研究能力，保证在该领域的持续领先。结合自身业务特点，当前正在推进两个方向：

威胁分析智能体。不仅仅是自动查询不同的数据库，而是能够关联多维数据、构建动态威胁图谱、自主规划分析路径、持续深入拓展。目标是让智能体像一个经验丰富的分析师一样，从一个线索出发，自动完成一整套威胁分析流程。

恶意软件分析智能体。这个方向主要参考谷歌威胁情报智能体（Google Threat Intelligence）和 CrowdStrike 恶意软件分析智能体（Malware Analysis Agent）的思路，在样本投递、静态分析、动态分析、人工逆向、情报富化等多个环节融入智能体能力。特别值得关注的是深度逆向分析阶段——这一直是分析师耗时最长、门槛最高的工作：理解反编译代码、编写解混淆脚本、判断恶意意图。Google Threat Intelligence 的 Code Interpreter 让 Gemini 自主编写和执行解混淆脚本，Code Insight 利用超长上下文窗口理解整段反编译代码的语义，这两项能力正在从根本上改变逆向分析的效率瓶颈。我们正在积极引入类似能力，将其与当前的样本分析流程深度集成。

四、 结语

大网威胁研究的本质是数据驱动的安全，通过建设和运营覆盖DNS、Malware/Payload、网络空间测绘的三大核心数据平台，构建对互联网威胁的全局感知能力。这套体系经过十余年的持续投入和打磨，已经充分证明了其价值：无论是全球最大规模DDoS攻击的溯源，还是国家级安全事件的应急响应，或是大规模情报生成，此处不一而足。

真正决定领先优势的，不是今天拥有什么数据平台，而是是否能够在威胁范式变化时，持续完成能力迁移。

Agentic时代已经到来，威胁的形态、攻击的对象、防御的手段都在发生根本性的变化。我们需要在两个维度同步推进：一是将威胁研究的视野从传统互联网威胁扩展到AI和智能体生态的安全；二是积极利用智能体技术增强自身的威胁研究能力。唯有率先建立下一代全局感知体系，保持对威胁变化的敏锐感知和快速响应，才能掌握未来网络安全竞争的主动权。

关于作者

柯强，奇安信人工智能公司—X实验室技术负责人，在大规模安全数据平台建设、大网威胁研究、DNS 安全、AI 智能体安全方面有超过十年研究经验。

声明：本文来自虎符智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。