T-Sec高级威胁检测系统（腾讯御界）概要

一、 产品定位与核心亮点

T-Sec高级威胁检测系统（腾讯御界） 是腾讯云推出的一体化网络威胁检测与响应（NDR）解决方案，隶属于SOC+安全运营体系。该系统由“NDR御界高级威胁检测系统”和“NDR天幕安全治理平台”两款产品组成，专注于高级持续性威胁（APT）检测、分析、溯源与响应。

核心技术属性包括：

• 全流量分析：基于镜像流量进行旁路检测，不影响业务。
• 多引擎融合：集成专家规则、哈勃沙箱、威胁情报、AI算法及天幕旁路阻断器。
• 协议解析与文件还原：支持多种协议解析及文件还原，覆盖PE文件、脚本、压缩包、Office文档等。

商业差异化卖点：

• 实时+离线分析：支持历史流量回溯，突破传统IDS/IPS实时检测限制。
• 旁路阻断能力：通过天幕平台实现99.9%阻断率（业界领先）。
• 云原生适配：深度融合云平台，支持Overlay流量分析及租户级溯源。

二、 产品应用场景

1. 护网与日常威胁防护

• 受众：金融、政府、能源、企业等关键基础设施单位。
• 痛点：APT攻击、0Day漏洞、勒索病毒、数据泄露等高级威胁难以被传统IDS/IPS检测。
• 场景：重保期间需快速响应、精准阻断；日常运营需持续监控内部威胁（如横向渗透、权限滥用）。

2. 钓鱼邮件与恶意软件响应

• 受众：金融机构、企业。
• 痛点：员工点击恶意链接或附件导致中毒，难以确定攻击时间线和影响范围。
• 场景：通过邮件协议解析、恶意附件检测、C2访问记录追踪，实现快速封禁与溯源。

3. 数据泄漏监测

• 受众：所有行业（尤其金融、电商、医疗）。
• 痛点：敏感信息（身份证、银行卡号等）无意泄露，被黑产利用。
• 场景：自定义敏感词检测，图形化分析泄漏事件，满足合规要求（如《数据安全法》）。

4. 云平台安全治理

• 受众：云服务商、多云租户。
• 痛点：Overlay流量不可见，传统设备仅能溯源至母机IP。
• 场景：支持云内租户级流量分析，精准定位CVM IP及租户信息。

三、 应用框架和功能介绍

1. 功能架构

• 流量探针：通过SPAN/TAP采集镜像流量，解析协议（HTTP/SMTP/DNS/FTP/SMB等），还原文件。
• 威胁检测引擎：融合规则、沙箱、情报、AI（机器学习鉴定引擎）。
• 安全分析平台：存储全量日志，支持检索、聚合、攻击链还原、资产画像。
• 可视化与控制：态势大屏、专题视图（邮件/勒索/数据泄漏等）、策略管理。

2. 硬核指标

• 协议支持：HTTP/SMTP/DNS/FTP/SMB/NFS/SSH/TLS/DCERPC等。
• 文件还原：覆盖PE、脚本、压缩包、Office文档等60+格式。
• 吞吐量：
  • 一体机部署：≤3Gbps
  • 集群部署：>5Gbps（可水平扩容）
• 阻断率：
  • 天幕联动：99.9%（40万条规则，秒级生效）
  • 自带旁路阻断：95%（2万条策略）
• 沙箱分析能力：单日20万样本，支持150亿云端样本库比对。

3. 产品优势

检测能力

• 深度检测：Web攻击、钓鱼邮件、病毒木马、漏洞攻击、横向渗透、勒索病毒、APT（0Day、隐秘信道）。
• 威胁情报：IOC失陷检测、攻击者画像、云端情报赋能。
• AI应用：恶意流量检测专利，精确率99.67%，召回率99.03%；HW实战提升20%检出率。

响应与溯源

• 旁路阻断：无侵入式，支持IP/URL封禁、自动熔断防误拦。
• 溯源分析：流量日志检索、会话还原、原始报文存储、沙箱报告。
• 资产发现：被动识别资产属性、组件指纹、端口风险。

专题场景化

• 内置专题：勒索病毒、邮件安全、密码安全、数据泄漏、登录行为、域名解析等。
• 自定义能力：支持敏感词自定义、资产分组、多级级联管理。

4. 荣誉背书

• Gartner认可：入选2022年《网络检测和响应（NDR）市场指南》。
• 信通院认证：
  • 网络攻击溯源能力检验证书（2021）
  • 先进网络安全产品认证（2020）
• IPv6兼容：荣获“IPv6最佳实践奖”“IPv6 Ready先锋奖”。
• 信创适配：通过兆芯处理器、麒麟操作系统兼容认证。

四、 典型案例

案例1：某头部银行护网演习

• 背景：需防护3000+云服务器、160个公共服务，应对高级攻击。
• 解决方案：部署御界进行全流量检测，联动天幕阻断。
• 成效：
  • 0失误0失分
  • 告警数量减少76%
  • 阻断率99.9%

案例2：某金融机构钓鱼邮件事件

• 背景：员工点击恶意邮件导致病毒扩散，无法确定影响范围。
• 解决方案：通过御界检测恶意附件、检索邮件日志、封禁C2链接。
• 成效：精准定位攻击时间、受影响用户，实现即时阻断。

案例3：某银行代码泄露与数据库爆破

• 背景：开发人员误传代码至GitHub，暴露数据库地址遭爆破。
• 解决方案：御界实时检测爆破流量并阻断，发现弱口令风险。
• 成效：避免核心数据库泄露，及时止损。

案例4：某能源客户重保防护

• 背景：需增强重保期间安全能力，快速响应0Day漏洞。
• 解决方案：部署御界+专项情报，实现漏洞曝光当天响应。
• 成效：独报漏洞获公安部加分500分，提升检出率与自动化阻断。

案例5：某省政务云一体化防护

• 背景：覆盖1省中心+14地市，需统一安全运营。
• 解决方案：部署32套御界+16套天幕，整合SOC、云镜、SOAR。
• 成效：实现全局威胁应对、跨网联动、智能闭环。

案例6：某网信办行业监控

• 背景：需监控教育、医疗、党政等行业流量。
• 解决方案：分级租户管理，3D可视化大屏。
• 成效：实现全面运营、行业自治、应急指挥。

案例7：某汽车集团攻防演习

• 背景：需提升检测能力应对高级攻击。
• 解决方案：御界作为核心流量检测设备。
• 成效：
  • 提供75%检测能力
  • AI引擎独报8例Webshell攻击
  • 防守成功未被攻破

数据来源：腾讯云安全产品文档、Gartner报告、信通院认证、客户案例报告。

注：所有客户名称及数据均严格按原文引用，未添加主观信息。