头豹研究院发布《2022年腾讯安全威胁情报能力中心分析报告》：助力企业掌握安全防御主动权

12月23日，头豹研究院发布了《2022年腾讯安全威胁情报能力中心分析报告》（以下简称《报告》），深度研究了腾讯安全威胁情报能力建设、威胁情报能力应用、威胁情报价值实践方面的现状及成果，从专业视角分析腾讯安全威胁情报能力的技术领先性和应用优势。

威胁情报作为企业安全防御“化被动为主动”的利器，可有效助力企业在日益复杂的网络安全环境下，提前获悉攻击者的攻击途径，帮助企业及时调整防御策略，为实现较为精准的动态防御做好铺垫，进而提升组织整体安全防护能力。

腾讯安全威胁情报中心TIX由腾讯安全科恩实验室和腾讯安全大数据实验室提供能力底座，集成基础情报、攻击面管理、业务情报三大情报能力，支持通过 SaaS、API 、SDK等多种交付方式满足不同用户需求，支持与其他安全产品结合提升安全解决方案的检测与响应能力，为企业提供一站式情报服务，全方位提高事前、事中、事后的检测与响应效率。

两大安全实验室能力加持

融合构建威胁情报平台化底座

腾讯安全威胁情报能力中心由腾讯安全科恩实验室和腾讯安全大数据实验室两大国际顶尖实验室构筑产品能力底座。腾讯安全科恩实验室作为情报底座，全面整合威胁情报生产和应用能力，实现情报数据在安全事件预测、防御、检测、响应整个生命周期中的应用；腾讯安全大数据实验室则是数据底座，提供数据治理引擎底座，提升威胁情报加工和生产效率。

融合构建威胁情报平台化底座能力：

➢ 多形态情报能力聚合：腾讯安全从情报信息全维度采集和情报信息深度分析两个维度出发，从底层规划威胁情报能力中心平台的建设，该平台全面整合基础情报、攻击面情报和业务情报，构建三合一的情报开放平台，为腾讯内部用户、B端用户、C端用户以及产业内其他安全服务商提供一手的一站式情报服务。

➢ 灵活交付和触达，情报应用渗透用户业务生命周期：在情报服务交付形式方面，腾讯安全以SaaS化模式为核心，支持Web端、小程序、公众号、API、SDK、TIP等多模态交互方式，满足不同业务场景下用户对情报触达手段灵活性的诉求。在情报应用方面，腾讯安全对人读情报、机读情报进行降噪处理，针对物理层、地理层、逻辑层和社会层攻击特征，对用户业务场景所遭遇安全事件进行全生命周期的情报服务渗透。

➢ 赋能安全产品，用户防御策略前置：基于安全左移理念，腾讯安全威胁情报能力中心助力用户聚焦事前阶段，通过全面资产评估、资产暴露面研判等方式预判风险点，并通过赋能的方式实现与腾讯安全其他基础和新型原生安全产品的融合，提升用户在业务运营过程中对安全事件的响应能力和效率。

➢ 赋能行业伙伴，提升溯源分析能力：在对产业生态赋能方面，腾讯安全结合两大实验室能力，为合作伙伴提供更趋精准和多维度的情报，并嵌入运营类安全产品，助力合作伙伴支撑用户进行高效溯源分析和响应处置。

➢对内融合能力：从产品融合方面而言，腾讯安全威胁情报中心能力与原生安全产品融合，为11类以上核心安全场景赋能，持续输出攻防和算法研究能力，通过高精准情报数据，助力用户在运营过程中实现更高效率的安全响应效果。

➢对外协作生态：从对外优势互补融合方面而言，腾讯安全威胁情报中心与近百家安全厂商对接，并面向安全生态圈提供标准化API接口，通过SDK合作模式覆盖核心安全业务场景，以情报原子能力输出推动安全产业协同发展。

腾讯安全科恩实验室在研究侧、技术侧、产业应用侧并行发展，在基础安全（桌面端安全、移动端安全等）领域积累攻防经验已超10年，通过在“安全+AI”领域的持续性研究，持续提升安全事件检出的精益化水平，在中国和全球赛事中获取头部竞争成果和认可。融合理论和技术方面的突破，科恩实验室在车联网、5G通信、IoT等前沿场景应用威胁情报中心能力。在安全产品侧，通过高质量情报优化告警准确性。在生态侧，联合各大安全服务商和业务场景用户共同优化数字化升级过程中的情报服务效果。

①技术积累：基于在不同领域构建安全体系的实践，科恩实验室持续提升高精检出能力；

②研究突破：科恩实验室一方面促进AI算法与安全研究的融合，一方面推进研究落地应用；

③产业实践：基于产业互联网业务场景特征构筑安全平台。

腾讯安全大数据实验室作为腾讯安全威胁情报能力中心的数据底座，依托大数据分析引擎+大数据治理引擎，构建情报数据体系及安全数据知识图谱。

①在大数据分析方面，腾讯安全利用大数据分析引擎实现威胁情报关联分析、深度分析，并提升情报加工和生成效率；

②在大数据治理方面，腾讯安全依托大数据治理引擎采集并管理覆盖云主机、桌面端、移动端、DNS等全域场景的情报数据（腾讯电脑管家数据、腾讯手机管家数据、安全产品数据、DNS解析数据等）提升威胁情报质量和数据流转效率。

安全大数据实验室与科恩实验室协同：腾讯安全大数据实验室依托大数据治理引擎提升情报数据质量及流通效率，依托大数据分析引擎提升威胁情报加工和生产效率。在此基础上，安全大数据实验室与科恩实验室协同研发，优势互补。

①安全大数据实验室通过分析引擎管理和数据平台能力为情报能力中心的构建提供底层支撑，支持科恩实验室实现更有效的上层情报生产与挖掘活动。

②科恩实验室基于在攻防和算法技术方面的积累和实践经验，结合安全大数据实验室引擎，提升威胁情报产线不同环节的管理效率，并实现情报质量的提升。

基础情报+攻击面管理+业务情报

威胁情报中心提供一站式安全服务

腾讯安全威胁情报中心（TIX）致力于为用户构建基础情报查询、攻击面管理和业务情报的“三位一体”的一站式安全服务。

《报告》指出，在威胁情报应用方面，腾讯安全威胁情报在情报原子能力、攻击面情报、业务情报应用上具备显著优势，同时，威胁情报中心在推动用户安全管理水平升级，以及助力业务场景商业价值增益上成效显著。腾讯安全持续提升攻击面情报采集的广度、深度、精准度，在情报库源数据采集基础上，为用户提供更具针对性的采集技术，依托全域流量渠道助力用户梳理各类已知资产和未知资产，收敛资产暴露面。

一、情报原子能力应用优势及成果

腾讯安全打造开放生态，以SDK被集成模式为安全产业主体提供各类出站情报、高精准情报、信誉情报，提高情报的被集成广度和深度，并推进高精准情报与细分应用场景的融合，提升不同场景下安全产品的检测和告警能力。

➢ 基础情报和情报原子能力灵活融合安全产品：

腾讯安全依托高质量基础情报，提升原生安全产品检测率，覆盖海量IP信誉情报分析、黑客画像分析、未知样本检测、高级威胁发现、行业情报共享和私有情报挖掘等。并基于内外部数据，对情报数据关联信息进行分析补充，确保情报具备丰富的上下文数据。

➢ 提高基础情报被集成度，实现生态赋能：

腾讯安全在威胁情报应用领域延续开放生态的路线，提倡建设“开放和共享”生态体系，以情报原子能力形式为其他安全厂商赋能。与此同时，腾讯安全依托自研AI引擎，提升情报自动化生产能力，以标签化管理模式提升情报质量和去误报效率，产出高精准IOCs。

二、攻击面情报应用优势及成果

腾讯安全持续提升攻击面情报采集的广度、深度、精准度，在情报库源数据采集基础上，为用户提供更具针对性的采集技术，依托全域流量渠道助力用户梳理各类已知资产和未知资产，收敛资产暴露面。

➢ 拓展攻击面情报采集渠道，提升挖掘和发现技术：

腾讯安全覆盖C端、B端、云端、基础数据等多源异构的情报数据采集渠道（每日采集原始数据约3万亿条），保障数据采集的全面性和丰富度，构建全面、高效的情报验证体系。在数据源采集方面，腾讯安全通过DNS数据挖掘技术，网络空间测绘技术，各类半连接的技术，指纹库比对技术等提升攻击面情报采集和检索效率，在采集丰富度方面处于行业领先水平。

➢ 腾讯安全依托自研测绘引擎，实现资产智能深度探测：

①腾讯安全风险测绘依托海量安全数据及独有数据源（DNS解析记录等）拓展情报覆盖面，资产探测扩散维度涉及域名、子域名、注册和备案信息、IP Whois、SSL和IP证书等；

②腾讯安全根据域名解析、注册人、注册邮箱、注册机构、备案信息等多维度上下文进行去误报；

③利用自研测绘和搜索引擎对小程序、公众号、APP等相关接口进行资产探测；

④对资产端口、组件信息、服务和Banner等信息进行测绘。

三、业务情报应用优势及成果

腾讯安全以成型标准化产品模式为用户提供五大类专项业务情报，在提供行业级情报的基础上，进一步为用户打造企业相关情报、用户相关情报，提供更多安全决策优化维度；腾讯安全将紧追行业和企业动向，持续扩展业务专题覆盖面。

➢ 打造五类专题化业务情报，支持灵活消费模式：

相对产业内其他类型的威胁情报服务商，腾讯安全在业务情报领域构建更加全面的专题化业务情报架构，围绕5类大型专题提供标准化产品，支持Web端、服务号、小程序等多点触达。

➢ 持续优化业务情报针对性，提升用户覆盖面和友好度：

为支持安全运维人员和非安全管理的业务人员从情报数据中收益，腾讯安全持续扩展业务专题（如电信诈骗、薅羊毛等更贴近业务专项需求类专题），在行业级业务情报基础上跟进企业化业务情报、定制化业务情报，以热点覆盖形式提升用户安全决策效率。

威胁情报应用场景日益多元化