腾讯安全T-Sec高级威胁检测系统NDR_网络流量高级威胁分析

腾讯安全T-Sec高级威胁检测系统NDR

T-Sec高级威胁检测系统（简称：腾讯御界）是腾讯推出的一款旨在为客户提供高级威胁检测（APT检测）、分析、溯源和响应的一体化解决方案。NDR对流量进行协议解析、文件还原和全量信息存储，发现恶意攻击和潜在威胁，对攻击事件进行分析、溯源和阻断。采用镜像流量，旁路检测的方式，不影响业务。

立即咨询

首页 > 产品中心 > 网络安全 > 腾讯安全T-Sec高级威胁检测系统NDR

风险与挑战：什么是高级可持续性攻击 icon

01 高级可持续性攻击（又称APT攻击），通常由国家背景的相关攻击组织进行攻击的活动。

02 APT攻击常用于国家间的网络攻击行动

03 主要通过向目标计算机投放特种木马（俗称特马），实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动，具有强烈的政治和经济目的。

04 大部分APT组织背后有着深厚的政府背景，不惧怕法律的打击，也不会因为安全厂商的披露而停止攻击活动。

风险与挑战：云时代安全形势越发复杂，APT 勒索等愈发常见 icon

2015~2019年报告的全球APT攻击事件数量

全球APT攻击呈现增长态势；安全厂商投入更多的精力，研究和对抗APT攻击。

2019年中国内地被APT攻击地区分布

受APT攻击最多的地区是北京和广西；其次是辽宁、云南、海南、四川、广东、上海、浙江、山东和黑龙江等地。

2019年中国内地被APT攻击行业分布

受APT攻击最严重的目标：政府、央企国企、科研单位、高校；受APT攻击最多的目标：政府、金融行业、军工行业、科研单位、高校。

风险与挑战：全球信息泄露日趋严重 icon

安全挑战 + 政策升级 + 攻防驱动，需要产品具备深度流量检测和智能分析能力 icon

安全事件频发

1月 2亿国内个人信息在国外暗网论坛兜售；1月国内某银行1679万笔数据论坛售卖；1月北京某公司泄露公民信息被罚320万；1月蠕虫病毒incaseformat在国内造成一定规模传播2月 DDoS 攻击事件数增加约 25%；2月 H2Miner挖矿团伙利用多个漏洞武器攻击云上主机；3月多个地市出现针对农信社、城商行的钓鱼攻击3月特斯拉上海工厂222个摄像头遭黑客入侵3月西山居游戏称，旗下产品遭不法分子服务器入侵，导致部分用户信息外泄4月计算机巨头宏碁遭到了勒索软件攻击，索要5000万美元。5月 CNCERT：国内攻击APT攻击持续；关键系统面临风险较大。

全国各地演练不断

2月海南开展一网两线网络安全攻防演练；3月南方电网发起的2021年度网络攻防演习；4月公安部开展2021年HW行动；4月福建2021年网络安全攻防演练专项保障服务项目；4月水利部组织开展网络安全攻防演练；5月山东各地开展网络安全攻防演练；5月上海上海启动电信和互联网行业网络安全攻防演练；6月川渝两地开展网络安全应急演练现场；6月贵州省网络安全事件应急预案演练现场；7月青海开展网络安全攻防演练；7月全国开展七一重保行动；9月江苏开展网络安全攻防演练；10月广州开展“粤盾-2021”攻防演练。

产品概述：深度分析网络流量，实现全面的威胁识别 icon

T-Sec高级威胁检测系统（简称：腾讯御界）是腾讯推出的一款旨在为客户提供高级威胁检测（APT检测）、分析、溯源和响应的一体化解决方案。

01 深度检测

Web攻击，钓鱼邮件攻击，病毒木马。漏洞攻击：主机/服务/应用漏洞。横向渗透：越权访问、暴力破解。勒索病毒：文件加密行为、横向传播行为。APT攻击：0Day漏洞、隐秘信道。

02 溯源分析

流量日志检索，告警会话还原，原始报文存储。深度沙箱分析，威胁情报溯源查询。

03 安全专题

密码安全：弱密码、空密码、明文密码。勒索病毒：勒索病毒检测、SMB行为分析。组件安全：攻击视角、资产视角。攻击IP分析：告警监控、Web访问监控。数据泄漏：API接口泄密、数据库拖库。登录行为分析：暴力破解。邮件安全：伪造、钓鱼、恶意邮件。域名解析：DNS解析、动态域名流量分析。

NDR解决方案

NDR通过结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术，对流量进行协议解析、文件还原和全量信息存储，发现恶意攻击和潜在威胁，对攻击事件进行分析、溯源和阻断。采用镜像流量，旁路检测的方式，不影响业务。

护网与日常威胁防护

NDR协助某头部银行护网演习成功，0失误0失分

在和国内某头部银行的合作中，NDR帮助其成功守护了3000多个云服务器和160个公共服务和网站，并通过警报相关性分析将警报数量减少76％，阻断率可达99.9%，显著提高了安全运维人员调查事件和处理警报的效率。

某金融机构内部电脑频频中病毒，NDR协助客户成功定位问题和影响范围，封恶意链接

某金融机构遭受恶意钓鱼邮件攻击，经常会出现员工点击恶意邮件，导致电脑中病毒木马，影响业务正常运行的情况。客户无法确定钓鱼邮件攻击时间线和攻击范围，无法及时阻断。该客户使用NDR后，成功勾画出该钓鱼木马事件的发生时间，受影响用户范围，最终执行木马的用户范围。另外针对钓鱼邮件中的恶意链接，NDR下发黑名单封禁，禁止黑客的传播恶意代码和攻击员工电脑。首先通过NDR中异常文件告警功能，检测到钓鱼邮件中恶意附件内容 ( 包含邮件主题，木马外联C&C地址等 ) 。在NDR日志中搜索该邮件的相关信息，可以得到攻击发生的起始时间点等信息。通过NDR中检测对钓鱼邮件中木马C＆C的访问记录，得到有多少用户运行过木马程序，从而确认受害范围。

NDR发现某银行代码泄露，及时协助行方止损，防止核心数据库泄露

某银行开发人员曾无意中将自研业务代码提交到了git上，因为代码里面暴露了对外数据库的地址和端口，被黑客拿来尝试进行爆破。只要有充足时间，再复杂的密码也能够被攻击者逐个推算，最终实现暴力破解。NDR及时发现了爆破流量并进行实时阻断。事后分析，数据库也存在弱口令问题。如果没有及时阻断，核心数据库面临泄露风险，将造成严重的后果。

与传统IDS/IPS的区别 icon

检测“空间”范围更大

入向（入侵流量）+出向（失陷流量）；在获取到东西向流量时，可以作横向扩散检测（内网扫描、内网入侵）。

检测“时间”范围更长

IDS：实时，一去不复返；腾讯御界：除了实时检测外，有留存日志，可以回溯分析（实时+离线）。

关注的“内容”范围更多

含沙箱，关注流量中传输的文件是否恶意；关注Payload；跨会话分析。

能发现更多安全风险

入侵和利用（大部分NIDS专做这个，不再赘述）；C2连接到已知恶意源；C2连接到未知恶意源（NIDS做不到）；勒索软件；数据外泄；横向移动（需要部分东西向流量）；失陷资产；内部权限滥用。

与终端防护形成互补，安全两翼 icon

产品功能架构

产品功能架构

产品功能特性一：流量探针 icon

作用

对镜像流量进行采集和解析，输出全流量日志。

工作原理

以原始网络流量作为输入源，原始网络流量可以通过SPAN或者TAP方式输入。经过协议解析引擎的分析，可实现对协议的识别和解析，完成流量重组，以及还原应用协议中包含的文件内容。

TFA引擎

支持多种协议的解析（包括HTTP、SMTP、DNS、FTP、SMB、NFS、SSH、TLS、DCERPC等）。TFA引擎的文件还原能力，覆盖了可以产生威胁的任何文件类型（包括PE文件、脚本文件、压缩包、Office文档等）。

产品功能特性二：威胁检测 icon

机器学习
充分发挥机器学习在流量安全中独特的优势，研发机器学习鉴定引擎多核运行，提升腾讯御界的整体能力。

威胁情报
依托高质量威胁情报服务

大幅提升高级威胁检测能力

特征引擎
提取已知威胁的流量指纹作为特征，实现了一套高效匹配机制。可对已知威胁进行鉴定。

沙箱分析
依靠自研的样本动态分析、静态分析及行为鉴定模块，可对未知0day攻击进行鉴定。

产品功能特性三：安全分析/调查 icon

存储服务

分类存储流日志/协议解析日志/还原的文件/告警日志；提供通用的实时分析和离线计算能力。

威胁溯源引擎

对告警线索自动化式的梳理和整合，还原出整个攻击链条；对攻击者和受害者进行画像描述。

检索引擎

精确检索、模糊检索、关联查询、检索结果的过滤和聚合以及检索模板的保存。

解码助手

包括Unicode编码、UTF-8编码、URL编码/解码、HEX编码/解码和BASE64编码/解码，可以将腾讯御界日志中的数据进行转换。

安全场景化引擎

腾讯御界通过安全场景化引擎提供了场景化的视野，能够对域名安全、邮件安全、登录行为分析、数据泄露、组件安全、攻击IP分析、勒索病毒和密码安全等安全场景中的威胁进行准确描述，有助于把控具体场景下的安全态势。

产品功能特性四：可视化 icon

核心优势一：安全分析与运营能力 icon

核心优势二：哈勃沙箱，全球首家接入到VirusTotal icon

支持本地和云端150亿海量样本库比对，可动态调整不同类型的沙箱数量，单日样本分析量可达20万，可手动上传分析样本。已知木马特征不少于3000条，恶意样本识别率位于前列。

样本格式

智能检测
可猜解带密码的压缩包及解压多层压缩包。可检测文件真实格式，发现修改后缀的行为。

支持超过60种格式

样本分析
包括可执行文件、脚本、文档、压缩包、邮件等格式，以及APK、ELF等多平台文件。

丰富的分析

结果展示
展示样本的动态和静态分析时长。展示样本关机/注销/修改账户/修改磁盘引导区等高危行为。可对已知漏洞利用特征进行识别和检测，并能展示CVE编号。支持展示行为对应的ATT&CK名称。

沙箱对抗行为

检测与防御
支持不少于160种反沙箱技术检测。支持隐藏分析机环境信息，沙箱时间模拟等对抗行为防御。

环境智能模拟

和行为激发
监控超过500种样本行为。断网环境下，模拟HTTP、SMTP、FTP等不少于8种协议。支持界面模拟操作，激发样本行为。支持关键路径上捕获未知的0day漏洞。

核心优势三：AI技术的应用 icon

核心优势四：资产发现与识别梳理资产安全状态 icon

核心优势五：安全专题场景化 icon

产品内置“勒索病毒”、“邮件安全”、“密码安全”等多个安全专题，产品通过安全专题将威胁聚焦，通过可视化分析帮助客户针对性解决风险问题

邮件安全专题

支持多种邮件协议检测

支持钓鱼、恶意附近等邮件安全检测

结合威胁情报数据进行检测

威胁检测后可自动响应

勒索攻击专题

支持1000+勒索病毒检测

支持通过SMB行为分析进行未知勒索病毒检测

支持勒索攻击下文件加密行为检测

结合威胁情报数据进行检测

核心优势六：自动外联腾讯天幕阻断恶意流量 icon

自动阻断能力：支持百万条封禁规则，秒级生效，采用专利技术，阻断成功率99.9%，业界领先。利用旁路阻断技术，对租户和平台的业务无影响。灵活的阻断策略配置。支持接入多个阻断器。支持阻断日志审计。支持阻断报表。

核心优势七：深度融合云平台，租户级溯源分析 icon

核心优势八：腾讯安全威胁情报数据能力 icon

核心优势九：适应多场景需求的灵活部署模式 icon

腾讯御界的核心组成模块：数据分析平台 + 流量探针 + 沙箱

一体机部署
适应场景：流量采集点 ≤ 2（即一个探针最多可以连2个网口）整体流量 < 3Gbps。模式特点：轻量低成本，单台服务器即可完成所有模块部署。

多探针部署
适应场景：多个流量采集点，整体流量 < 5Gbps。模式特点：流量探针可平行扩容，沙箱可部署在探针服务器或分析平台服务器上。

集群部署
适应场景：高可用，多个流量采集点。文件分析量大，整体流量 > 5Gbps。模式特点：数据平台服务器至少3台，可平行扩容，沙箱和探针服务器可分别按需平行扩容。

级联部署
适应场景：多区域部署统一管理。模式特点：多套腾讯御界可进行上下级配置，由上级设备统一进行管理与告警查看等。

案例一：在某国有大型银行云平台部署，演习防守成功 icon

1、项目情况概述

TCE私有云场景，1000节点，8Gbps流量；全流量检测，覆盖4-7层网络攻击；对扫描探测、Webshell、SQL注入、横向移动的检测效果很强；与TCE完美融合，支持租户级定位；具备攻击溯源的独特能力，帮助客户分析整个攻击过程，形成调查报告。

2、项目成果

防守成功，0失分，0事件。全流量检测类产品中，腾讯御界的三大能力指标均排第一位。

案例二：某金融单位检测-响应闭环构建“演练”最佳防护 icon

小闭环（NDR）：旁路检测+情报+阻断+服务。大闭环（XDR）：旁路检测+情报+阻断+服务+主机安全+运营中心+SOAR/指挥调度。

案例三：某汽车集团日常安全运营+攻防演习 icon

防守成功，未被攻破

腾讯御界作为唯一全流量检测设备，提供了75%的检测能力。使用了腾讯安全运营中心/腾讯御界/腾讯天幕的某集团云安全团队未被攻破。

威胁发现

腾讯御界作为核心产品，在监控组上报的918例事件中，占比50.8%。

高级攻击检测

在护网过程中，现场新增/改进腾讯御界的检测规则66条（包括最新的Webmin远程命令漏洞等），并检测到33次新武器攻击，另外，腾讯御界的AI引擎独报了8例Webshell攻击。

案例四：某大型物流企业多级级联场景 icon

项目需求分析

1、A机房和B机房50Gb大流量高级威胁分析。 2、机房间专线带宽有限，无法传输大数据。 3、安全与网络部门共用一套方案（分析）。 4、系统检测到的安全告警要确保准确。

项目方案

1、两个机房部署两套独立的腾讯御界系统。 2、每个机房采用集群化部署，实现大流量集中实时安全分析需求。 3、两套腾讯御界系统配置上下级级联，实现统一平台查询全网安全事件。 4、腾讯御界按需开启全包存储功能，实现用户溯源级网络质量分析需求。

项目成果

1、集中大流量分析，全网安全态势实时掌握。 2、多级级联部署方案，节约专线带宽资源。 3、流量按需抓包存储，便于事件溯源。 4、腾讯自研情报和规则，确保安全告警准确。

案例五：某省安全一体化检测防护平台建设 icon

客户描述：某数字化政府机构客户所属行业：政务行业。客户规模：最终客户为某省某局，覆盖一个省级中心、十四个地市分支，数百万资产。客户情况：某省某局共建十五朵政务云，持续建设政务云平台安全防护体系，不断提升安全防护体系安全能力和防护维度。

项目背景及客户需求

1. 项目背景：为深入贯彻落实党中央、国务院关于统筹发展电子政务、加快推进“互联网+政务服务”的决策部署、落实省政府关于某省“数字政府”改革建设方案，推动某省安全运营工作持续提升，打造统一安全的政务云平台，某省“数字政府”按照“1+N+M”的布局规划地市政务云平台建设，切实解决原来系统数据孤岛、业务隔离的问题，实现资源整合、管运分离、数据融合、业务贯通。2. 客户需求：安全运营软硬件设施服务为某省及十四个地市政务云平台和云租户建设提供统一安全防护能力，构建日志和流量的采集汇聚能力，为一体化安全运营平台的分析、响应和处置风险提供充分的安全辅助决策信息。

部署产品

1. 腾讯御界：共部署32套腾讯御界在客户的政务外网和互联网区，通过镜像端口的形式对政务外网网络流量进行检测，可检测数据中心内部存在的安全威胁及恶意流量，同时能够识别网络协议、租户网络行为。2. 腾讯天幕：共部署16套腾讯天幕在客户的互联网区，根据网络行为智能判断攻击威胁并采取对应阻断行为。3. 其他产品：包括腾讯安全运营平台SOC、腾讯主机安全产品天眼云镜、腾讯威胁情报产品及SOAR安全编排响应产品。

客户价值

1、有效应对全省安全威胁，持续提升安全运营水平，抵御政务安全风险。2、满足“全局统筹、跨网联动、多维感知、智能闭环、安全可视、合规运行”的网络安全新时代要求。3、提供安全运营配套硬件设施服务，智能网络流量检测服务，形成一体化的全能力的安全运营服务体系。

案例六：某网信办