腾讯NDR：网络威胁检测与响应解决方案概要

一、 产品定位与核心亮点

腾讯NDR（网络威胁检测与响应）是一款集高级威胁检测、分析、溯源和阻断于一体的网络安全产品。其核心技术架构由御界高级威胁检测系统和天幕安全治理平台组成。核心差异化卖点在于实现网络层 “检测与响应”智能化闭环，通过旁路部署方式，对企业全网流量进行深度分析，实时发现恶意攻击与潜在威胁。

二、 产品应用场景

• 攻防演练与重保场景：面向需应对常态化攻防演练的企业安全团队，解决其快速识别最新攻击手法（如0day/1day漏洞利用）的需求，提供毫秒级响应能力。
• 混合云全网流量检测：面向采用多云或混合云架构的企业，解决其云上、云下统一流量监控盲点，提供跨环境攻击行为发现与阻断能力。
• 勒索病毒与挖矿木马防护：面向受勒索软件与加密货币挖矿威胁困扰的企业，通过场景化安全专题，提供一站式外部威胁检测与管理平台。
• 内网横向渗透检测：面向需加强内网安全的企业，解决东西向流量威胁检测缺失的痛点，提前感知并响应内网渗透行为，避免重大安全事件。
• 业务安全协同分析：面向业务与安全团队，通过分析流量数据盘点活跃资产与API，统计分析访问与安全事件，协助发现业务层面的安全问题并协同处置。

三、 应用框架和功能介绍

功能框架

产品通过镜像流量进行旁路检测，流程包括协议解析、文件还原和全量信息存储。检测引擎融合规则引擎、哈勃沙箱、威胁情报和AI算法。

硬核指标

• 性能：单机支持最高10Gbps流量，集群支持最多40Gbps流量。
• 阻断效率：在IPv4和IPv6场景下，阻断率最高可达99.99%。
• 部署模式：采用非侵入式旁路部署，不影响现有网络架构。

产品优势

• 全面检测技术：有机结合规则引擎、哈勃沙箱、威胁情报和AI算法。
• 响应闭环：提供手动或自动的旁路阻断能力，并可通过开放的阻断API接入第三方产品，形成响应闭环中心。
• 深度分析与取证：支持对4层流量日志和7层Payload信息全量存储，基于攻击链还原安全事件，辅助调查取证。
• 场景化专题与自定义策略：提供重保监控、密码安全、勒索病毒等开箱即用的安全分析专题，并支持灵活的自定义策略引擎和白名单机制。

荣誉背书

• Gartner：连续三年入选NDR全球代表供应商（2020-2024年）；入选《Market Guide for Network Detection and Response》及《Adoption Growth Insights for Network Detection and Response》报告。
• Forrester：方案在《The Network Analysis and Visibility Landscape, Q1 2023》报告中获得认可和推荐。
• 信通院：通过先进网络安全产品认证，获网络攻击溯源检验证书。
• 兼容性与创新：通过国产芯片与操作系统兼容性认证；IPv6相关技术获“技术应用创新大赛”三等奖、最佳实践奖及IPV6Ready认证。

四、 典型案例

• 中国农业银行：
  • 背景：面临复杂的网络威胁和高级持续性威胁（APT）风险。
  • 解决方案：部署腾讯NDR解决方案，利用其全流量检测与响应能力。
  • 成效：实现了对网络流量的深度监控和威胁的快速响应，提升了整体网络安全防护水平。
• CITIC Group（中信集团）：
  • 背景：作为大型综合企业集团，需保障跨多个业务领域的网络安全。
  • 解决方案：采用腾讯NDR进行全网流量威胁检测与响应。
  • 成效：加强了对混合IT环境下的威胁感知和处置能力。