御界高级威胁检测系统技术白皮书-腾讯企业安全

腾讯御点技术白皮书目录腾讯御点技术白皮书 (1)1产品定位 (3)2设计理念 (3)3产品市场分析 (4)4产品架构 (4)4.1部署架构 (4)4.2产品架构 (5)5产品主要功能 (7)5.1产品功能列表 (7)5.2产品主要功能描述 (11)6产品主要技术特性 (15)6.1腾讯TAV反病毒引擎 (15)6.2基于多步行为判断的主动防御技术 (16)6.3压缩包查杀技术 (17)6.4宏病毒专杀能力 (17)6.5主动防御 (17)6.6实时监控 (17)6.7U盘管控 (17)6.8隔离恢复 (17)6.9文件信任区 (17)6.10样本运营体系 (18)6.11升级服务 (18)7勒索病毒专项防护 (18)8评测升级与奖项 (19)9公司资质 (20)10产品资质 (21)1产品定位腾讯御点终端安全管理系统（以下简称“腾讯御点”）是腾讯公司提供的一款国际领先的企业级产品，其依托腾讯20年的安全实践和经验积累，采用了百亿量级云查杀病毒库、引擎库以及腾讯TAV杀毒引擎、系统修复引擎，可有效防御针对企业内网终端的病毒木马和漏洞攻击，为企业级用户提供终端病毒查杀、漏洞修复和统一管控等全方位的终端安全管理方案，可帮助企业管理者更好地了解内网终端安全状况，保护内网终端安全。

腾讯御点以更轻、更快、更准、更易用为首要研究方向，在降低用户终端资源消耗同时，能使病毒查杀更精准，有效防御病毒木马的入侵，帮助用户快速修复终端漏洞，并提供统一便捷的终端集中管控功能。

2设计理念●统一管控，智能预警腾讯御点可以实时收集终端上的各种安全状态信息，包括但不限于：补丁修复情况、内网风险情况、病毒库/终端版本分布信息、终端安全配置以及终端各种软硬件信息等，可以根据安全信息智能分析全网存在的安全风险并通过短信、邮件、微信等告警方式推送给安全管理员。

●多重防护，安全轻便腾讯御点会针对恶意文件和病毒木马在传播、运行、高风险操作等多个环节因地制宜的设立不同的检测机制，层层过滤确保不会遗漏可疑文件，并尽可能不影响机器运行的性能。

腾讯御知网络空间风险雷达白皮书目录1 产品介绍 (3)1.1 概述 (3)1.2 产品优势 (3)1.3 联动预警、自动执行 (4)2 产品功能 (5)2.1 企业资产测绘 (6)2.2 资产脆弱性分析 (6)2.3 网站漏洞监测 (6)2.4 网站篡改监测 (7)2.5 网站可用性检测 (7)3 产品使用 (8)3.1 产品部署方式 (8)3.2 产品使用场景 (8)1 产品介绍1.1 概述随着整个社会信息化的建设越来越全面，黑客攻击的事件越来越多，由黑客攻击所造成的威胁也越来越大。

互联网安全保护技术措施规定（公安部令第82号）很早就提出了对于网站安全防护的问题。

其中第九条、第三款规定：“开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复”。

除了网站安全，企业暴露在互联网上的各种资产也成为了黑客统计的突破口。

与此同时，企业内网存在大量安全问题，由于人们疏于防范，一旦企业被入侵，其横向感染速度非常快，给企业造成巨大损失。

面对这样的状况，企业面向互联网的网站以及资产是否安全？企业的内网是否安全？这两个问题亟待解决！腾讯御知网络空间风险雷达(简称腾讯御知)，是由腾讯企业安全聚焦研制的一款企业风险监控与发现的一体化平台，是一款非接触式、基于资产发现，并持续监控其可用性、安全性、合规性的产品。

腾讯御知以黑客的思维和视角对企业网络进行整体扫描与检测以发现企业存在的安全风险。

1.2 产品优势腾讯御知，通过资产发现、风险扫描、站点监控等多个方面对企业网络风险进行探测，一旦发现问题，立即通知管理员进行相应的修复工作，确保企业能够有健壮的防护体系来面对已知的威胁。

资产发现：腾讯御知在资产发现方面使用了全球最先进的发现引擎，首先通过无感知的半连接快速的获取资产存活状况，然后通过高并发的访问来获取目标设备指纹，与系统指纹库进行匹配以获取设备详细信息。

风险扫描：腾讯御知使用了腾讯内部维护的漏洞库来进行风险扫描。

云安全管理平台产品白皮书版本信息文档名称密级创建人云安全管理平台产品技术白皮书2.0.3V1.0公开云安全公司修订记录修订日期修订内容修订人2019.7新建，适用于云安全管理平台V2.0.3，文档版本2.0.3V1.0云安全公司版权声明：奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

免责声明奇安信集团，是专注于为政府、军队、企业，教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全公司，包括但不限于以下主体：北京奇安信科技有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司，以及上述主体直接或者间接控制的法律实体。

奇安信集团在此特别声明，对如下事宜不承担任何法律责任：1、本产品经过详细的测试，但不能保证与所有的软硬件系统或产品完全兼容，不能保证本产品完全没有错误。

如果出现不兼容或错误的情况，用户可拨打技术支持电话将情况报告奇安信集团，获得技术支持。

2、在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的个人损害、商业盈利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，奇安信集团不承担任何责任。

3、对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生的损失，奇安信集团不承担任何责任，但将尽力减少因此而给用户造成的损失和影响。

4、对于用户违反本协议规定，给奇安信集团造成损害的，奇安信集团将有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。

御界高级威胁检测系统技术白皮书目录第一章系统简介 (4)1.前言 (4)2.核心能力 (4)第二章系统架构 (5)1.架构设计 (5)2.产品部署模式 (6)高扩展性 (6)多模块自由组合 (6)低成本 (7)3.推荐硬件配置 (7)单机部署模式： (7)集群部署模式： (7)第三章系统特点 (8)1.攻击链条检出 (8)2.发现APT (9)3.威胁情报 (10)4.漏洞攻击检测 (10)第四章核心功能模块 (10)1TFA协议解析及检测引擎 (10)恶意流量模型检测 (10)异常域名检测 (10)网络攻击检测 (10)2文件还原模块 (11)3文件分析检测模块 (11)哈勃动态行为沙箱 (11)TAV杀毒引擎 (12)第一章系统简介1.前言随着移动设备的普及和云基础设施的建设，企事业单位积极拥抱数字化，加之万物互联IoT潮流的到来，网络安全在当前这个时间点需要重新定义。

经典的攻击方式还未落幕，层出不穷的高级攻击方式已经上演，在安全形势不断恶化的今天，即使部署了各式样的安全产品，也无法做到预防所有的威胁。

在网络边界处阻止所有的威胁固然是我们最希望看到的情况，但是这种同步的拦截方式受限于较高的性能要求和较少的信息量，很难独立成为一个完整的企业安全解决方案。

御界高级威胁检测系统（以下简称御界）在网络边界处采用镜像流量，旁路检测的方式，旨在发现企业受到的恶意攻击和潜在威胁。

2.核心能力御界基于腾讯反病毒实验室的安全能力，依托腾讯在云和端的大数据，形成了强大且独特的威胁情报和恶意检测模型，凭借基于行为的防护和智能模型两大核心能力，高效检测未知威胁。

也正因为丰富的数据和海量运算能力，在发现威胁之后的溯源上御界的数据平台也能提供一流的服务。

真正高质量的攻击，比如APT攻击，大多是以新面貌呈现，基于特征或者是黑样本库黑网址库的防御方式在对抗新的威胁之时远不如动态分析来的直接和有效。

恶意代码层面可以通过变形和加密来做对抗，远控地址和远程IP也是全新的，攻击的入口也不尽相同，可以是邮件收发和消息处理等用户行为，也可以是通过系统或者软件漏洞进入，但是入侵，潜伏，远程连接，远程控制等过程从行为上看是有很大的相似和关联性的，基于行为的检测方案比基于特征的检测方案站在更高的维度上。

联想网御UTM产品白皮书1. UTM产品简述1.1 什么是UTMUTM是统一威胁管理(Unified Threat Management)的缩写。

UTM设备是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备中，构成一个标准的统一安全管理平台。

UTM设备应该具备的基本功能包括VPN、网络防火墙、网络入侵检测/防御和网关防病毒等功能，这几项功能并不一定要同时都得到使用，不过它们应该是UTM设备自身固有的功能。

UTM安全设备也可能包括其它特性，例如内容过滤、安全审计、安全管理、日志、服务质量(QoS)、高可用性(HA)和带宽管理等。

下图显示了UTM 系统平台上可能综合的多项安全功能。

UTM(United Threat Management)意为统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备中，构成一个标准的统一安全管理平台。

1.2 UTM的优点整合所带来的成本降低将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。

现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案，UTM产品有望解决这一困境。

包含多个功能的UTM安全设备价格较之单独购买这些功能为低，这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。

降低信息安全工作强度由于UTM安全产品可以一次性的获得以往多种产品的功能，并且只要插接在网络上就可以完成基本的安全防御功能，所以无论在部署过程中可以大大降低强度。

另外，UTM安全产品的各个功能模块遵循同样的管理接口，并具有内建的联动能力，所以在使用上也远较传统的安全产品简单。

同等安全需求条件下，UTM安全设备的数量要低于传统安全设备，无论是厂商还是网络管理员都可以减少服务和维护工作量。

1. 概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。

Web网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。

根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的工作报告显示：目前中国的互联网安全实际状况仍不容乐观。

各种网络安全事件与去年同期相比都有明显增加。

对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类网站存在安全隐患。

对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及应用层拒绝服务攻击（Denial Of Service）等，影响业务的正常开展。

2007 年到2009年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。

1.1常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。

下表列出了这些最常见的攻击技术，其中最后一列描述了安恒WAF如何对该攻击进行防护。

表 1.1:对不同攻击的防御方法2. 现有的防御技术目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。

2.1. 传统网络防火墙第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。

传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。

为了保障对Web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web及其应用服务器事实上是无安全检测和防范的。

状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。