从网络可视化技术看AI安全：AI安全系列，眼观六路，耳听八方

2023年8月4日AI安全系列：眼观六路，耳听八方——从网络可视化技术看AI安全行业评级：看好证券研究报告分析师刘雯蜀分析师刘静一邮箱liuwenshu03@stocke.com.cn邮箱liujingyi@stocke.com.cn证书编号S1230523020002证书编号S1230523070005添加标题95%摘要21、网络可视化是网络流量监测的重要手段，政府和运营商为主要客户网络可视化的基础功能为增强对网络数据的主动管理，即流量来源进行监管、分析（识别、统计、展现、管控）与挖掘，实现网络管理、信息安全与商业智能。网络可视化系统由前端和后端两部分组成：1）前端负责流量和数据的识别采集，主要由分光器、汇聚分流设备、DPI系统实现；2）后端负责数据的各类分析应用，以软件形式为主。从下游客户来看，2022年我国网络可视化下游客户中，政府客户占比最大，达50%左右；运营商客户紧随其后，占比约35%；其余企事业单位客户共占15%。2、 大模型应用与交互的增加扩大网络空间的风险暴露，有望促进以DPI为核心的安全防护需求大模型的广泛应用和持续迭代带来网络流量的快速增长，从而扩大网络空间的风险暴露，如网络拥堵问题、API安全问题、数据安全问题、网络空间意识形态问题等。传统的安全解决方案偏向于事后防御，而DPI技术可以协助实现防护与干预向事前和事中转移，提高防护效率。3、伴随5G商用推广，有望迎来新一轮网络可视化建设周期，撬动300+亿元空间我国移动互联网基础建设已初具规模，较高的5G覆盖率为大模型的普及和应用打下了坚实基础。参考中国4G基站建设的节奏，未来中国5G基站数量仍呈快速上涨趋势，大模型的广泛应用有望进一步促进5G基础设施建设和普及。根据华经产业研究院数据，2022年中国网络可视化行业市场规模约为305.1亿元，同比增长6.14%，预计2027年市场规模达到886.17亿元，对应2022-2027年CAGR为24%，显著快于三大运营商2018-2022年间的资本开支增速。从产业结构来看，网络可视化前端市场规模占比约20%，后端市场规模占比约80%；且呈现出前端业务逐步向后端渗透，后端应用领域快速拓展的产业发展趋势。4、相关标的梳理上市公司：浩瀚深度、中新赛克、恒为科技、任子行、安博通、美亚柏科非上市公司：恒安嘉新、武汉绿网nMyRpNpPuNtRrQxOpPqPvN7N8QbRoMqQoMmPkPoOxPkPpPnQaQmNsNuOqRtQuOoNyQ风险提示31、网络可视化监管以及相关产品落地不及预期2、报告中对市场空间的预计主要参考第三方机构假设数据3、报告中对相关标的公司的梳理为基于公开信息的不完全统计4、由AI安全需求带来的市场竞争加剧5、板块政策发生重大变化目录C O N T E N T S网络可视化：网络空间的“摄像头”010203大模型时代：信息交互加剧安全需求市场空间：伴随5G商用新一轮建设周期可期404相关标的梳理05风险提示网络可视化：网络空间的“摄像头”01Partone5添加标题网络可视化基本定义与基础功能0161）网络可视化基本定义网络可视化是指利用人类视觉感知系统，将网络数据（包含但不限于网络的物理链路、逻辑拓扑、运行质量、协议标准、流量内容、用户信息、承载业务等信息）以图形化方式展示出来，从而对网络结构数据形成快速直观地解释及概览。•狭义而言：网络可见性是收集和直接分析流经网络的单个流量数据包的能力。•广泛而言：网络可见性是指借助网络可见性工具了解网络内和流经网络的一切情况。2）网络可视化基础功能网络可视化的基础功能为增强对网络数据的主动管理，即流量来源进行监管、分析（识别、统计、展现、管控）与挖掘，实现网络管理、信息安全与商业智能：•网络管理：主要包括应用程序监控、优化流量传输性能等。•信息安全：监控网络流量中是否存在恶意行为和潜在威胁、分析网络攻击路径等。•商业智能：了解业务流量发展趋势、指引业务转型等。资料来源：虹科官网、科来官网、浙商证券研究所图：网络业务拓扑监控效果展示添加标题95%网络可视化产业结构017资料来源：中新赛克招股说明书、浩瀚深度招股说明书、浙商证券研究所网络可视化系统由前端和后端两部分组成：- 前端：通常负责流量和数据的识别采集。通过分光器或者物理天线对数据包进行提取与检测，然后根据相关的接口标准，将数据传输到后端。- 后端：通常负责数据的各类分析应用。通过对数据进行还原解析并存储，检索系统对数据进行及关键字检索等，判定是否存在违规的字段与业务，最后上传到应用系统进行可视化展示。后端的行业大数据系统可以针对不同行业进行定制化应用开发。图：网络可视化产业结构示意图：网络可视化产品部署示意（前端采集+后端应用）添加标题95%网络可视化技术原理——前端018网络可视化的前端数据采集主要由分光器、汇聚分流设备、DPI系统实现：首先以分光设备将流量镜像分离，而后进行汇聚分流，然后再进行深度报文解析（DPI），之后进行分布式存储并移交给后端进行具体的应用分析。以浩瀚深度硬件DPI系统的智能采集管理系统为例，流量通过分光器连接到汇聚分流设备，再由汇聚分流设备将流量同源同宿分发到由多台DPI探针设备组成的DPI系统，以完成流量的分析和处理。资料来源：沐名科技公众号、浩瀚深度招股说明书、浙商证券研究所图：浩瀚深度前端技术架构示意图：浩瀚深度前端硬件架构智能采集管理系统添加标题95%网络可视化技术原理——前端0191）采集：分光器•分光器是一种无源光器件，通过光的折射分离出部分光信号，可对光信号的功率强度按照需要的比例进行再分配。•在基于网络流量分析（NTA）的应用中，为了降低网络流量采集过程中对原链路的影响，通常采用旁路分光与交换机镜像方式获得原始流量的拷贝。2）汇聚分流•汇聚分流可实现将不同的线路进行统一接入和解析，并根据后端不同的业务系统的需要，提供不同的数据，跨越前端数据与后端应用之间的鸿沟。•通过串联或并联方式，汇聚分流设备可接入多种复杂链路数据，具备精细化流量采集分类、数据清洗，动态化负载均衡及智能化汇聚分发功能，可同时满足多种后端分析系统的应用需求。资料来源：搜狐网、浩瀚深度招股说明书、恒扬数据官网、卓迅技术官网、浙商证券研究所图：分光器工作原理示意图：汇聚分流平台工作原理示意添加标题95%网络可视化技术原理——前端01103）DPI：报文深度解析DPI（Deep Packet Inspection 深度报文检测）本质上是一种数据报文过滤技术。普通的报文检测只检测IP包4层以下的内容，包括源地址、目的地址、源端口、目的端口和协议类型；而深度报文检测除了支持上述解析以外，还会对OSI（Open System Interconnection，开放系统互联）七层协议中的L7应用层进行重组和解析。当IP数据包、TCP/UDP数据流通过基于DPI技术的报文解析系统时，该系统通过深入读取IP报文所载荷的内容来对应用层信息进行重组，从而得到应用程序的内容并按照系统定义的管理策略对流量进行整形操作。资料来源：CSDN、浙商证券研究所图：OSI七层模型、TCP/IP模型图：DPI深度报文解析工作原理示意添加标题95%网络可视化技术原理——前端01113）D