微步在线TDP威胁感知平台_全流量威胁检测与响应系统

微步在线TDP威胁感知平台

微步在线TDP威胁感知平台，实战对抗驱动检测与响应类产品发展，检测和响应类产品的发展，本质是技术对抗的过程。聚焦APT、HW等高级攻防渗透威胁，提升企业检测与响应能力。一款深度融合情报的实战化全流量检测与响应平台，自动、准确地实现安全运营闭环。

立即咨询

首页 > 产品中心 > 网络安全 > 微步在线TDP威胁感知平台

网络安全从合规走向实战从关注”有没有”到关注“行不行” icon

国际形势的变化
对手：美国、俄罗斯、以色列、印度、日本、韩国，对手: APT、黑产

信息化的发展速度
数字资产的保护

国内形势的变化
重保

实战

实战对抗驱动检测与响应类产品发展 icon

检测和响应类产品的发展，本质是技术对抗的过程

防火墙
基于来源IP包过滤技术

IPS/IDS
签名规则+阻断

WAF /NGFW / HIDS
术业有专攻，聚焦专业领域规则

多维度检测
“宁可错杀一万也不放过一个”

通过机器学习模型确保准确率

IDS
签名规则

SIEM
基于已知规则产生数据后的关联分析规则发现未知事件

情报
以攻击者特征变化为导向的检测响应机制

流量检测成为核心能力 icon

检测和响应中存在的问题 icon

攻击面梳理难
梳理不全梳理不准

海量告警难以筛选攻击
未来的对抗是时时刻刻的，大量的误报会淹没真实的告警

漏报
攻击的覆盖面不全面，导致存在漏报

分析门槛高
攻击的追溯、定位复杂，需要很强的分析能力

自动化攻击难以抵御
黑客的攻击是自动化的，但防御是人肉的

TDP产品设计理念

洞悉流量、融合情报、聚焦威胁、一站解决

聚焦真实威胁

使用情报、AI、模型、沙箱等多种检测技术，提升检测质量，自动判定是否“攻击成功”，准确定位失陷主机，对误报“零容忍”。

提升安全运营效果

降低分析门槛：全面感知威胁/可疑/敏感行为，清晰梳理资产攻击面和风险，提供丰富的情报和溯源信息供威胁研判。提高处置效率：自动化封禁攻击源，配合端点产品取证定位恶意进程。

TDP产品定位

微步在线TDP是一款深度融合情报的实战化全流量检测与响应平台，自动、准确地实现安全运营闭环。

深度融合情报
微步在线

高可信威胁情报

实战化
功能设计实战

产品操作实战

黑客视角分析威胁

全流量检测与响应
实时流量的

攻击检测及处置闭环

安全运营闭环
发现问题

分析问题

解决问题

核心能力

全面梳理
网络资产和服务全面盘点

自动化登录入口梳理和登录风险识别

可自定义的资产风险场景监控

精准检测
全面检测，杀伤链攻击手法全覆盖，告警降噪，精准判断攻击成功失败，已知威胁，结合IOC精准定位失陷主机，未知威胁，沙箱+专家+行为协同研判

多维分析
多视角剖析威胁事件

多维度聚合外部攻击

威胁态势可视化分析

自动处置
协同端点产品自动取证

旁路自动阻断

联动第三方设备自动封禁

云端专家协同研判

全面梳理——网络资产和服务全面盘点 icon

“当你要保护一个企业的时候，你至少要先知道，你要保护哪些东西?”TDP可通过被动监听流量识别发现资产，并自动进行风险提示，无需进行扫描，不影响现有网络结构。

基础设施
IP/域名 Web站点服务器

终端负载均衡 DNS VPN

服务
Web服务数据库服务远程登录服务邮件服务认证服务文件传输服务其他服务

应用/框架/容器/中间件
API CMS OA 管理面板 WebLogic Tomcat Apache Shiro Struts/Struts2 Coremail Redis PostgreSQL FTP …xxxx+

风险识别
对外暴露风险漏洞利用风险弱口令风险撞库/爆破/密码喷洒风险明文敏感信息/文件传输风险资产互访风险 API风险… 自定义的资产风险监控

全面梳理——自动化登录入口梳理和登录风险识别 icon

当物理边界变模糊，身份与登录入口成为新的边界，安全团队需要关注来自登录入口的威胁与风险TDP帮助安全团队全面掌握所有登录入口，审计登录行为，识别登录风险，守好登录的大门。

登录主体风险
账号登录行为审计

特权账号登录

已泄漏账号登录

异地登录

黑IP登录

非常用主机登录

登录行为风险
异常时间登录

弱口令登录

空口令登录

暴力破解

撞库

密码喷洒

登录入口梳理
Web服务(OA/CMS等)

远程登录服务(Telnet/SSH等)

文件共享服务(FTP等)

数据库服务(MySQL/Redis等)

邮件服务(SMTP/IMAP/POP3等)

全面梳理——自定义资产风险监控场景 icon

有些操作于所有企业而言都是风险；有些操作于A企业是风险，而于B企业却是正常行为；TDP提供基于资产可自定义的风险监控能力，帮助安全团队实现个性化风险监控、集中式风险告警。

精准检测——杀伤链攻击手法全覆盖 icon

TDP通过高质量威胁情报，机器学习模型，规则特征识别和动态文件分析引擎。检测能力完整覆盖杀伤链各个环节的攻击手法。

精准检测——识别0-day威胁 icon

精准检测——识别0-day威胁（此页隐藏，一个真实的例子） icon

背景欲扬先抑

事件背景：某金融机构在重保演练前部署了2家流量检测设备，在销售推TDP的时候，一开始是不太接受的，但因为重保原因，抱着试一试的心态把TDP部署了进去。部署后也没有巡检。

通过具体安全事件引发客户好奇

HW期间遭受攻击过程：重保开始后，内网也非常平静，只看到零星扫描和一些攻击尝试，客户逐渐放松警惕。第一周周末，靶标附近的蜜罐突然报警，客户开始紧急排查。

TDP发现0day，帮助客户溯源的过程

TDP检出0day漏洞攻击：客户在排查中发现，在HW前TDP报了一条0day攻击，[0day]Smartbi JNDI注入攻击，攻击者利用smartbi在正式HW开始前从测试网突破进入内网，并种下了木马。但因为攻击者利用的是0day漏洞，所以其他两家的流量检测设备、监控设备都没有捕获到。攻击者经验丰富，使用绕hids的手段进行hids规避，然后用堡垒机0day攻陷堡垒机（TDP同样也检出并告警），在对靶标附近探测的时候，才不小心误触蜜罐。

0day能力被认可，让客户有POC的冲动

TDP价值体现：整个过程，除了TDP没有任何设备报警。客户从排斥到信任TDP，只用了“一个0day”的时间！

精准检测——自动判定攻击成功失败 icon

TDP基于双向全流量分析，结合攻击者手法特征和攻击者情报推导攻击意图，识别针对性威胁，可自动判定攻击成功失败。极大降低威胁噪声，安全运营团队无需再为海量无价值告警疲于奔命。

精准检测——精准定位失陷主机 icon

主机被攻陷后会主动连接黑客远控地址，TDP通过持续监控主机主动对外的访问行为，比对高质量失陷情报（IOC），可精准判定主机失陷。

TDP失陷检测能力

100W+高质量IOC，准确度高达99.9%，分钟级更新

精准定位感染僵尸网络、木马、蠕虫病毒、勒索软件和遭受APT攻击的主机

丰富的情报上下文和关联团伙档案便于安全团队分析研判

自动高亮与黑客远控端建立真实连接的主机，以便优先处置

对于不便接入流量的区域，可接入DNS或HTTP日志进行检测

支持接入DHCP日志，方便定位IP地址动态分配的资产

精准检测——识别未知恶意文件和0-day威胁 icon

基于已知威胁特征的传统检测方法，难以抵御日益严重的未知恶意文件漏洞利用威胁。TDP将“云端沙箱+安全专家+本地行为记录”三者有机结合，构建全天候、全方位的未知威胁防御体系，领先一步检测与响应未知和威胁。

云端沙箱-深度分析
高级情报系统

高质量行为签名

多款反病毒引擎

智能威胁判定模型

数据保密/隔离机制

专家研判-快速反应
20+安全专家团队

7*24小时跟进和捕获最新威胁

小时级覆盖检测能力

分钟级同步至TDP设备

全量记录-灵活狩猎
全协议，全流量，全字段记录

留存网络日志与原始流量包文件

自动标记敏感与可疑行为

灵活易用的分析狩猎工具

精准检测——蜜罐威胁诱捕 icon

利用蜜罐“访问即威胁” 特点，在重保期间或者在流量无法下沉覆盖的区域，通过免费蜜罐提升威胁检测能力，并将蜜罐产生的告警发送给TDP，由TDP触发威胁捕获链统一监测、证据留存！

多维分析——多视角剖析威胁事件 icon

主机视角

按主机资产维度聚合威胁告警，智能判定主机威胁状态，按威胁程度优先级排序，便于安全运营团队调查处置。

外部攻击视角

按攻击手法和事件聚合威胁告警，可快速掌握单一威胁在内网的影响面/传播情况，提供威胁上下文信息：描述/危害/处置建议，便于响应和处置。

内部溯源视角

按内网渗透事件聚合告警，清晰展示内网主机之间访问关系，梳理渗透事件影响面，灵活下钻进行分析和研判。

多维分析——多维度聚合外部攻击 icon

外部攻击告警量大，噪音多，零零散散难以运营。TDP智能聚合将其化繁为简，帮助安全团队迅速定位有价值威胁。

多维分析——威胁态势可视化分析 icon

自动处置——主机威胁进程定位 icon

TDP结合终端强大的威胁事件溯源取证能力，实现威胁精准定位到进程粒度，通过父子进程关系追溯威胁源头，帮助安全运营人员更高效精准地对威胁事件进行响应和处置。

主机精准定位
通过失陷IOC情报碰撞，实现产生内对外流量的失陷主机精准定位

威胁深度可视
获取网络流量以外的更多数据，实现深入到进程粒度的威胁检测

进程关联溯源
根据进程间父子关系，画出威胁进程溯源图，还原攻击路径，直击威胁源头

高效事件响应
快速精准定位至威胁主机和进程，助力威胁事件高效处置响应

自动处置——旁路阻断和联动封禁 icon

旁路网络阻断

利用TCP会话机制，向攻击IP、内部主机同时发送RESET包，实现旁路阻断。支持手动录入IP进行封禁，支持配置自动阻断策略进行封禁看，支持配置阻断网卡。

联动三方封禁

通过平台配置防火墙，在联动阻断中进行策略配置生成阻断IP推送至防火墙进行封禁。TDP通过策略配置生成阻断IP List，支持调用，平台支持联动配置三方防火墙进行封禁任务（支持10余种），联动策略配置时可选择联动的防火墙向其发送阻断IP进行封禁。

自动处置——云端专家协同研判 icon

企业安全专家资源匮乏，云端专家在线提供专业分析建议，帮助安全团队聚焦重点威胁，提升研判处置效率。

更简单的交流方式

简洁的IM类界面，便捷的引导标签

更精准的威胁定位

云端专家快速响应，协助定位威胁特征

更全面的分析建议

事件描述、危害、企业威胁影响面整体分析

更高效的处置效率

明确有效的处置建议，同类威胁防患于未然

更聚焦的安全运营

摆脱高级复杂的告警，聚焦简单有效的安全运营，安全绩效体现

国产化路线全面适配

小tips：【自主可控，安全可靠】指依靠自身研发设计，全面掌握产品核心技术，实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控，即核心技术、关键零部件、各类软件等全部国产化。为响应国产信创生态建设，保障关键信息基础设施供应链安全，适应国产化市场需求，微步在线威胁感知平台将持续进行国产化各领域适配。

TDP产品优势

检测准确
高可信情报加持的威胁检测

数百个APT组织深入跟踪

精准检测针对性攻击

0Day检出率＞50%，误报率＜0.03%

响应闭环
自动化旁路阻断，有效性高达99%

数十个品牌防火墙联动封禁

Agent终端溯源取证定位威胁

面向实战
攻击者视角的风险梳理

攻击智能聚合，完整还原攻击过程

借助云沙箱发现未知威胁

简单易用
甲方视角的产品逻辑

可视化大屏简单易用

全网高级威胁检测与响应方案 icon

需求

在两个数据中心出口分别旁路集群部署多台TDP，接入数十G流量，实现对生产网流量的全面覆盖。基于威胁情报驱动的TDP通过高质量规则、情报，以及事件关联模型实现精准告警。HW阶段，通过TDP可快速发现攻击事件，并基于高质量的威胁情报实现细粒度溯源分析。

方案

现有入侵检测设备告警多，误报多，安全人员疲于应对。用户需要基于情报的流量检测产品，尤其重点关注攻击事件的检出率、误报率，以及检测能力覆盖面和使用便捷性。

价值

TDP的误报率实测在0.3%以下，高精准的检测大大降低了安全人员研判难度。攻击成功判定、针对性攻击、攻击聚合使得安全人员可以聚焦真实的威胁，大幅度提升安全运营效率。HW阶段表现出色，及时发现外部攻击并进行联动处置，极大提升了用户的实战化能力。

多分支威胁统一监控与管理方案 icon

需求

全国分支机构多，流量大，亟需建设统一的威胁感知能力，实现统一的威胁事件收集与展示。希望引入外部专业、领先的高质量威胁情报，为运维人员、管理人员提供运营和战术情报、安全战略决策依据。需要有效识别黑客的新策略和技术，对未知威胁进行前瞻性发现和预警，保障业务、生产安全运营。

方案

在总部DMZ区、办公区、各地产线和办公中心分别部署威胁感知平台TDP，建立覆盖各地的高级威胁检测能力。通过TDP级联的方式汇集各区域的告警到总控平台，基于总控平台集中运维资源进行整体威胁管控。基于精准告警，使得安全人员可聚焦真实威胁，通过TDP平台即可进行后续安全运营工作。TDP接入各地DNS日志，保障办公终端对互联网的安全访问。

价值

集威胁检测、响应处置与一体的威胁感知平台，使得安全人员通过一个平台进行整体威胁管控。基于精准的失陷情报，弥补了传统安全解决方案的不足，提升用户和APT、团伙对抗期间的MTTD和MTTR能力。HW阶段，TDP在检出、取证、溯源方面均可发挥重要作用，助力用户取得更好成绩。

全网高级威胁检测与响应方案 icon

毫秒级超低延迟播放

攻防演练覆盖范围越来越广，已延伸至各行业各单位。所选取网络涉及分支单位和接入单位多，针对全网统一威胁检测能力缺失。许多单位之前未参加过HW，急需强化当前的安全防护体系，守住靶标系统不出局，并争取溯源加分。

功能完善

部署全流量安全监测分析系统，全面覆盖各大网络区域，强化网络侧的攻击检测能力。基于精准的HW情报、高质量的规则、模型及时发现外部攻击，并联动边界防护设备进行阻断。支持自动化溯源，可自动化复现攻击者的入侵过程。支持攻击者画像分析，基于高质量的威胁情报可追溯到个人、黑客团伙、APT组织等。

简单易用

旁路阻断结合联动对攻击进行实时响应处置，守住靶标系统不失分。结合IOC及安全服务进行反制溯源，获得额外附加分。将攻防演练的战时能力转向日常运营，实现实战化能力落地。

基于HW的实战化能力提升方案 icon

攻防演练的兴起，对网络安全产品的实战化能力提出了更高要求。TDP从实战效果出发打造了重保模式，围绕攻防演练场景提供了一体化的解决方案。

风险和暴露面梳理

全面梳理企业资产边界暴露情况，识别内外高风险服务，检查各类服务应用的登录入口与弱口令。

精准检测，完整记录攻击

全流量、全字段记录访问行为，分钟级更新的检测能力，时刻覆盖最新的攻击方法及0-day攻击，自动判定成功失败。

专业情报分析团队时刻跟进攻击动向

同步攻击队IP资产，同步攻击队木马特征，同步攻击队溯源结果。

灵活易用的分析研判工具

调查功能灵活快速检索任意日志信息，完备的解码和统计分析工具，内置PCAP包分析功能，无需下载查看，支持保存检索条件长期监控特定威胁。

自动化攻击封堵

旁路阻断技术，无需三方设备，不影响现有网络结构，联动封禁能力，利用第三方设备进行封堵拦截。

提供丰富的攻击溯源信息

独具特色的攻击者画像功能，全方位分析和提炼攻击者手法特征和身份线索，为攻击溯源提供有力保障。

云平台赋能租户威胁感知能力解决方案 icon

需求

监管机构对云计算中心等关键基础设施的威胁检测能力提出更高要求，安全服务能力成为云服务提供商重要的服务能力之一。黑客、黑产组织频繁利用云主机对外发起攻击。缺失对APT攻击、无文件攻击等高级未知威胁的检测能力。云租户安全意识缺乏，大量管理后台暴露云上。

方案

在云平台网络出口位置部署威胁感知平台TDP，旁路镜像出入站流量。基于威胁情报、行为规则、机器学习等技术赋能各租户的外部攻击感知、内部失陷检测能力。利用旁路监听，对租户应用系统暴露的服务、域名、端口、IP，以及管理后台、弱密码、API 接口等资产风险进行全面梳理。对各租户的威胁事件和资产风险独立呈现，提供增值服务。

价值

满足上级监管要求，提供威胁检测能力。兼顾威胁和资产两端，为租户提供多样化的选择，进而提高租户自身的安全能力和增值服务能力。对租户的安全状态进行实时监测，实现云内安全全面感知。

资产风险监控

需求

作为安全运维人员却不清楚数据中心及办公网到底有多少资产；每当被攻击了，才知道原来网络中有这么多弱口令、登录口、明文传输等攻击面；单位制定了一些资产风险管理要求，但没有可自主设置的监控手段；

方案

TDP旁路部署，可基于流量监听网内的资产信息，包括基础资产信息、域名资产、web应用框架等等；TDP基于流量也可自动识别资产相关风险信息，弱口令、登录入口、不合规软件、敏感资产互访等等；TDP智慧自定义风险监控场景，实现个性化的风险监控且集中告警展示；

价值

全网资产梳理，让您知道您所需要保护的业务有哪些；资产风险监控，让您知道当前数据中心可被利用的攻击面有哪些，便于提前做好安全加固；自定义风险监控场景，可以按照贵单位的运维要求个性化监控资产风险（端口开放、不合规软件、敏感业务互访行为等等）

部分客户案例

产品推荐查看更多>>

McAfee威胁防御生命周期平台

McAfee威胁防御生命周期平台，采用高级智能和分析器探测复杂、隐蔽的威胁，通过分类和优先级别划分实现高效率的事件响应和调查分析。阻止流行的攻击方式，同时防护从未出现过的攻击技术和方法，从协作的安全架构中获得实时的洞察力。

安全运维

安全网关

端点安全

威胁防护

立即咨询查看详情

深信服SDW-V安全融合一体机

深信服SDW-V安全融合一体机，通过NFV技术扩展丰富的安全组网组件，支持云网端联动，快速定位处置安全威胁，NFV组件支持SD-WAN智能选路，保障业务最优访问体验，支持接入统一管理平台，实现分支设备快速部署和集中运维。

技术扩展丰富

云网端联动

统一管理平台

快速部署

立即咨询查看详情

聚信得仁等级保护测评及安全整改服务

聚信得仁等级保护测评及安全整改服务，一对一的安全专家咨询顾问贴身服务。专业的等保测评机构、稳健的测评机构合作关系，从业多年等级保护相关工作专职专家。等保合规云管平台产品部署依托用户购买的云主机服务器，无需对现有系统的软件、硬件做任何迁移或调整，产品使用及部署适用于所有IDC机房、阿里云、腾讯云、华为云、政务云等主流公有云平台。

安全通信网络

安全区域边界

安全计算环境

安全管理中心

立即咨询查看详情

数字化社区查看更多>>