腾讯云T-Sec高级威胁检测系统（腾讯御界）概要

一、产品定位与核心亮点

技术定义：T-Sec高级威胁检测系统（简称“腾讯御界”）是腾讯推出的高级威胁检测（APT检测）、分析、溯源和响应一体化解决方案，隶属于SOC+安全运营体系，由“NDR御界高级威胁检测系统”和“NDR天幕安全治理平台”组成。

核心技术属性：通过流量采集探针（SPAN/TAP镜像流量）、协议解析引擎（TFA引擎支持HTTP/SMTP/DNS/FTP/SMB/NFS/SSH/TLS/DCERPC等协议）、文件还原（覆盖PE/脚本/压缩包/Office文档等）、全量信息存储，结合专家规则、哈勃沙箱、威胁情报、AI算法、腾讯天幕旁路阻断器技术，实现威胁发现、分析、溯源与阻断。

商业差异化卖点：旁路非侵入式部署（不影响业务），全流量检测（入向+出向+横向扩散），实时+离线回溯分析，租户级溯源（云环境），检测-响应闭环（自带旁路阻断+联动天幕），安全专题场景化（勒索病毒/邮件安全/数据泄漏等）。

二、产品应用场景

受众与痛点

• 适用对象：金融、能源、汽车、物流、政府、网信办等行业客户，需应对APT攻击、勒索病毒、数据泄漏、护网演习等场景。
• 核心痛点：传统IDS/IPS检测范围有限（仅入向、实时、无文件分析）、终端防护盲区（BYOD/IoT/无法部署Agent设备）、APT攻击（0Day/隐秘信道）、数据泄漏（API/数据库拖库）、护网演习高对抗（钓鱼/近场攻击/0Day）。

差异化能力

三、应用框架和功能介绍

（一）功能框架

• 核心架构：数据分析平台+流量探针+沙箱（可选），支持一体机/多探针/集群/级联部署。
• 核心功能模块：
  • 平台管理/可视化：重保/日常运营态势大屏、安全仪表盘、联动总览、事件/策略/资产管理。
  • 安全分析/调查：入侵感知事件、威胁画像、攻击链溯源、资产风险评估（大数据+AI基线分析）。
  • 流量探针：TAP/SPAN镜像采集、多网卡零拷贝、流量重组、协议识别/解码、文件还原（TFA引擎）。
  • 威胁检测引擎：特征引擎+沙箱分析（哈勃沙箱）+威胁情报+异常分析引擎+机器学习引擎。

（二）硬核指标

（三）产品优势（逐段提取）

1. 安全分析与运营能力：全攻击链检测（侦察-武器化-利用-横向移动-数据泄漏），支持000+CVE检测。
2. 哈勃沙箱：全球首家接入VirusTotal，本地/云端150亿样本库，动态调整沙箱数量，支持手动上传样本，指纹快速匹配（已知样本检测）。
3. AI技术应用：识别未知威胁（精确率99.67%/召回率99.03%），提升攻击检测能力（分资产分场景基线学习、时序数据存储、AI自动训练）。
4. 资产发现与识别：被动流量分析（非入侵式），精准识别资产属性（系统/网络/端口/组件指纹），支持手动注册导入。
5. 安全专题场景化：内置勒索病毒（1000+勒索病毒检测、SMB行为分析未知勒索）、邮件安全（SMTP/POP3/IMAP4协议，钓鱼/恶意附件检测）、数据泄漏（敏感信息自定义检测）、密码安全等专题。
6. 自带旁路阻断：检测响应闭环一体机，支持告警/IP阻断、自动熔断防误拦，2w条策略，95%阻断成功率。
7. 联动天幕阻断：支持40w条封禁规则，秒级生效，99.9%阻断成功率，旁路技术不影响业务，支持多阻断器接入、日志审计、报表。
8. 深度融合云平台：支持overlay云流量分析，溯源到CVM IP，区分租户流量（传统设备仅溯源母机IP）。
9. 威胁情报数据能力：整合移动端/PC端/开源情报/蜜罐数据（500+全球蜜罐IP测绘点、300T安全数据）。
10. 灵活部署模式：一体机（轻量低成本）、多探针（平行扩容）、集群（高可用>5Gbps）、级联（多区域统一管理）。

（四）荣誉背书

• Gartner：连续三年入选《网络检测和响应(NDR)市场指南》代表供应商（2022年）。
• 中国信息通信研究院：网络攻击溯源检验证书（具备DDOS/僵尸网络/CVE漏洞/APT攻击识别溯源能力）；先进网络安全产品认证（NTA/NDR类，流量识别/安全分析/事件处置/追踪溯源）；IPv6系列奖项（首届中国“IPv6技术应用创新大赛”三等奖、IPv6最佳实践奖、IPv6 Ready先锋奖）。
• 信创认证：通过兆芯ZX-C+/KH-20000/KH-30000系列处理器+中标麒麟高级服务器操作系统V7.0兼容互认（2020年）。
• 客户认可：获某头部银行、国有大型银行、能源客户、汽车集团等多家客户感谢信（护网演习0失分、0day预警、重保贡献等）。

四、典型案例（全量遍历）

案例1：某头部银行护网演习

• 背景：需守护3000+云服务器、160个公共服务/网站，应对高强度攻击。
• 解决方案：部署NDR，通过警报相关性分析、旁路阻断。
• 成效：警报数量减少76%，阻断率99.9%，成功守护目标，0失误0失分。

案例2：某金融机构钓鱼邮件攻击

• 背景：员工点击恶意邮件致电脑中病毒，无法确定攻击时间线、影响范围。
• 解决方案：NDR异常文件告警（检测邮件主题/木马C&C地址）、日志搜索攻击时间、C&C访问记录确认受害范围，下发黑名单封禁恶意链接。
• 成效：成功勾画事件时间线、受影响用户范围，阻断恶意代码传播。

案例3：某银行代码泄露数据库爆破风险

• 背景：开发人员代码提交Git暴露数据库地址/端口，黑客尝试爆破（弱口令）。
• 解决方案：NDR实时检测爆破流量并阻断。
• 成效：避免核心数据库泄露，止损严重后果。

案例4：某国有大型银行云平台部署

• 背景：TCE私有云1000节点、8Gbps流量，需全流量检测（4-7层攻击）、租户级定位、攻击溯源。
• 解决方案：部署腾讯御界，与TCE融合，支持租户级溯源。
• 成效：防守成功0失分0事件，检出威胁数、实锤能力、运营能力（0Day响应速度）排全流量检测产品第一位（对比天眼：检出4758 vs 3905）。

案例5：某金融单位检测-响应闭环构建

• 背景：需构建“检测-响应”闭环提升防护能力。
• 解决方案：小闭环（NDR旁路检测+情报+阻断+服务）、大闭环（XDR联动主机安全/运营中心/SOAR）。
• 成效：实现精准自动化阻断，降低误报提升检出率。

案例6：某能源客户重保时期防护

• 背景：重保时期需应对1day/0day漏洞，提升防护能力。
• 解决方案：NDR流量检测策略当天响应漏洞，独报重保期漏洞，0day预警阻断。
• 成效：提交溯源报告到公安部拿500分，重保成绩优异；NDR+专项情报降低误报提升检出率。

案例7：某汽车集团日常运营+攻防演习

• 背景：需日常安全运营+护网演习防守。
• 解决方案：腾讯御界作为唯一全流量检测设备，联动天幕/云镜，改进66条检测规则（含Webmin漏洞），AI引擎独报Webshell。
• 成效：防守成功未被攻破，提供75%检测能力，监控组918事件中占50.8%，AI独报8例Webshell，检测33次新武器攻击。

案例8：某大型物流企业多级级联场景

• 背景：A/B机房50Gb大流量，机房间专线带宽有限，需统一安全事件查询。
• 解决方案：两机房部署独立腾讯御界集群（大流量分析），配置上下级级联统一查询，按需全包存储。
• 成效：集中掌握全网态势，节约专线带宽，便于事件溯源，告警准确（自研情报+规则）。

案例9：某省安全一体化检测防护平台

• 背景：省级+14地市政务云，数百万资产，需统一安全防护、日志流量采集、辅助决策。
• 解决方案：部署32套腾讯御界（政务外网/互联网区镜像检测）、16套腾讯天幕（互联网区阻断），联动SOC/云镜/威胁情报/SOAR。
• 成效：有效应对全省威胁，满足“全局统筹、跨网联动、多维感知、智能闭环”要求，形成一体化安全运营体系。

案例10：某网信办行业流量监控

• 背景：需对教育/医疗卫生/区属企业/党政机关统一监控，后续扩展16台设备。
• 解决方案：POC测试2行业流量（一区3G、智慧卫生200Mb），部署腾讯御界+安全运营+可视化+应急指挥。
• 成效：实现行业分级租户管理、3D可视化大屏展示、全面运营（流量检测/告警分析/漏洞/资产管理）。

总结

腾讯云T-Sec高级威胁检测系统（腾讯御界）通过全流量检测、旁路非侵入部署、AI+威胁情报+沙箱多引擎协同、检测-响应闭环，解决APT攻击、勒索病毒、数据泄漏等高级威胁，已在金融、能源、政府等多行业验证实效（护网0失分、0day预警、重保高分），获Gartner、信通院等权威认可，是应对云时代安全挑战（政策升级、攻防常态化、数据泄露）的核心产品。数据来源：中国信息通信研究院、Gartner、威胁猎人《2024年上半年数据泄露风险态势报告》、腾讯云官方材料。