腾讯安图高级威胁追溯系统

产品白皮书

腾讯智慧安全

█文档编号 █密级 内部使用

█版本编号 1.4 █日期 2019-1-9

- II -

█ 版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版

权均属腾讯科技（深圳）有限公司所有，受到有关产权及版权法保护。任何个人、机构未经腾讯科技

（深圳）有限公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。

█ 适用性说明

本模板用于撰写腾讯科技（深圳）有限公司中各种正式文件，包括技术手册、标书、白皮书、会议通

知、公司制度等文档使用。

- III -

目录

一. 引言 .......................................................................... 1

二. 腾讯安图高级威胁追溯系统介绍 .................................................. 3

2.1 产品概述 .................................................................... 3

2.1.1 设计理念 ................................................................ 3

2.2 产品架构 .................................................................... 4

2.3 产品优势 .................................................................... 4

2.4 主要功能 .................................................................... 5

2.5 典型部署 .................................................................... 7

三. 产品价值 ...................................................................... 7

四. 服务支持 ...................................................................... 8

五. 总结 .......................................................................... 9

腾讯安图高级威胁追溯系统产品白皮书

- 1 -

一. 引言

网络空间安全（以下称网络安全）事关国家安全和各事业单位的切身利益。维护我国网络

安全，贯彻国家网络空间安全战略，是我们必须担当的责任与义务。近年来，国家相继作出了

许多重要的指示与法律政策要求。

早在 2007年时，国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室

就联合颁布了 861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信

息安全等级保护管理办法》，要求涉及国计民生的信息系统应达到一定的安全等级。

2014年，中央网络安全和信息化领导小组（简称“中央网信办”）成立，总书记和国家主

席习近平亲自担任组长，标志着网络安全上升至国家安全层面！

2015 年开始，公安部每年在全国范围内组织开展为期 6 个月的网络安全执法大检查，三

年来全面梳理摸排了国家关键信息基础设施，检测排查并督促整改了一些网络安全重大漏洞

隐患、风险和突出问题，网络安全督管工作成效显著。

2016 年 4 月，习近平在网络安全和信息化工作座谈会上指出，维护网络安全，首先要知

道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”。

感知网络安全态势是最基本最基础的工作。

2016年 12月，国务院印发了《“十三五”国家信息化规划》，《规划》指出，要加强网

络安全态势感知、监测预警和应急处置能力，利用大数据技术对网络安全数据进行关联分析、

挖掘和可视化展示。

2017 年 6 月，《网络安全法》正式实施，将原来散见于各种法规、规章中的网络安全规

定上升到人大法律层面，并对关键基础设施运营者等主体的法律义务和责任做了全面规定，网

络安全建设变得有法可依，违法必罚。

在国家采取一系列措施维护我国网络空间安全的同时，我们面临的网络安全形势也在不

断发生着变化。

首先，黑客的攻击手段更加隐蔽化、复杂化、智能化。从攻击目的来看，黑客已经从最初

的炫耀、破坏和窃取数据，转向以牟利为主的黑灰产产业化运作为主，如僵尸网络、挖矿程序、

腾讯安图高级威胁追溯系统产品白皮书

- 2 -

用户数据窃取等；从攻击技术手段来看，最开始以常规的僵木蠕、漏洞利用、口令入侵为主，

现已演变成更加复杂的攻击方式，例如 APT攻击、社会工程学、水坑攻击等；从攻击层级来看，

最初是网络层攻击如 DDOS、身份冒仿、数据窃取方式，现已向应用层攻击如应用层漏洞利用、

SQL注入、XSS攻击等演进。

其次，黑灰产形成了完整的地下利益链条，对于黑灰产的打击需要有更加全盘的计划和方

案。黑灰产业相互依附，形成了各种各样的产业链，其中如恶意注册、虚假认证、虚假交易等

部分黑灰产业甚至已经发展成了“一条龙服务”，从前期骗取农村、工厂等人口的身份信息，

到后期网络交易平台虚假认证和虚假交易的整个过程，都有跨境跨地区的专人负责。

图 1 黑灰产利益链条形成示意图

最后，网络安全建设更加强调安全闭环的完整性，不仅强调事中的安全防御，安全威胁

的监测和预警也成为重要环节。以防火墙、IPS、防毒墙、堡垒机等为代表的传统安全产品构

建的安全方案，重点关注企业网络风险的防御，大都基于规则特征库采取被动防御策略，通过

在网络边界进行病毒木马查杀、流量清洗和入侵防御，满足安全合规和基础的网络防护需求；

同时传统的安全方案主要发挥的是各单个产品的防护效果，方案往往缺乏统一的安全大脑来

整合全网的防护效果，因而防护成效及运维效率都大打折扣。

腾讯智慧安全依托腾讯近 20年的安全能力建设和安全实践经验，针对国内用户业务和网

络的安全，认为应该统一规划单位的网络安全架构，构建整体安全闭环解决方案，在实现业务

连续稳定的同时，达到实现整网安全的统一监测、分析、预警和响应处置的目的。

其中，在整体安全闭环方案中，威胁情报的收集、分析和利用起着越来越重要的作用。

通过充分发挥威胁情报的优势，可以更快更及时帮助用户发现内外部的各种已知和未知的安

全威胁与风险，预测并尽力规避威胁的发生。

腾讯安图高级威胁追溯系统产品白皮书

- 3 -

二. 腾讯安图高级威胁追溯系统介绍

2.1 产品概述

腾讯安图高级威胁追溯系统，是腾讯智慧安全团队构建的高级威胁追溯平台，旨在帮助用

户通过该平台进行线索研判，攻击定性和关联分析，追溯威胁源头，预测威胁的发生并及时预

警。

2.1.1 设计理念

腾讯安图高级威胁追溯系统是一套具备 PB级数据处理的威胁感知平台，目前该平台追踪

60+APT 组织，涉及 1000+起全球范围内 APT 攻击事件。依托腾讯安全的多年积累的海量大数

据，以及全球最大的 IP、DNS、URL、文件黑白名单四大信誉数据库，同时可以对互联网上活跃

的未被发现的攻击进行记录。目前 PDNS库拥有 90亿 DNS解析记录，每天新增 100万；样本库

总样本 150亿，每天新增 1000万; URL库每天处理超 100亿条，覆盖超过 10亿用户。

其次，腾讯安图高级威胁追溯系统也是一套高效的高级威胁追溯平台，用户可以通过域名、

IP、事件、家族、MD5值等快速分析威胁详情，精准定位威胁源头，并直观形象地可视化呈现

出来。

腾讯安图高级威胁追溯系统产品白皮书

- 4 -

2.2 产品架构

每天处理 8000亿条安全数据，累计存储 200PB数据，调动近 40万核的算力，秒级结果

反馈。

2.3 产品优势

1) 多维度情报数据

汇集全球不同来源的威胁情报及网络基础设施数据，包括失陷检测 IoC、 IP信誉、域名信

誉、文件信誉、文件动静态分析数据、事件、家族、黑客团伙等，扩展信息包括地理信息、

whois信息、关联样本、关联 APT事件、历史活跃信息以及最为全面的开源威胁情报。

2) 可视化自动分析

可视化和智能模型的自动化关联分析，对线索安全要素进行深度挖掘，以自动化的方式输出

关联分析后的溯源路径，降低安全分析门槛，提升安全分析效率。

3) 安全要素态势分析

安全要素的态势分析包括 IP、域名、文件、事件、家族的传播趋势和地域分布，更直观的了

解安全要素的影响情况。

腾讯安图高级威胁追溯系统产品白皮书

- 5 -

2.4 主要功能

安全要素的同源分析与家族聚类

全面展示威胁情报信息、威胁情报事件、访问该域名的样本信息、该域名上的可疑 URL、

该域名上的可疑样本信息、包含该域名的样本信息，最后将这些信息通过人工智能算法进

行关联和拓展。

➢ 威胁情报信息：为用户展示情报源、情报信息以及情报分类标签等信息，方便用

户进一步追溯关联信息。

➢ 威胁情报事件：展示情报事件名称、摘要信息和收录时间信息。

➢ 访问该域名的样本信息：从文件 hash、情报标签、样本描述、检出引擎数、最近

更新时间角度出发展示样本信息。

腾讯安图高级威胁追溯系统产品白皮书

- 6 -

➢ 该域名上的可疑 URL：展示可疑 URL链接及情报标签。

➢ 该域名上的可疑样本信息：包含样本 MD5、情报标签和病毒家族信息。

➢ 包含该域名的样本信息：展示样本 MD5、情报标签、文件名称、病毒名称、检测

时间等信息。

点击任意文件 hash 或样本 MD5，用户可进一步查看样本的关联信息，并提供静态信

息、网络信息信息、样本行为、可视化分析、父子关系、同源分析和态势分析等详情。

安全要素的关联拓线

用户可查看域名的访问关系、邮箱与域名之间的关联关系等等，以及风险的扩散路径，

并以图形化形式呈现。系统将以下这些基础信息进行理性关联并梳理出其中的关系脉络，

从而为用户提供一种由单点拓展到全局的高级能力。

➢ 查询域名注册信息： 该功能下用户可查看详细的域名注册信息，包括创建时间、

邮箱、传真、注册者、注册机构、电话、域名状态、更新时间、域名服务器。

➢ 查询备案信息：该功能下用户可查看详细的主体名称、主体性质、站点名称、管

理员、备案号和备案更新时间等信息。

➢ 查询 PDNS 信息：该功能下，用户首先可查看 IP 地址、地理位置、运营商和 As

ID 等当前域名解析信息，其次，可查看 DNS 的历史解析记录，可看到 DNS 解析

结果、解析次数和解析类型等信息，最后可以查看指向当前解析 IP的域名列表。

➢ 查询子域名列表：该功能下，用户可查看当前域名下的子域名信息，包含其域名、

IP和情报标签等。

安全要素态势分布

腾讯安图高级威胁追溯系统产品白皮书

- 7 -

以图形化形式呈现互联网上威胁的传播趋势和地域分布等信息。

2.5 典型部署

本产品为 SaaS化产品，可以通过授权帐号密码/key访问系统。

三. 产品价值

（1） 智能分析，精准追踪

通过海量威胁情报收集以及大数据分析，将威胁攻击路径还原成图谱，便于用户快速直观

地定位风险及源头。同时跟踪超过 60个以上的 APT组织。

（2） 实时掌握网络威胁态势

腾讯安图高级威胁追溯系统将网络威胁态势进行多维分类汇总，实时呈现，并可结合微信

或 APP等第三方应用程序及时推送给用户，实现一部手机在手，随时随地掌握网络威胁态势。

腾讯安图高级威胁追溯系统产品白皮书

- 8 -

（3） 威胁情报库

威胁情报库规格如下：

信息库名称 信息库总量 日均新增

IP 信誉库 20 亿+ 100 万

域名信誉库 10 亿+ 100 万

Whois 信息库 3 亿+ 10 万

全球样本库 150 亿+ 1000 万

PDNS 信息库 90 亿+ 100 万

DGA 库 213 万+，21 个家族 2 万

蜜罐 27 万+ 1 万

四. 服务支持

专业分析师在线协查服务包括提供对威胁进行安全大数据分析并给出关联信息；通过逆

向分析等手段来剖析攻击手段，通过大数据分析来从更大范围上确定感染受众；威胁狩猎报告

讲解事件的来龙去脉以及如何缓解等服务。

腾讯安图高级威胁追溯系统产品白皮书

- 9 -

五. 总结

腾讯安图高级威胁追溯系统是腾讯基于多源情报、基础安全数据和腾讯特色数据结合腾

讯多年威胁情报溯源算法模型经验提炼的高级威胁追溯平台。该平台旨在帮助安全人员对攻

击事件进行线索研判，攻击定性和关联分析，并最终溯源攻击链，挖掘事件背后的攻击团伙及

其攻击目的、危害、手段和历史攻击事件等，真正做到高效准确的溯源分析。