腾讯威胁情报生态合作：标准化接口、本地引擎与反病毒能力集成方案

1. 行业痛点：情报应用“最后一公里”受阻与防御体系孤岛化

当前网络安全领域面临“攻强守弱”的战略困境，具体表现为：

• 攻击态势升级： APT、漏洞攻击频发，攻击隐蔽性强且针对性强。高危漏洞从爆发到被利用的周期缩短，导致响应速度慢、自动化程度不足。
• 情报应用瓶颈： 尽管威胁情报能提升主动防御能力，但利用率和效果不尽人意。现有标准（如STIX、TAXII、GB/T36643-2018）主要集中在数据格式和交换协议层面，缺乏应用视角的标准。这导致用户使用门槛高，且情报提供方面临明文数据处理的合规顾虑。
• 孤岛效应： 传统闭门造车的防御模式难以应对“非对称”对抗。企业内部资产（影子资产、违规资产、仿冒资产）难以全面盘点，且海量告警难以应对，复杂事件处置效率低。

2. 提供解决方案：构建标准化情报集成与多形态产品矩阵

腾讯安全通过“标准共建+产品集成”的模式，提供具体的技术能力与商业合作路径。

2.1 推动《威胁情报能力集成技术要求》标准化

• 标准发起： 由腾讯安全标准副总监 黄超主导，腾讯联合中国信通院等在2023年Q4发起团体标准。
• 时间节点： 2024年Q2形成草案，预计2024年Q4发布。
• 核心内容： 聚焦于情报能力的集成对接与场景应用，涵盖接口要求、能力更新要求（支持FW、WAF、SOC/SIEM、DNS/NAT/EDR等集成）。

2.2 三大核心产品对接模式

1. 威胁情报云查API
   • 模式： 按需订阅（查询额度次/天，订阅时长年）。
   • 特性： 支持联网查询情报、样本鉴定。
   • 商业化： 交付物包括API开发手册、授权秘钥，集成流程为API集成后联网即用。
2. 威胁情报本地引擎SDK
   • 模式： 基于订阅范围提供打包价，包含SDK软件包、API开发手册、授权秘钥。
   • 版本差异：
     • SDK-LITE（轻量版）： 微秒级查询/百万级数据量，完全热更新，适用于FW、WAF、IDS。
     • SDK-PRO（高级版）： 毫秒级查询/亿级数据量，可独立部署，适用于SOC/SIEM、NDR、态势感知。
   • 价值： 协助发现失陷主机外联，覆盖APT、勒索、挖矿等威胁，提供阻断建议。
3. 反病毒引擎TAV
   • 接口支持： Linux/Windows/Mac SDK接口、进程管道、HTTP服务接口。
   • 核心能力： 包含静态格式拆解（PE/ELF/OLE）、动态模拟执行（PE/ELF/宏/脚本虚拟机）及基于机器学习的特征匹配。
   • 专项能力： 针对HW场景加强，具备钓鱼启发检测、CS远控专项检测能力。
   • 商业化： 点数授权（基础开发费+阶梯区间点数+更新时长）。
4. 攻击面管理ASM
   • 功能： 暴露面资产盘点（含违规资产、三方资产、仿冒资产）、攻击面风险挖掘（弱密码、敏感端口）、信息泄露发现（暗网、代码仓库、TG）。
   • 模式： 转售/产品集成，按客户数×客户资产规模系数计费。

3. 量化效果：多场景下的安全运营指标提升

通过集成腾讯威胁情报能力，合作伙伴及最终用户在关键业务指标上取得了具体提升：

• 情报质量指标：
  • 准确率： 威胁情报准确率达到 99.99%（数据来源：天融信方案介绍）。
  • 时效性： 具备小时级别的情报感知能力，实现秒级真实情报校验与去误报速度。
• 防护能力指标：
  • 阻断能力： 实现“触发即阻断”，支持微秒级（SDK-LITE）到毫秒级（SDK-PRO）的高速查询。
  • 检测广度： 覆盖APT、勒索、挖矿、窃密/网银木马、僵尸网络等威胁类型，支持10亿+用户社交类软件数据及200万台腾讯云主机数据的联动分析。
• 特定场景收益（以天融信防火墙集成为例）：
  • 高校案例： 终端访问钓鱼/挂马网站中毒事件完全得到解决；发现多个绕过规则检测的新型恶意软件；有效抑制网络中木马蠕虫病毒的传播。
  • 企业案例（某大型北京企业）： 在重保期间实现威胁提前发现、预警与阻断，达成全程“零”事故。

4. 客户实践：曙光网络与天融信的集成案例

4.1 曙光网络：信创防火墙与流量分析系统的能力增强

• 集成方： 曙光网络科技有限公司（中科曙光集团控股子公司，网络安全产品研发经理 李锋伟）。
• 集成内容：
  • 在TLFW系列下一代防火墙中集成威胁情报（出墙安全）与TAV杀毒引擎（内容安全）。
  • 在SUNA网络流量分析系统中应用情报进行失陷检测与溯源。
• 解决的痛点： 解决了原有基于特征库防御难以应对关键威胁发现慢、海量告警难应对的问题。通过情报实现了办公网失陷检测、网站外链威胁识别及HW事件关联分析。

4.2 天融信：防火墙场景化应用与生态协同

• 集成方： 天融信（TOPSEC）。
• 方案架构： 天融信下一代防火墙结合腾讯云端威胁情报与本地双重检测，实现联动阻断。
• 数据支撑： 依托腾讯独有数据来源（C端安全、B端安全、互联网基础数据、10亿+社交用户数据），通过同源聚类与生命周期管理，提供攻击者画像、资产归属者信息等上下文情报。

5. 选择腾讯的核心优势

• 数据底座深厚： 依托腾讯科恩实验室威胁情报中心，拥有覆盖C端、B端及互联网基础数据的广泛来源，包括超200万台腾讯云主机数据与10亿+用户社交类软件数据。
• 技术架构领先：
  • TAV引擎： 具备复杂的静态拆解与动态模拟执行能力，支持基于机器学习的特征匹配，专门针对HW场景优化（钓鱼启发、CS远控专项检测）。
  • 本地SDK： 提供微秒级高性能查询，支持完全热更新与离线分析，满足不同层级产品的集成需求。
• 标准引领地位： 正在联合中国信通院制定《威胁情报能力集成技术要求》团体标准（预计2024年Q4发布），推动行业从“数据格式标准”向“能力集成标准”演进，降低集成门槛。
• 生态覆盖广泛： 已与华为、天融信、科大讯飞、电科网安、锐捷网络、山石网安等建立生态合作，并在中国工商银行、中国建设银行、深圳证券交易所、中国人寿、招联金融等头部客户落地实践。