什么是高级威胁检测系统？

腾讯云高级威胁检测系统（下文中也叫御界）通过镜像方式采集企业网络边界流量，对流量进行解析、还原文件；通过入侵规则、威胁情报匹配和沙箱文件分析等技术手段识别威胁，保障企业系统安全。同时，系统将对流量日志、告警报文进行存储，方便事故后追踪溯源。

腾讯云御界高级威胁检测系统 YJE（下文中也叫御界）通过镜像方式采集企业网络边界流量，结合腾讯多年积累的海量安全数据，运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁（APT）。同时，对事件告警原始流量进行留存，方便事后追溯。御界可极大提升云环境下的威胁感知能力。

产品优势

行为覆盖与平台监控

御界自研的监控模块，其行为覆盖的全面性在国内外各种动态分析系统中处于领先地位。经过腾讯多年的安全经验积累，御界当前拥有500多个 Windows 平台监控点、100多个 Android 行为监控点。

漏洞攻击检测

基于特征的漏洞检测技术仅能应对历史漏洞扫描和攻击，而御界拥有面向攻击链的检测方式和深入全面的动态分析技术，使其能灵活应对 0day 漏洞攻击；同时，基于腾讯反病毒实验室在浏览器漏洞、操作系统漏洞、Office 漏洞等方面的丰富经验，研制出了全面的检测方法和模型。

腾讯威胁情报集合

御界集成腾讯安全大数据中心采集的海量样本及哈勃分析集群产生的大量分析数据，可生成威胁情报，通过在线或离线升级服务的方式，输送到各个子系统。

攻击链视角与大数据分析

拥有多重威胁感知方法，并以攻击链视角统一呈现威胁数据。融合大数据分析，对攻击事件进行时序串接，对攻击者、受害者进行深度画像。同时，对企业网络边界进行全流量日志大数据框架存储，快速返回海量数据查询结果。

腾讯云高级威胁检测系统（下文中也叫御界）提供高级威胁发现、入侵感知、威胁情报失陷感知和威胁追踪溯源功能。

高级威胁发现

攻击者在目标对象处，通过带有恶意附件的电子邮件进行窃取数据活动，使得关键信息基础设施面临高级持续性威胁（APT）。御界集成腾讯哈勃沙箱分析系统，支持多种文件格式和虚拟环境，能对恶意文件进行精准识别。

网络入侵检测

木马、蠕虫、漏洞利用等攻击手段在网络入侵仍占据很大比例，御界提供完善的网络入侵规则集，高度覆盖已知入侵场景。

威胁情报失陷感知

黑客往往会通过远程控制已攻陷的系统，挂马企业信息资产，此类行为会使外联 C&C 服务器会产生相应的网络流量。因此，网络边界是从全局感知失陷资产的极佳位置。御界基于腾讯的威胁情报，可精准识别网络主机产生的失陷流量。

全流量数据溯源分析

在攻击发生后，用户往往要对安全事件进行溯源分析，了解安全事件的来龙去脉，对较大的安全事件，甚至需要进行深入复盘。御界提供流量日志存储功能，通过“检索”，可进行流量日志交互式分析，回溯攻击发生时刻的流量信息，同时还可提供告警流量的 PCAP 包下载功能。