整体数据流基于 GMP 协议对接 OpenVAS 集群拉取扫描原始数据→五层分层认知建模加工→时序定时风险预警引擎输出异常信号→大模型深度解析单节点 CVE/CVSS 完整报告→生成可回溯、运行时可动态剪枝的修复行为树→自动远程处置 / 人工审核双路径形成告警闭环全流程反向迭代优化扫描策略实现风险持续循环收敛一、静态层依托 GMP 协议构建 OpenVAS 全局固定基准特征库数据接入方式持久化对接 gvmd 服务 GMP 管理接口批量拉取资产与漏洞类不变静态资源全量资产台账、节点 IP、设备硬件型号、操作系统发行版本完整 NVT 漏洞检测脚本库、官方 CVE 基础库、CVSS2/CVSS3 评分规则资产长期固定开放端口、扫描授权账号权限基线、等保 2.0 静态合规检查条目终端与服务器预装软件固定版本清单。分层处理逻辑对 GMP 返回原始扫描报文、VT 检测规则、资产配置快照做结构化清洗入库生成单资产专属静态漏洞快照档案。区分设备出厂自带固有漏洞、长期开放高危端口、系统初始不安全配置三类恒定特征作为动态层时序比对、漏洞真伪判定、基线偏离校验的固定参照基准剥离静态固有风险对动态风险波动研判的干扰。配套基础能力为每台资产分配全局唯一资产 ID绑定该资产全历史 CVE 静态特征预配置 CVSS 分级阈值统一各层级告警定级标准每份资产快照附加有效时间戳作为动态层三级视距调度、快照过期判定、触发增量 / 全量复扫的核心判断依据。二、动态层多周期 GMP 扫描构建资产时序链 三级视距调度 快照过期分级复扫 时序预警引擎GMP 时序数据持续采集按自定义周期轮询 GMP 任务查询接口同步每一轮完整扫描结果以单资产为单位独立构建风险时序链单条时序链存储维度包含扫描时间戳、新增 CVE 条目、已修复消失漏洞、补丁更新记录、端口启停事件、配置变更记录、复测校验状态完整还原资产全生命周期风险变化轨迹。三级视距分层调度承载快照时效校验、分级触发复扫核心模块短视距小时级单次扫描周期单次扫描任务完成后实时比对扫描结果与当前生效静态快照识别临时端口波动、扫描鉴权临时失败、单次偶发误报 CVE同步校验快照时效戳快照过期则即时下发 GMP 紧急复测任务复测完成后更新静态层基线快照。中视距天 / 周级周期扫描窗口持续跟踪漏洞存续周期、临时端口开放时效、补丁迭代时序内置快照生命周期计时器每日固定窗口批量遍历全网资产快照时效统一筛选过期资产批量下发 GMP 扫描任务集中刷新静态基线减少零散扫描带来的集群资源损耗。长视距月 / 季度级全局复审周期管控长期遗留高危漏洞、反复出现不合规配置、资产上下线全流程每季度强制发起全网全域资产快照复审不受快照时效限制主动执行完整全网扫描统一刷新全部老旧失真基线快照消除长期未更新基准带来的研判偏差。静态快照过期复扫完整执行流程静态层输出资产快照附带时效标签交由动态层三级视距轮询监控执行分级复扫短视距实时巡检单节点扫描结束即时校验快照有效期过期创建紧急 GMP 复测任务扫描完成将新资产、漏洞、配置数据回写静态层覆盖更新过期快照中视距周期巡检每日定时批量遍历全节点快照时间戳批量筛选过期资产统一调度批量 GMP 扫描任务集中批量更新快照优化扫描资源利用率长视距强制全局复审每季度启动全网完整扫描统一刷新全部资产静态快照修正长期老化基线造成的风险分析偏差。定时时序风险预警引擎基于资产时序链持续监控定时轮询 GMP 扫描结果配置多维度时序异常触发规则短时序突增预警单次扫描新增 CVSS≥7.0 高危漏洞实时推送告警中长期滞留预警同一条高危 CVE 连续 3 轮扫描未完成修复触发超时滞留告警时序突变预警长期零风险节点批量新增开放端口、多条可利用高危漏洞基线偏离时序预警资产固定基线配置发生无审批非正常变更所有告警附带完整资产时序快照统一流入因果层执行多层剪枝过滤伪告警。三、因果层三层剪枝机制过滤 GMP 扫描误报完成 CVE 风险根因溯源适配漏洞扫描场景的三层剪枝逻辑一层时序剪枝过滤时序链内仅单次出现、后续扫描自动消失的网络抖动、临时探测导致的瞬时 CVE 告警二层环境剪枝结合动态层复扫后最新静态基线快照剔除与节点操作系统、已关停服务不匹配的 CVE 错误匹配结果三层依赖剪枝拆解「操作系统 - 运行服务 - 软件版本 - 漏洞 - 利用前置条件」完整因果链路清除无依赖支撑、本地无法触发利用的无效 CVSS 告警。CVE 根因溯源建模保留三层剪枝过滤后的真实风险漏洞构建可视化因果依赖图精准划分风险根源系统补丁缺失、账号弱口令、运维错误配置、外部入侵篡改、扫描代理异常干扰每条有效 CVE 绑定对应 CVSS 分值作为风险权重支撑后续分层处置优先级判定。前置行为树无效分支预过滤提前剔除无利用路径、无可行修复方案的漏洞分支降低后续大模型语义解析、行为树生成阶段的算力消耗。四、规律层大模型解读扫描报告生成可动态剪枝、全链路可回溯修复行为树报告输入数据源将 GMP 导出单节点完整扫描报告、动态层复扫更新后的最新静态快照、因果层过滤后有效 CVE 清单、对应 CVSS 风险分值、漏洞完整因果依赖链统一输入大模型进行深度语义解析由模型自动识别漏洞类型、受影响组件、官方修复方案、适配当前操作系统的标准化处置路径。标准化修复范式沉淀归集同类型 CVE、同操作系统资产通用处置逻辑沉淀标准化修复模板库Windows 系统补丁批量下发、Linux 软件包版本升级、防火墙高危端口封禁、业务弱口令重置、Web 服务安全配置加固、临时风险端口定时关停策略。可执行修复行为树核心能力大模型输出结构化多层修复行为树具备三大核心特性运行时动态剪枝执行阶段结合资产实时时序链、最新静态快照、CVSS 风险等级自动裁剪不适用、无效修复分支全链路操作回溯行为树每一步操作留存执行日志、时间戳、操作参数执行失败、误操作支持反向回滚精准定位异常资产与操作节点双分支分级处置逻辑分支 A自动修复分支低、中危标准化漏洞行为树调用远程运维接口批量自动执行修复分支 B人工审核分支CVSS≥9.0 临界高危漏洞、核心业务资产、操作存在业务中断风险的处置动作终止自动执行推送标准化人工告警附带完整时序链、CVE 详情、分步修复建议。行为树反向优化 OpenVAS 扫描策略将高频复发、批量修复的同类 CVE 沉淀为规律模板自动反向调整动态层视距扫描周期、OpenVAS 扫描任务范围、NVT 检测插件筛选规则、快照过期复扫触发阈值持续削减无意义扫描任务降低集群负载。五、天道层全局统一风险判定标准与全链路合规自校验统一 CVSS 动态风险约束规则融合原生 CVSS 分值、资产业务重要度权重、长期暴露时序特征修正 OpenVAS 原生单一评分带来的风险偏差制定全局统一风险分级标准与强制修复时效约束针对临界高危 CVE 自动缩短动态层短视距巡检周期、加速快照过期复扫、提升预警推送优先级。修复行为树全局自校验机制统一校验大模型生成的修复行为树是否符合底层系统资源限制、业务连续运行客观规则自动拦截存在系统崩溃、业务停机风险的高风险自动处置动作强制切换至人工审核分支。跨安全系统统一底层互通架构与流量安全检测、代码审计 WAT 模块共享同一套五层认知底层底座GMP 同步漏洞时序数据、行为树执行操作日志、动态层快照复扫记录支持双向数据互通打通漏洞扫描、流量威胁监测、代码安全审计三大模块一体化风险研判能力。全链路闭环完整管控流程动态层三级视距轮询校验快照时效→过期资产下发 GMP 复扫任务→新扫描数据回写静态层更新资产基线快照→以单资产为单位构建独立风险时序链→时序预警引擎识别异常输出风险告警→因果层三层剪枝清除误报并完成 CVE 根因溯源→规律层大模型解析报告生成可动态剪枝、操作全回溯修复行为树依据 CVSS 风险等级分流处置低中危漏洞自动远程修复、高危核心资产推送人工审核→天道层统一校验风险定级、修复行为业务合规性同步更新资产时序链反向调整动态层视距扫描周期、快照过期判定阈值形成持续迭代的漏洞循环治理闭环。