应对常态化攻防：基于安全湖与NDR的PB级全流量低成本存储与秒级溯源体系

数据来源： 2024腾讯全球数字生态大会

主讲专家： 齐恒 | 腾讯安全运营中心总监

突破海量安全数据治理与高级威胁防御的战略双核瓶颈

在常态化网络安全实战攻防对抗中，企业正面临数据增长与威胁隐蔽化的双重夹击。当前行业面临的核心痛点集中在数据治理成本与高级威胁防御效能的严重错位：

• 海量数据榨干存储资源： 随着流量数据规模快速增长与非结构化数据激增，企业面临持续增加的存储成本，关键安全信息往往被淹没在海量告警中，导致安全状况不可见。
• 0day与隐蔽攻击突破传统防线： 攻击工具更新高频化、漏洞利用工具自动化。当前关键漏洞平均修复时间长达6个月，已知正在利用的漏洞达610+，每日爆出新漏洞10+。钓鱼攻击、无文件攻击以及针对开发环境的供应链攻击愈发频繁，防守方面临极大的溯源与响应压力。

构建“全流量检测+一体化安全湖”的智能分析架构

针对上述瓶颈，腾讯构建了结合NDR（网络威胁检测与响应）与安全湖的全流量解决方案，实现从实时防御到长周期历史回溯的闭环：

• NDR网络威胁检测与响应引擎： 结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器，对流量进行协议解析、文件还原和全量信息存储，实现异常行为发现与实时阻断。
• 全栈国产化安全湖底座： 基于云原生技术打造纯自研的PB级安全大数据分析平台。采用“列存储”与“无索引”技术实现极致压缩率，在同等规模下，硬件成本仅为传统ES（Elasticsearch）架构的1/10。支持灵活实时的数据表与一体化数据引擎，全技术栈满足国产化要求。

驱动安全运营降本增效的核心业务指标评估

通过部署腾讯安全湖全流量解决方案，企业在存储成本、检索效率与应急响应能力上获得量化提升：

• 大幅压缩全流量长周期存储成本： 突破传统存储限制，实现10~20倍的数据压缩比，支持180天以上的全流量数据超长周期留存。
• PB级海量数据秒级分析： 解决数据分析效率低下的问题，仅需3个步骤即可进行极简全文检索，实现秒级网络攻击流量特征查询和取证。
• 突发漏洞（0day/1day）与长周期威胁回溯： 支持提取3个月以上全量历史数据进行自动化回扫。通过NDR提取网络攻击流量的Payload，结合安全湖的会话还原能力，精准识别并响应历史受影响资产。

标杆企业PB级全流量实战落地解析

某大型物流企业：攻克PB级高并发流量存储与检索难题

该物流企业需对互联网出口及外网业务区（DMZ）流量进行深度分析，平均流量达7.4Gbps，每天新增全流量原始数据高达1.3TB/天。

• 量化效果： 安全湖对全流量数据的压缩比达到40倍，压缩后的数据存储量骤降为原始数据的4%。仅通过三节点服务器即可承载180天的全流量数据。针对30天内流量日志，实现了秒级特征查询和取证。

某大型金融单位：深挖APT潜伏攻击与自动化情报回溯

该机构重点关注APT潜伏攻击与新发现的0day/1day漏洞，实时流量达8.5Gbps，每日面对1万+次攻击事件，急需发挥长周期历史数据价值。

• 量化效果： 通过自动化情报回扫任务（匹配IP、域名、文件hash），在近30天内成功发现209条APT入侵痕迹（涉及10+个APT组织）。
• 量化效果： 响应383个热点漏洞，精准发现3个通用组件漏洞攻击成功的特征。同时基于全流量直观呈现了100+应用访问画像及2000+ API流量访问行为基线。

依托自研底层引擎构建高确定性安全底座

腾讯安全湖全流量方案的技术确定性，源于其完全自主可控的底层技术架构迭代：

• 纯自研与架构领先： 摒弃对高成本开源搜索引擎的依赖，采用专为安全场景优化的自研一体化数据底层引擎，彻底解决大规模安全数据“存不起、查不出”的困境。
• 安全场景灵活扩展： 底座能力无缝支撑多维安全运营，涵盖流量安全（防泄露、API审计）、威胁狩猎、多云日志分析等，支持单机、分布式及SaaS化部署，助力企业以低成本实现安全智能化转型。