腾讯NDR网络威胁检测与响应产品概要

原创

IT资讯研究所

发布于 2026-05-31 04:57:22

100

一、产品定位与核心亮点

腾讯NDR（Network Detection and Response） 是由御界高级威胁检测系统和天幕安全治理平台组成的网络层安全产品。其核心技术属性在于采用旁路检测方式，对镜像流量进行协议解析、文件还原及全量信息存储，通过规则引擎、哈勃沙箱、威胁情报与AI算法的有机结合，实现从高级威胁检测（APT）、分析、溯源到阻断的智能化闭环。

二、产品应用场景

针对云时代下APT勒索常态化、攻击规模增加及传统检测技术失效的背景，产品聚焦于以下特定业务场景的痛点解决：

攻防演练与重保场景：解决实战演练中快速发现最新攻击手法及0day/1day漏洞利用的时效性问题，需毫秒级响应海量攻击。
多云混合云环境：解决云上、云下及混合云架构中全网流量检测与响应覆盖不全的问题，提供手动或自动的旁路阻断能力。
特定恶意软件防护：针对勒索病毒、挖矿木马等特定威胁，解决企业缺乏直观一站式管理平台的问题。
内网安全防御：弥补内网流量防护缺失，解决东西向流量中内网横移、渗透行为难以发现的瓶颈。
业务资产盘点：解决业务团队对活跃资产、活跃API及安全事件情况缺乏统计分析手段的问题。

三、应用框架和功能介绍

1. 功能框架

产品在网络边界处通过镜像流量进行旁路检测，架构包含以下核心模块：

深度检测层：包含流量探针、机器学习引擎、TAV引擎、全流量分析及PCAP全包存储。
分析层：利用规划引擎、哈勃沙盒、威胁情报及ATT&CK框架进行关联分析，生成攻击者/受害者画像。
响应层：通过天幕旁路阻断模块对接SOC，实现流量阻断、数据泄露防护、资产安全评估及风险发现。

2. 硬核指标

吞吐量：单机支持最高 10G/s 流量，集群支持最多 40G/s 流量。
阻断率：在IPv4和IPv6阻断场景下，最高可达 99.99% 阻断率。
存储能力：支持4层流量日志和7层Payload信息存储。
部署方式：采用非侵入式旁路部署，不影响原有网络架构。
兼容性：支持IPv4和IPv6环境，通过国产芯片及操作系统兼容性认证。

3. 产品优势

云端协同检测：依托腾讯威胁情报与专家知识库，覆盖攻击链全阶段，快速响应最新漏洞和事件。
自动化响应闭环：提供开放的阻断API，可接入第三方检测产品，形成响应闭环中心。
大数据取证：基于攻击链还原安全事件，将海量告警归并成事件，结合威胁情报丰富上下文，形成攻击者画像。
开箱即用：基于腾讯安全运营经验，内置重保监控、密码安全、勒索病毒、组件安全、数据泄露、登录行为分析、邮件安全和域名解析等专题场景。
灵活策略：提供自定义策略引擎和白名单机制，快速响应最新漏洞和安全事件。
资产发现：从流量中盘点活跃资产及活跃API，辅助业务团队发现安全问题。

4. 荣誉背书

Gartner：连续三年入选NDR全球代表供应商（2020-2024年《Market Guide for Network Detection and Response》）；入选《Adoption Growth Insights for Network Detection and Response》（2020年-2023年）。
Forrester：方案获得认可和推荐，入选《The Network Analysis and Visibility Landscape, Q1 2023》。
信通院：通过先进网络安全产品认证；获网络攻击溯源检验证书。
兼容性认证：通过国产芯片&操作系统兼容性认证；获得IPV6Ready认证。
奖项：IPv6获得“技术应用创新大赛”三等奖及最佳实践奖。