《中國移動：2024年6G數字孿生網絡安全技術白皮書（1.0）（27頁）.pdf》由會員分享，可在線閱讀，更多相關《中國移動：2024年6G數字孿生網絡安全技術白皮書（1.0）（27頁）.pdf（27頁珍藏版）》請在三個皮匠報告上搜索。

1、前前言言隨著“數字孿生、智慧泛在”的 6G 愿景成為業界共識，數字孿生技術也將在未來網絡演進中發揮重要作用。未來 6G 網絡具備空天地廣域覆蓋、分布式自治組網、海量異構終端接入等特征，面臨安全風險難識別、安全需求難統一、安全效果難評估等挑戰。數字孿生技術可以為 6G 安全提供新的思路與解決方案，助力實現低成本試錯、智能化安全決策、高效率安全創新和預測性安全維護，從而提升 6G 網絡安全確定性、自主性和智能性。本白皮書旨在探討數字孿生對 6G 網絡安全的推動作用以及賦能6G 網絡安全的典型場景，并提出了數字孿生網絡安全框架及關鍵技術。期望能夠為 6G 數字孿生安全研究提供可參考的需求分析和技術方

2、向，推動業界對 6G 數字孿生安全達成共識，保障 6G 網絡安全、穩定和可持續發展。本白皮書的版權歸中國移動所有，未經授權，任何單位或個人不得復制或拷貝本建議之部分或全部內容。中國移動6G 數字孿生網絡安全技術白皮書（1.0）目錄目錄1.數字孿生概述.11.1.數字孿生網絡的發展.11.2.數字孿生對網絡安全的推動作用.22.數字孿生賦能 6G 安全.42.1.6G 網絡安全挑戰.42.2.基于數字孿生的 6G 安全典型場景.62.2.1.安全推演評估.62.2.2.差異化安全能力交付.72.2.3.主機威脅防護.82.2.4.異常流量訪問控制.92.2.5.安全態勢感知.103.數字孿生網絡

3、安全框架.13.1.設計原則.13.2.總體框架.13.3.物理網絡層.23.4.南北向接口.23.5.網絡安全數字孿生層.23.5.1.安全數據處理.23.5.2.孿生安全模型.33.5.3.安全編排.33.6.網絡安全應用層.44.數字孿生網絡安全關鍵技術.54.1.數據安全采集技術.54.2.網絡威脅數字化建模技術.64.3.面向安全的可編程協議棧技術.64.4.網絡攻防知識圖譜構建技術.74.5.安全策略驗證與優化技術.74.6.安全態勢呈現技術.94.7.網絡數字孿生安全保障技術.94.7.1.數據安全.94.7.2.模型安全.104.7.3.指令安全.105.總結與展望.11縮略語

4、.12參編單位及人員.13中國移動6G 數字孿生網絡安全技術白皮書（1.0）11.數字孿生概述數字孿生概述1.1.數字孿生網絡的發展數字孿生網絡的發展數字孿生概念最先為美國教授 M.Grieves 提出，由物理對象、虛擬對象和兩者的交互三部分組成，并在美國國家航空航天局構建未來飛行器項目中進行應用與發展。近年來，基于數字孿生技術的應用研究成為熱點，已在民航、水利、能源、教育、醫療、信息技術等多個領域開展廣泛運用。2023 年 ITU 發布的IMT面向 2030 及未來發展的框架和總體目標建議書中，提出數字孿生是面向 2030及未來 6G 移動通信的重要發展趨勢之一，將實現人、機、物的連接，實現

5、物理世界和虛擬世界的實時同步。將數字孿生技術應用于網絡，創建物理網絡設施的虛擬鏡像，即可搭建與物理網絡網元一致、拓撲一致、數據一致的數字孿生體。各種網絡管理與應用可以利用網絡的數字孿生體，基于數據和模型對物理網絡進行高效的分析、診斷、仿真和控制，可以實現低成本試錯、智能化決策、高效率創新和預測性維護，進而助力網絡實現極簡化和智慧化運維。中國移動發布的數字孿生網絡（DTN）白皮書中提出了“三層三域雙閉環”網絡架構：三層指構成數字孿生網絡系統的物理網絡層、孿生網絡層和網絡應用層；三域指孿生網絡層數據域、模型域和管理域，分別對應數據共享倉庫、服務映射模型和網絡孿生體管理三個子系統；“雙閉環”是指孿生

6、網絡層內基于服務映射模型的“內閉環”仿真和優化，以及基于三層架構的“外閉環”對網絡應用的控制、反饋和優化。中國移動6G 數字孿生網絡安全技術白皮書（1.0）2圖 1 數字孿生網絡“三層三域雙閉環”架構1.2.數字孿生對網絡安全的推動作用數字孿生對網絡安全的推動作用數字孿生技術可以為網絡安全領域提供新的思路與解決方案，基于數據和安全模型對物理網絡進行高效的安全分析、安全仿真和安全控制，使網絡安全具備數往知來、虛實結合、由點及面的特征。數往知來數往知來數往知來是指可以從歷史數據、實時狀態中探索未知的安全風險，獲取未來的安全趨勢，從時間維度提升網絡安全分析的確定性。在安全風險識別方面，數字孿生可以幫

7、助實現從基于規則判定已知風險到基于數據預測未知風險的轉變。通過從移動通信網絡的終端、基站、核心網和網管中采集到的多源異構全量實時數據，以及對過往安全狀態進行快照存檔，利用數據分析和仿真推演等方式可以進行安全風險研判和趨勢預測。在安全措施制定方面，數字孿生可以幫助實現從依據經驗設置措施到迭代優化探索最優策略的轉變。在高擬真度的網絡數字孿生環境中，能夠對安全措施進行驗證，使用效果評價指標對不同安全措施進行評估，基于評估結果對措施進行優化，持續循環執行上述過程以實現閉環迭代，可幫助指導安全能力部署及配置中國移動6G 數字孿生網絡安全技術白皮書（1.0）3的決策，不斷逼近網絡安全自治。結合對下一時刻網

8、絡的仿真和推演，可提前做出網絡下一時刻的安全決策和安全規劃。虛實結合虛實結合虛實結合是指數字孿生將數字和物理實體相結合，將理論、仿真和實際運行相結合，從而豐富安全分析的方法，增加安全分析結果的準確性，從程度維度提升網絡安全分析的確定性。數字孿生基于映射模型以及從實體網絡空間采集的真實網絡運行數據，實現對網絡的高保真呈現，可以作為網絡安全應用或設施的試驗平臺，在不影響實體網絡運行的情況下得到貼近實體網絡的試驗結果。同時，使用數字孿生的網絡管理、配置能力，根據理論假設的結果對數字孿生中的網絡實體狀態進行設定，比如安全風險發生的時間、概率、影響等，也可以在數字孿生體上通過仿真手段模擬安全漏洞、安全攻

9、擊等安全風險，在仿真風險后按照孿生體的網絡運行邏輯運行并觀察風險后果?；诟怕史治?、仿真風險、真實數據、數字孿生體真實運行四者的虛實結合，豐富了分析情境，減少了推演時間，貼近了真實場景，便于更充分更準確地實現對攻擊效果的預測和安全策略的驗證。由點及面由點及面由點及面是指基于數字孿生可以根據需求進行單點網絡風險觀測或者全面安全態勢感知。網絡數字孿生無需也難以 100%復現物理實體網絡，可根據網絡安全場景需求，選擇需要跟蹤的對象時段、對象網絡、對象過程、安全風險、安全措施、安全狀態等進行建模?？捎糜谟^測單點或局部故障對網絡范圍內的影響，觀測多個攻擊對指定網元/網絡的疊加影響。也可構建復雜、大型推演

10、場景，對如 DDoS 攻擊、漏洞與病毒等在大型網絡環境下的破壞力、傳播力等進行推演與驗證，以及觀測多安全措施在安全、性能、效率等多方面的表現，以此提升網絡安全分析在空間維度的確定性。中國移動6G 數字孿生網絡安全技術白皮書（1.0）42.數字孿生賦能數字孿生賦能 6G 安全安全2.1.6G 網絡安全挑戰網絡安全挑戰作為關鍵信息基礎設施，移動通信網絡的安全影響國家安全、國計民生、公共利益。從 2G 到 5G 移動通信網絡安全不斷進化，支持更全面的數據安全和隱私保護、更豐富的認證機制以及更靈活的網絡間信息保護。但現有安全防護建立在 X.805 框架的基礎上，主要以分域隔離、邊界防御為手段，基于已知

11、的攻擊特征和規則匹配形成被動防護，缺乏對新型威脅、未知風險的安全感知能力和應對手段，缺乏對網絡攻擊的主動防御能力。6G 作為下一代數字信息基礎設施，將在 5G 三大典型場景基礎上繼續深化和增強，拓展無線感知和泛在智能等新場景，提升網絡性能、豐富服務能力，全面推動經濟社會數字化浪潮，促使人類進入一個數字孿生、萬物智聯的全新時代。而 6G 新場景、新架構、新技術也帶來新的安全挑戰：安全風險難識別。安全風險難識別。6G 網絡將會引入人工智能、云計算、區塊鏈等新技術，新技術引入提升網絡性能的同時也帶來了更多未知的安全風險。6G 網絡架構服務化會使網絡功能逐漸解耦，網絡攻擊路徑也會呈指數級增加，6G 網

12、絡面臨的安全攻擊將會更加的多樣性和智能化。傳統的外掛式和補丁式的安全防護機制己無法對抗未來 6G 網絡潛在的泛在攻擊與不確定性安全隱患。安全需求難統一。安全需求難統一。6G 網絡將實現真正的萬物互聯，支持如衛星網絡、行業網絡、體域網等異構網絡和海量終端，同時，沉浸式 XR、全息通信、感官互聯、通感一體、智慧內生等新業務不斷涌現。不同的網絡、業務對安全的需求不同，6G 網絡需要具備自主適應、智能協同及可擴展的安全能力，保證安全架構的健壯性和靈活性。安全效果難評估。安全效果難評估。6G 網絡架構部署將繼續向異構組網和分布式網絡方向演進，網絡的復雜度將進一步提升。安全能力的簡單疊加可能會造成網絡性能

13、下降，安全能力的多樣化部署可能引入網絡設計復雜、資源效率低等問題。如何選擇合適的安全能力、合適的交付時機、合適的組合部署方式，來平衡安全防護效果、安全成本、安全性能是困擾客戶及運營商的難題。6G 網絡需要對安全效果做明中國移動6G 數字孿生網絡安全技術白皮書（1.0）5確評估，以便在此基礎上持續優化安全措施，從而實現 6G 安全的自免疫。安全風險難識別、安全需求難統一、安全效果難評估增加了 6G 安全的不確定性。如 1.2 章節分析，通過構建基于數字孿生的 6G 安全能力，可以實現 6G安全風險自感知、安全目標自發現、安全策略效果自評價和自優化，推動移動通信網絡向安全確定性、安全自治的方向演進

14、。IMT-2030（6G）推進組發布的6G網絡安全愿景技術研究報告中也將虛擬共生作為 6G 網絡內生安全的重要特征之一。網絡數字孿生中的物理實體與虛擬孿生體能夠通過實時交互映射，實現安全能力的共生和進化，進而實現物理網絡與虛擬孿生網絡安全的統一，提升 6G網絡整體安全水平。下述章節將介紹數字孿生賦能 6G 網絡安全典型場景。中國移動6G 數字孿生網絡安全技術白皮書（1.0）62.2.基于數字孿生的基于數字孿生的 6G 安全典型場景安全典型場景2.2.1.安全推演評估安全推演評估6G 支持多種異構網絡及豐富的業務應用，安全事件的影響將更為復雜，需要系統直觀的安全推演評估。通過構建網絡孿生場景，對

15、網絡安全事件進行模擬，觀察、記錄、分析，全面解析安全事件的運行特點與可能結果。此過程可以預測潛在風險，量化其影響，并提供優化的安全解決方案，幫助優化安全資源配置，增強整體網絡防御能力，平衡業務連續性與安全建設的收益，為運營人員提供智能的安全響應輔助決策能力。在構建 6G 網絡孿生場景時，將動態的資產數字化模型與靜態的攻防知識模型進行關聯性建模，更有效地表達網絡空間特征；通過模擬多種組合的攻擊行為，構建多樣化的漏洞利用、病毒傳播、木馬植入和攻擊模擬等場景來模擬攻防對抗過程，分析可能存在的攻擊路徑，全面評估潛在安全風險和攻擊事件的影響，包括數據泄露、服務中斷和惡意代碼執行等多種情況，并考慮業務依賴

16、性來分析攻擊可能對當前業務系統和防護系統造成的具體影響，如潛在的業務中斷廣度和經濟損失，利用可視化能力進行呈現，輔助運營人員全面了解安全風險與業務連續性之間的關系，從而制定更加精準安全應對策略。圖 2 基于數字孿生的網絡安全推演評估示意圖中國移動6G 數字孿生網絡安全技術白皮書（1.0）72.2.2.差異化安全能力交付差異化安全能力交付6G 與垂直行業深度融合，將通過差異化網絡支持豐富的業務場景和客戶需求，需要有配套的安全措施保證網絡安全運行。網絡和業務的多形態需要差異化安全保障，進而需要差異化安全能力交付。利用網絡數字孿生的可驗證、可預測、高仿真等特性，在孿生網絡上進行交付策略（如安全能力組

17、合或安全意圖解析結果）的預驗證，并可對交付策略做持續優化?？沙浞职l揮專家經驗實施驗證的優點，促進行業需求與網絡安全能力及安全意圖的精準匹配。具體的，差異化網絡選擇的安全措施需要在滿足安全要求的前提下達成性能、效率等的平衡，可在數字孿生體上對差異化的網絡安全能力進行分類組合，從安全及非安全等維度進行測試驗證及迭代優化，進而生成精準滿足需求的交付策略。未來網絡會引入意圖驅動管理的能力，支撐對以安全類型、安全維度、安全能力等形式存在的意圖的解析、翻譯、分發和執行。在該意圖驅動的網絡安全配置流程中，可以在孿生網絡上對意圖解析后的指令進行預驗證，將驗證通過的指令下發給物理網絡，同時也可將驗證結果反饋給意

18、圖翻譯系統供其優化，從而提高意圖翻譯的準確性。圖 3 基于數字孿生的差異化安全能力交付示意圖中國移動6G 數字孿生網絡安全技術白皮書（1.0）82.2.3.主機威脅防護主機威脅防護6G 由于網絡容量變化，主機數量巨大，日益增長的復雜配置操作和漏洞修復給網絡運維帶來了巨大壓力。通過跟蹤和采集主機運行時行為，基于主機運行時的行為數據構建孿生體，并對孿生實體和相關模型進行學習與訓練，結合 IOA與 IOC 識別，可以快速模擬主機的運行時上下文，對用戶行為、文件操作、進程跟蹤、惡意提權等實現進程級行為控制，發現安全風險并實施有效阻斷，使內生安全防護及檢測能力下沉到操作系統內核中?；跀底謱\生的主機威脅

19、防護場景如下圖所示，包括主機實體層的行為數據采集與安全策略執行，運行時孿生層的數據模型管理與數據存儲映射，用戶按業務需求場景組織的安全控制應用三部分。其中，數據采集基于探針模式的操作系統內核跟蹤技術，與工作負載及業務類型解耦，通過實時描述運行時應用及用戶行為的黃金指標，達到對當前業務的應用上下文的深度可見，洞悉工作負載是否面臨安全風險，并可以根據安全策略模型進行規則匹配或可疑推理，進行風險阻斷攔截及告警。圖 4 基于數字孿生的主機威脅防護示意圖中國移動6G 數字孿生網絡安全技術白皮書（1.0）92.2.4.異常流量訪問控制異常流量訪問控制未來 6G 網絡架構持續演進，網絡攻擊路徑也會呈指數級增

20、加，針對異常流量的訪問控制尤為重要。異常流量訪問控制實現資源池內部東西向流量的監控，對異常流量進行分析，智能生成并執行安全策略，解決云化集中式資源池中單個網元被攻擊后進行資源池內部橫向攻擊的場景。利用數字孿生技術，對物理網絡的流量訪問信息進行采集，對采集到的流量信息進行聚類分組、標簽化處置，對異常流量進行檢測分析處置。在孿生網絡中進行異常流量預處置，包括禁用端口、隔離 VM、阻斷 VM 流入流出流量等高危操作，避免在現實網絡中出現異常規避導致網絡中斷甚至癱瘓的風險。有效降低微隔離安全策略執行時給現網帶來的風險，并且可以利用網絡孿生的迭代能力，持續優化形成安全策略最優解，有效提高網絡的穩定性。異

21、常流量處置單元收到 VM 上報的異常流量及相關日志，形成安全策略。將安全策略下發至網絡孿生體，網絡孿生體執行安全策略，形成執行結果，評估對網絡性能的影響、VM 資源占用的影響、是否出現中斷或癱瘓等?；趫绦薪Y果形成安全策略優化方案，將執行結果和優化方案上報至異常流量處理單元，處理單元決策是否可以將安全策略應用至現網，或者仍需和孿生網絡層交互，進一步調整安全策略。圖 5 基于數字孿生的異常流量訪問控制示意圖中國移動6G 數字孿生網絡安全技術白皮書（1.0）102.2.5.安全態勢感知安全態勢感知安全態勢感知是指通過實時監測、分析和預測網絡中的安全態勢來主動防范潛在的安全威脅。它對于 6G 網絡高

22、度復雜和動態的環境尤為重要，能夠在威脅發生前就提供預警并采取預防性措施，減少安全事件的發生，保障 6G 網絡的穩定和安全。安全態勢感知可以利用數字孿生技術，通過持續收集和分析網絡中的各類數據，實時了解當前的網絡安全狀態，并結合機器學習和大數據分析技術，系統地預測潛在的安全威脅，自動觸發自免疫性防護措施，以提高未來網絡的內生安全能力。以高級持續性威脅（APT）防護為例，利用數字孿生技術，持續手機網絡中的用戶和設備行為數據，識別 APT 攻擊的前期跡象，比如檢測到長時間的低頻率掃描活動可能預示著APT 攻擊的準備階段；在 APT 攻擊的不同階段，基于孿生體及大數據分析評估、模型學習技術，識別和預測

23、異常行為，及時生成預警和告警，觸發防護措施中斷攻擊鏈條，阻止攻擊者達到最終目標。圖 6 基于數字孿生的動態安全態勢感知中國移動6G 數字孿生網絡安全技術白皮書（1.0）13.數字孿生網絡安全框架數字孿生網絡安全框架3.1.設計原則設計原則為了實現數字孿生賦能網絡安全，在物理網絡與網絡安全應用之間，需要安全相關數據的深度開放與處理能力；需要網絡安全映射能力來實現對網絡、安全、風險的孿生；需要安全智能分析、調度能力完成閉環處置。同時，還應秉持至簡、靈活設計原則進行框架設計實現平臺化賦能：一方面按能力元素的類別分層分模塊整合為能力集，如數據能力集、模型能力集、應用能力集等，便于對要素進行符合特征的分

24、域管理且減少耦合；另一方面構建原子化服務化能力，支持智能化的編排管理，降低網絡安全應用開發難度并能靈活自適應的部署和調整。3.2.總體框架總體框架基于上述能力需求和設計原則，可以提出數字孿生網絡安全基本框架和框架模塊應具有的功能。該框架分為物理網絡層、南北向接口、網絡安全數字孿生層及網絡安全應用層，框架圖及模塊功能基本描述如下所述。中國移動6G 數字孿生網絡安全技術白皮書（1.0）2圖 7 數字孿生網絡安全框架3.3.物理網絡層物理網絡層物理網絡空間中的各種網絡資產構成了物理網絡層，網絡資產特別是網絡安全資產、資產的配置特別是安全配置、資產的安全漏洞等是該層主要涉及的元素。物理網絡實體具有不同

25、的形態，如移動電信網、互聯網、企業專網、黨政軍專網等，不同的安全防護需求部署針對性的安全防護資源及安全配置。此外，還包括各類內嵌式或外接式的網絡資產（含安全資產）采集配置接口，支持數據采集、控制指令接收等功能。3.4.南北向接口南北向接口南向和北向接口負責孿生網絡層與物理網絡層、網絡安全應用層之間孿生數據的交互、映射以及控制指令的接收、發送，包括數據采集、控制下發、能力開放和指令下發等接口功能。3.5.網絡安全數字孿生網絡安全數字孿生層層網絡安全數字孿生層是核心，負責處理孿生網絡的數據、模型，生成及管理數字孿生體，對數據、孿生體、物理網絡交互做編排和控制，以支撐實現上層網絡安全應用。該層包括安

26、全數據處理、孿生安全模型、安全編排等模塊。3.5.1.安全數據處理安全數據處理通過收集和更新各類網絡實體的安全相關數據和實時運行數據，形成孿生網絡的真實來源，為各類網絡安全應用提供準確、完整的信息。圍繞數據的處理包括：數據采集數據采集：完成網絡數據和安全相關數據的提取、轉換、加載、清洗和處理，可用于支持基于 DTN 的網絡安全應用。上述數據采集可以通過網絡域、業務域、主機域上運行的感知設備進行數據采集，也可以通過網絡自身的數據管理功能收中國移動6G 數字孿生網絡安全技術白皮書（1.0）3集數據。在 6G 時代，網絡的數字孿生可以調用數據面基礎服務來生成、存儲、訪問和傳輸其數字孿生體和各種安全模

27、型。數據預處理數據預處理：包括對數據的安全預處理、安全特征建立、安全增廣等。安全預處理指出于對數據的安全隱私保護所采取的數據加密、脫密等操作；安全特征建立指通過對數據的分區分類結構化處理，在建立基礎數據倉庫的基礎上，建立安全相關主題特征數據集；安全增廣指對真實數據進行增廣處理，生成更多虛擬安全場景，提供多樣性更好的訓練數據，如漏洞分布或入侵行為等。數據存儲數據存儲：針對網絡數據和安全相關數據的多樣化特點，采用多種數據庫技術對數據進行高效存儲。數據服務：數據服務：為孿生安全模型提供多種數據服務，包括快速檢索、并發沖突、批量服務、統一接口等。3.5.2.孿生安全模型孿生安全模型孿生安全模型負責（網

28、絡安全）數字孿生體和安全能力模型的映射與建模。（網絡安全（網絡安全）數字孿生體數字孿生體：數字孿生體是指根據物理網絡的基本配置、環境信息、運行狀態、鏈路拓撲等信息建立的網元模型和網絡拓撲模型，它是對物理網絡的實時準確描述。數字孿生體可以與安全功能模型實例交互，以幫助驗證和模擬安全風險或安全解決方案。數字孿生體應支持自身安全配置的更新、安全能力的操作、接口數據包捕獲和修改等。安全能力模型安全能力模型：功能模型是指針對特定的網絡安全應用場景，充分利用數據倉庫中的數據，建立安全仿真、安全預測、安全決策、安全驗證、安全優化、安全規劃等各種數據模型。作為網絡孿生的能力源，隨著安全功能模型種類的增多，基于

29、數字孿生提供網絡安全應用的能力也可以越來越強。3.5.3.安全編排安全編排為了以敏捷的方式實現網絡安全應用，需要在特定的孿生網絡上編排所需的動作序列，包括編排所需的孿生網絡、編排所需的模擬安全風險或對策、編排所中國移動6G 數字孿生網絡安全技術白皮書（1.0）4需的安全相關功能模型，這些由相應的引擎或工具執行。具體包括：對網絡安全場景的解析、設定、生成、和分析等；對指定時間、范圍、特征的物理網絡的網元和拓撲構建模型；根據網絡安全應用程序編排對風險和措施的仿真，包括指定模擬順序、模擬時間、與風險相關的孿生實體、模擬方法和所需資源等；編排對孿生網絡的安全狀態，例如指定測量標準、測量時間、測量方法和

30、所需資源等。3.6.網絡安全應用網絡安全應用層層網絡安全應用通過孿生北向接口向網絡安全數字孿生層輸入需求，通過對數字孿生體、安全能力模型及孿生數據的調用，生成經過驗證的安全控制指令，網絡安全數字孿生層通過南向接口將控制更新下發至物理實體網絡。安全推演評估、安全能力交付、威脅防護、異常流量訪問控制等各種網絡安全應用能夠以更直觀的效果、更高的效率和更小的現網業務影響快速部署。中國移動6G 數字孿生網絡安全技術白皮書（1.0）54.數字孿生數字孿生網絡安全關鍵技術網絡安全關鍵技術4.1.數據安全采集技術數據安全采集技術數據采集是數字孿生技術的基礎，是實現數字孿生安全的關鍵步驟。數據采集是指從物理世界

31、或虛擬環境中收集數據的過程，這些數據可以是 1）資產安全信息，如資產風險信息、安全設備信息等、主機基本信息、主機行為信息（如登錄、進程行為、文件行為等）、主機日志信息(如攻擊監控日志、惡意代碼監控日志、威脅情報監控日志等）等；2）流量安全信息，如流量基本信息、攻擊流量信息、網絡攻擊惡意代碼樣本信息等；3）來自網絡外部的數據包括：威脅情報、專家知識庫等。采集這些數據涉及多種采集技術，包括探針技術、清洗技術、標簽技術等。探針技術：基于網絡側鏡像分光和主機層基于內核沙箱的探針技術，無需重啟物理體，同時增加用戶自定義數據采集，然后通過 DPI 采集技術完成采集、打時戳、去重等功能。從移動通信網絡的 M

32、ANO、SDN-C、Vswitch 等接口支持的數據采集，可以使數據孿生對移動通訊網絡做更精確的模擬。數據清洗：對采集的網絡原始數據進行數據處理、按時間分區、非結構化數據做結構化處理和 ETL 入庫等操作，包含對數據的關聯回填、數據清洗、數據轉換、數據加密和數據加載等流程。清洗后的數據使數字孿生可以摒棄網絡雜包和錯包，實現網絡安全數字孿生的輕量化。標簽技術：將探針收集到的網絡實時數據按照協議層和功能加以標記、分類。如請求報文，可以在不同的協議層中標記 TCP 請求、TLS 請求、HTTP Get等，數字孿生可以使用這類報文模擬網絡風暴或者DDoS攻擊，體現數字孿生的價值。從孿生數據的及時性和有

33、效性的角度來看，適配模型變化的數據采集技術在數字孿生網絡安全中也非常重要，比如在事件域，當采集物理體執行的進程級信任憑據發生變化時，利用實時數據可以快速感知并處置。中國移動6G 數字孿生網絡安全技術白皮書（1.0）64.2.網絡威脅數字化網絡威脅數字化建模建模技術技術數字化建模是將抽象的網絡世界對象數字化、模型化的過程。通過數字化建模技術將抽象的網絡威脅轉化為計算機可以理解的數字化模型，從而可以有效理解 6G 網絡的安全問題，并基于模型的編排、關聯、分析來解決安全問題。網絡威脅的數字化建模需要從多個維度去融合物理域模型、認知域模型、邏輯域模型，表達網絡安全特征及業務的關聯性特征。孿生模型屬性要

34、有足夠的靈活性用于擴展來支持不同網絡空間實體表征的多樣性，模型與模型之間的關聯關系要有足夠的科學性以反應真實網絡世界，可基于現有模型構建新的模型用于表現其表征。MOF 建模方法提供了一套靈活且可擴展的框架，其核心目標是建立一個支持任意類型元數據的結構體系，并允許根據需要擴展新的元數據類型。MOF 基于經典的四層元建模體系結構，該體系結構在 ISO 等標準社區中廣泛應用，確保了模型的科學性與適用性。為了使網絡威脅模型更加有效地支撐推演預測能力，模型的維度需要結合6G網絡標準和網絡攻防標準，實現 6G 網絡環境下的復雜威脅分析與預測。同時，網絡威脅模型具備靈活性和可拓展性，既可單獨使用，也可根據具

35、體場景需求進行組合，以應對新興的場景建?；蛸Y源建模挑戰。4.3.面向安全的可編程協議面向安全的可編程協議棧棧技術技術可編程協議棧是網絡數字孿生的關鍵技術之一，能夠實現對網絡協議的靈活定義和控制?？删幊虆f議棧允許用戶通過編程接口或圖形化界面對網絡協議的各個層次的字段內容進行自定義或編輯，調整和變更協議流程，以便在孿生環境中構建多種網絡安全場景，模擬多種攻擊和異常流程?？删幊虆f議棧支持將不同網絡層次的協議靈活組合，例如將應用層協議與傳輸層協議、網絡層協議進行集成和調試。這種組合可以模擬復雜的攻擊鏈路，如從應用層滲透到網絡層的橫向攻擊?？梢酝ㄟ^模塊化的方式設計協議棧，使得不同層次的協議模塊可以靈活替

36、換、組合或擴展。例如，可以將某個應用層協議的模塊與另一個傳輸層協議的模塊結合，測試其在不同協議組合下的安全性?？删幹袊苿?G 數字孿生網絡安全技術白皮書（1.0）7程協議棧支持定制協議的狀態機，用戶可以指定協議的狀態轉換規則、觸發條件和對應的動作?？梢阅M復雜的協議交互過程，如多步握手、認證過程等。并且可以實時調整協議的狀態機，模擬協議的異常流程或攻擊行為，如惡意終止連接、偽造會話等。4.4.網絡攻防知識圖譜構建技術網絡攻防知識圖譜構建技術6G 的低延遲和高實時特性對安全威脅的快速分析、預測和響應提出了更高的要求，網絡攻防知識圖譜構建技術可以實現攻擊路徑的高效解析、跨層次攻防態勢的全面展示、

37、動態攻防對抗態勢的持續更新。網絡攻防知識圖譜構建技術能夠將單獨的事件通過攻擊向量等關聯起來，形成一個完整的事件傳播圖譜，以便更好地理解攻擊事件間的邏輯關系，并且可以發現原先未知的新的攻擊路徑。在這個過程中，通過構建攻擊圖和防御圖，系統地研究不同攻擊方式的防御弱點，分析整個攻擊集合的對整體業務網絡的影響范圍和深度，也可以隨之找到潛在的安全風險和整體防御體系的薄弱環節，制定針對性更強的防御措施。網絡威脅知識圖譜構建技術可以將原本孤立的數字孿生模型建立關聯關系，實現更為綜合和體系化的網絡風險分析。通過知識圖譜能夠整合多源信息，識別和分析復雜的威脅關系；將攻擊路徑、漏洞和安全事件進行語義關聯，提升威脅

38、檢測能力；將資源、用戶、網絡活動在一張數字化的“網”中連接起來，進行更為廣泛的網絡風險評估，并借助知識圖譜中定義的規則和關系，自動化識別和響應威脅，進而獲得網絡風險管理的主動性、實時性和可預測性。4.5.安全策略驗證與優化技術安全策略驗證與優化技術安全策略的驗證與優化是提高網絡安全防護能力的一項關鍵技術。通過在網絡數字孿生體中實施安全策略的驗證和優化，可以在不影響物理網絡運行的情況下，通過不斷迭代測試和反饋循環，逐步提升安全防護的全面性和有效性。策略驗證：基于對物理網絡精確數字映射的孿生體進行策略驗證，首先將計劃實施的安全策略以及針對6G網絡新型攻擊方式的新防護措施導入數字孿生體。中國移動6G

39、 數字孿生網絡安全技術白皮書（1.0）8接著，通過集成自動化滲透測試工具（如 Metasploit、OWASP ZAP 等）或自定義攻擊腳本，執行多種模擬攻擊，包括 DDoS 攻擊、惡意軟件感染、零日漏洞利用、內部人員威脅等，通過自動化框架執行模擬攻擊，生成完整的攻擊路徑，并捕獲攻擊行為日志，分析每一個攻擊步驟的執行效果。例如，通過流量分析工具（如 Wireshark、TShark）對每次攻擊的網絡流量進行詳細捕獲和分析，以評估當前安全策略的應對能力。隨后，利用基于機器學習的異常檢測算法（如深度神經網絡 DNN 或支持向量機 SVM）對攻擊路徑中可能的防護薄弱點進行識別，并生成詳盡的防護策略效

40、能報告。這些技術使得攻擊路徑的每一個步驟都可以被精確記錄、分析，進一步驗證現有防護策略在不同攻擊階段的有效性。此外，為了提高驗證的效率和覆蓋范圍，可利用虛擬化技術（如 Kubernetes、Docker）對不同的網絡拓撲、流量模式進行動態編排，從而測試安全策略在各種網絡條件下的表現，進一步驗證其在實際網絡中的可行性和可靠性。同時，在策略部署到實際物理網絡之前，利用虛擬安全網關和端點防護工具進行持續的壓力測試，確保策略在高負載或異常情況下的穩健性。最后，在實際網絡中部署安全策略后，結合日志分析、流量監控（如 Zeek、NetFlow）、入侵檢測系統（如 Snort、Suricata）等工具，可實

41、時持續監控策略的運行效果，確保其能夠有效應對各類威脅。策略優化：根據驗證過程中發現的薄弱環節及攻擊路徑中的關鍵節點，利用基于大數據分析的安全策略優化平臺（如 ELK 堆?；?Splunk）進行策略和配置的改進。優化后的安全策略和配置將再次在數字孿生體中，使用前述自動化工作做全面驗證。進一步地，通過在網絡數字孿生中的自動化威脅建模和反饋循環，系統能夠基于實時威脅情報和網絡環境變化生成動態安全策略：采用動態攻擊面管理工具（如 Cortex XSOAR 或 IBM Resilient）使優化策略能夠自適應網絡威脅的變化，并實時調整防護措施。在實際網絡中部署優化的安全策略后持續監控其運行效果，如果在部

42、署過程中發現新策略對物理業務運行產生負面影響或未能有效防護某些攻擊，可以通過預定義的應急響應機制快速回滾到之前的策略版本，或啟動預定的故障恢復程序，確保網絡的連續性和安全性。中國移動6G 數字孿生網絡安全技術白皮書（1.0）94.6.安全態勢呈現技術安全態勢呈現技術網絡數字孿生之后，安全態勢呈現技術通過可視化圖形界面將復雜的網絡狀態和演變過程展示給用戶，實現網絡安全場景可視化、網絡拓撲可視化、攻擊流程可視化、防御策略可視化等多種能力。安全態勢呈現技術不僅可以直觀地展示網絡安全風險，也可提高安全分析效率，幫助安全專家快速決策。用戶可以創建、選擇或配置不同的場景，每個場景可能涵蓋特定的攻擊類型、目

43、標區域、網絡規模等參數。安全態勢呈現技術提供多場景并行對比的可視化視圖，幫助用戶對比不同場景中的安全態勢、攻擊方式和防御效果。通過顏色編碼、圖形變化等方式直觀展示場景之間的差異，特別是在防御策略調整后的效果變化?？梢栽跁r間軸上查看并控制場景的進度，觀測特定時間點的安全態勢演變過程。安全態勢呈現技術還能夠實時展示防御策略的部署位置和范圍。例如，防火墻規則的應用區域、入侵檢測系統的監控范圍、加密措施的覆蓋范圍等。直觀展示防御策略與攻擊路徑之間的交互，用戶可以看到策略在不同攻擊階段的效果，例如是否成功阻擋了攻擊或延緩了攻擊進展。通過熱力圖、影響圈等方式，展示當前防御策略的覆蓋區域及其強度，幫助用戶識

44、別防御薄弱點和需要加強的區域。4.7.網絡數字孿生安全保障技術網絡數字孿生安全保障技術網絡數字孿生基于孿生模型實現網絡的仿真和控制，具有數字化、實時化、智能化等特點，本身面臨孿生數據不可信、孿生模型不安全、控制指令不可靠等安全挑戰，且基于物理網絡采集海量數據也面臨著數據授權及隱私保護等問題，需要利用數據安全技術和網絡安全技術，實現網絡數字孿生中數據全生命周期的安全保障以及網絡和業務的整體統一安全。4.7.1.數據安全數據安全對網絡做數字孿生會產生和存儲大量設備信息、用戶信息、交互信息和管理信息等，這些數據對外泄漏或被應用未授權訪問有可能造成用戶或網絡的隱私泄中國移動6G 數字孿生網絡安全技術白

45、皮書（1.0）10露；數據在傳輸或存儲中被篡改或破壞、采集的數據不可信等，將難以滿足數據的應用和分析要求；異構網絡的多級協作、跨域孿生產生數據共享的需要，也為數據安全需求的保障增加了復雜度。因此，需要相應安全機制以保障數據的機密性、完整性、可信性、可追溯等，例如，輕量和高效的數據安全保護機制，如物理層加密技術等；數據訪問授權功能，確保不同等級的數據僅能被具備權限的模型訪問；數據驗證機制，動態識別數據信息的真實性、發送數據意圖的可靠性；數據防泄露和追蹤溯源機制，通過脫敏、水印、數據流轉監控等實現數據泄露的追蹤溯源；隱私保護機制，實現隱私信息的全生命周期保護。4.7.2.模型安全模型安全模型在不同

46、的階段可能面臨各種安全威脅：在模型數據收集階段，可能會遭遇數據污染攻擊；模型開發或訓練階段，可能會引入漏洞和后門；而在模型部署使用階段，則可能面臨模型盜用和對抗性樣本攻擊的風險。這些安全問題的出現，主要歸咎于以下幾個方面：數據在采集、傳輸、使用、共享和存儲過程中的管控不夠嚴格，對攻擊行為的檢測不夠全面等。為了有效保護模型安全，可以采取多種措施，例如：模型訓練前對數據質量進行評估和清洗，以確保數據質量；在模型開發時進行開發框架的安全檢測，排除供應鏈潛在的安全漏洞；使用模型指紋技術來識別和驗證模型的安全性，以及通過異常行為識別來監控模型的使用和運行，從而及時發現并應對潛在安全風險。4.7.3.指令

47、指令安全安全由于孿生網絡可能直接對物理網絡進行控制，針對數據孿生系統的攻擊可能會威脅到物理世界中的人身安全、設備安全和業務安全。相比于傳統網絡安全風險，指令安全是數字孿生最顯著的安全風險，例如向關鍵網元下發不恰當指令、指令隱私泄露、指令沖突等。保障指令安全可以采取多種措施，如根據物理網絡安全分域級別對指令的進中國移動6G 數字孿生網絡安全技術白皮書（1.0）11行不同控制和檢驗方案，對源、策略真實性、目標匹配進行多維策略驗證，分層加解密實現最小化隱私設計；通過設置模型優先級、在孿生體和網元進行沖突判定和檢測等手段，根據優先級指導指令執行，使得非安全類指令不能繞過安全類指令執行。5.總結與展望總

48、結與展望本白皮書介紹了數字孿生技術的基本概念，探索了數字孿生賦能 6G 網絡安全的典型場景，設計了數字孿生網絡安全框架并闡述了關鍵技術，旨在推動業界對 6G 數字孿生安全達成共識，提升 6G 網絡安全確定性。當前業界對于 6G 網絡數字孿生的研究還處于初級階段，如何將數字孿生技術與 6G 網絡深度融合，更好地賦能 6G 網絡安全，還存在如下值得探索的關鍵技術問題：在架構方面，如何實現數字孿生網絡安全框架與 6G 網絡架構的一體化設計，與 6G 網絡架構新增組件如孿生體、安全面等協同交互；在模型方面，如何針對不同網絡安全場景設計數字孿生安全模型，構建全網通用、泛化能力高、遷移能力強的安全模型，并

49、對安全效果性能進行量化評估；在數據方面，如何實現數字孿生網絡安全相關數據的可信及隱私保護，并保障異廠商接口和數據的兼容性。6G 網絡架構升級為關鍵信息基礎設施的自主建設以及自主化安全技術的引入提供了機會和窗口期，數字孿生技術可助力 6G 安全尋求超越物理網絡的解決方案，為重構和增強 6G 安全提供了新的實施路徑。業界已啟動數字孿生安全創新研究和標準化進程，目前已在 ITU 推進數字孿生網絡安全指南數字孿生用于網絡安全應用的指南 基于數字孿生的網絡安全資產和安全事件可視化服務功能需求三項標準。期望業界能夠繼續攜手共進，加強數字孿生網絡安全的技術創新和產業協作，將數字孿生賦能網絡安全融入 6G 整

50、體架構、流程及設備生產制造過程中，實現具備確定性、自適應、可評估的 6G 安全機制，為 6G產業化及商用發展奠定安全保障基礎。中國移動6G 數字孿生網絡安全技術白皮書（1.0）12縮略語縮略語英文縮寫英文縮寫英文全稱英文全稱中文解釋中文解釋5G5th Generation MobileCommunication Technology第五代移動通信6G6th Generation MobileCommunication Technology第六代移動通信AIArtificial Intelligence人工智能APTAdvanced Persistent Threat高級持續性威脅DTNDigi

51、tal Twin Network數字孿生網絡DDoSDistributed Denial of Service分布式拒絕服務DNNDeep Neural Networks深度神經網絡DPIDeep packet inspection深度數據包檢測ELKElasticsearch Logstash Kibana彈性堆棧ETLExtract-Transform-Load數據抽取、轉換和加載HTTPHyper Text Transfer Protocol超文本傳輸協議ITUInternationalTelecommunication Union國際電信聯盟IOAIndicators ofAttack

52、攻擊指標IOCIndicators of Compromise入侵指標ISOInternational Organization forStandardization國際標準化組織MANOManagement and Orchestration管理與編排MOFMeta-Object Facility元對象機制SDNSoftware-Defined Networking軟件定義網絡SVMSupport Vector Machines支持向量機中國移動6G 數字孿生網絡安全技術白皮書（1.0）13英文縮寫英文縮寫英文全稱英文全稱中文解釋中文解釋TCPTransmission Control Protocol傳輸控制協議TLSTransport Layer Security傳輸層安全協議UEUser Equipment用戶終端VMVirtual Manufacturing虛擬機XRExtended Reality擴展顯示參編單位及人員參編單位及人員序號序號貢獻單位貢獻單位人員人員1中國移動粟栗、杜海濤、王珂、閆茹、馬宇威、白杰2中興通訊股份有限公司楊春建、侯芳、顧希，劉建華3北京觸點互動信息技術有限公司王宇華、王航4華為技術有限公司李祥軍，張博，莫若，段凱旋，姜繼勇5庫析（南京）科技有限公司董昊辰、李金鵬、林小熔中國移動6G 數字孿生網絡安全技術白皮書（1.0）14