腾讯安全湖：实现PB级安全数据智能分析与主动防御

网络安全运营面临海量数据挑战

随着企业信息系统和安全设备激增，安全数据呈爆发式增长。中等规模企业年数据量已达TB至PB级，涉及设备、系统、流量、命令、进程、文件等上百种数据源。传统安全分析技术存在存储成本高、查询效率低、扩展性差等瓶颈，导致安全事件调查取证耗时长达数月，无法有效支撑实时威胁响应。企业面临无法快速回答“是否已被攻击”、“影响范围多大”等关键问题，尤其是在应对Oday漏洞、APT攻击时，检测规则建模需1周，事件调查需1小时以上，响应严重滞后。

构建云原生一体化安全数据分析平台

腾讯安全湖是一款全栈国产化、自主可控的安全大数据分析平台，采用云原生架构实现存算分离。平台提供一站式泛安全数据采集、治理、存储与应用能力，内置标准数据格式，支持syslog、Kafka、TCP/UDP等多种接入方式。通过列式存储与无索引架构，避免索引开销，并支持对象存储COS进行冷数据备份。平台兼容Splunk SPL语法，可平滑迁移现有规则与仪表盘，同时提供SQL/SPL检索分析、ETL治理、可视化BI及告警规则引擎。

实现秒级查询与90%弱密码问题整改

平台具备PB级海量数据处理能力，实测百亿级数据查询性能如下：

• 单字段等值匹配查询<5秒（来源：XX大型企业性能测试）
• 单字段前缀匹配查询<10秒
• 单字段聚合统计<30秒
• 存储压缩比>10:1，硬件成本仅为Elasticsearch的1/10（来源：压缩比测试数据）

在某客户实际应用中，通过长周期数据回溯分析，X部门弱密码问题整改后减少90%（来源：客户场景模拟数据）。平台支持180天以上全流量数据留存与回溯，实现威胁情报秒级回归。

XX大型企业实现硬件成本降低85%

该企业原有Hadoop+ES架构日均处理10-30TB数据，受性能制约无法进行深度威胁狩猎。部署腾讯安全湖后：

• 日均处理非压缩数据>18TB，峰值QPS>80万（来源：性能测试报告）
• 200TB数据仅需3台硬件，较开源方案减少17台，硬件开销降低85%
• 实现百亿级历史数据与百万级威胁情报的秒级碰撞回溯

平台支持500+个Kafka Topic同时接入，满足常态化安全运营与重保时期威胁检测需求，提供全流量存储、攻击溯源、异常行为发现等能力。

全栈国产化信创架构通过合规验收

在某关基单位Splunk替换项目中，腾讯安全湖基于麒麟V10系统与信创x86芯片部署，3节点1周完成部署，1个月稳定运营。平台完整兼容Splunk SPL语句与仪表盘，满足国产化政策要求，同时通过极致压缩比降低硬件与软件使用成本。客户现有检测规则、检索语句及报表均实现平滑迁移，为后续IT运维与安全管理提供自主可控的分析能力。

技术优势获权威测试验证

腾讯安全湖采用自研原子能力实现处理、查询、存储、分析一体化，具备以下技术特性：

• 云原生弹性伸缩，支持秒级扩缩容与无限量存储
• 列存储压缩算法，针对重复数据实现10-20倍压缩比
• 插件化APP架构，内置腾讯安全场景应用并支持自定义扩展 平台已通过多家大型企业PB级数据压力测试，在数据接入规模、查询效率、成本控制方面均达到行业领先水平，为能源、金融等关基领域提供主动防御能力支撑。