腾讯主机安全（云镜）兵器库：威胁分析的福尔摩斯-Cyber Holmes引擎

代号：Cyber-Holmes

在政企机构网络服务普遍上云的大背景下，攻击者持续活跃，并采用多样化的攻击手法对目标发起攻击，因此仅仅依赖PC时代的检测引擎是不够的。只有多种安全能力协作，梳理拼接攻击碎片，才能完成对完整攻击事件的分析研判。因此需要更加高效，覆盖场景更广，能够检测威胁事件全貌的安全方法论，腾讯安全威胁情报智能分析引擎应运而生。

就像福尔摩斯探案一样，安全研究人员首先面对的是不完整的事件告警片断，腾讯安全部署在云端的流量或行为探针、蜜罐系统每天获取的各类威胁事件告警信息数千万条，可疑样本文件上百万个。如此大的数据量，远远超出人工可处置的能力，同时对分析处置引擎的性能有极高的要求，否则迅猛增长的告警和可疑样本文件会迅速拖垮系统。

对企业安全运维人员来说，碎片化的事件告警，简直不堪其扰：处理吧，告警不明不白无头无尾，告警的严重程度也较难评估。不处理吧，会不会有严重威胁被放过呢，而告警数量又较多，该如何下手？企业安全运维团队陷入选择难题，在人手不足的情况下，问题放一放拖下去的可能性较大。

腾讯安全技术中心将每天数千万条告警事件抽丝剥茧，整理出攻击脉络，对上百万的可疑样本文件进行自动化的行为分析，找出攻击者的作案规律，自动还原网络攻击事件全过程，并对攻击者行为进行画像，其难度堪比福尔摩斯探案。将海量的安全告警数据化繁为简、化未知为已知，是威胁情报智能分析引擎的根本任务。

腾讯安全技术中心给这一整套智能引擎内部代号取名为“Cyber-Holmes“，寓意“网络空间威胁神探”。“Cyber-Holmes“引擎，已成腾讯安全分析、关联威胁事件的发动机。

Cyber-Holmes引擎总览

腾讯安全Cyber-Holmes引擎基于腾讯云端安全告警数据和腾讯安全知识图谱，集成若干种威胁分析检测引擎与事件自动化调查引擎的能力，提供威胁告警与可疑样本智能分析服务。

引擎底层为数据层，汇聚上报威胁事件告警和风险文件；中间层为威胁检测与威胁分析模块，提供多维度的告警检测与自动化的事件分析能力。Cyber-Holmes引擎将威胁检测与威胁分析能力输出给腾讯安全全系列产品使用。

腾讯安全Cyber-Holmes引擎可应用于腾讯安全企业级、消费级安全产品的后端支持，目前已接入多个云原生安全产品：接入腾讯主机安全（云镜）后，直接推动了云原生预警系统的开发应用。接入腾讯云安全运营中心（云SOC），创造性的推出威胁调查功能，客户通过登录腾讯云SOC，可全面检视威胁事件的时间线，并对威胁事件进行一键处置。

数据层

腾讯安全Cyber-Holmes引擎的数据层接入端包括腾讯安全在云端部署的流量或行为探针、蜜罐系统；腾讯安全产品捕捉的安全告警事件、云主机告警数据、可疑流量分析、可疑进程分析，以及第三方开源威胁情报数据，并使用腾讯安全自研的知识图谱系统与可解释知识库合并参与实时分析计算。

引擎层

引擎层包含两大模块：

1.威胁检测模块

主要利用攻击武器检测技术、实时流分析检测技术、未知威胁分析检测技术覆盖攻击的三种类型，分别是已知攻击、带有特征的攻击、未知新型攻击。具备多类已知威胁与未知威胁的检测能力。

攻击武器检测技术是对已知攻击者使用过的攻击武器建立特征，作为检测未知威胁时的一种检测方法。当前武器攻击规则命中某个可疑事件时，就可判断该事件疑似具备某种攻击能力。结合其他检测方法的结果，综合评价某威胁告警或样本文件的最终性质。（例如：远控等具有已知攻击武器特征的威胁检测。）

实时流分析检测技术是对可疑行为链进行实时预警与处置。通过在腾讯云主机部署威胁流量和行为探针、蜜罐捕捉可疑威胁事件，威胁探针会捕捉可疑进程、进程链及高危命令。通过实时流分析检测威胁事件或提取风险样本做进一步检测分析。（例如：利用confluence远程代码执行漏洞发起的多起攻击，均被腾讯安全捕获，已实现实时检测预警。）

未知威胁分析检测技术是对未知威胁的复盘检测，通过周期性复盘可疑行为特征与文件特征的数据量变化趋势，区分正常操作与攻击者操作，实现攻击爆发前提前感知新型攻击。（例如：成功预警YAPI远程代码执行-0DAY在野利用）

威胁检测模块包含三种检测技术

2.威胁分析模块

主要利用威胁情报与图谱关联定性技术、入侵路径分析技术、入侵行为画像技术覆盖攻击溯源的三个阶段，分别是溯源遭遇何种攻击被谁攻击，攻击者如何发起的攻击，攻击者实际造成那些影响，具备威胁自动化溯源分析能力。

威胁关联定性分析基于威胁情报中运营的精准威胁家族与知识图谱关联的家族数据对攻击行为进行分类定性，可实现攻击自动化分类定性。

入侵路径分析技术基于专家经验制定的全局溯源路径，串联可疑文件与行为自动化生成可疑的入侵路径与横移路径。

入侵行为画像技术将威胁事件中各个行为归类并自动映射到MITRE ATT&CK 中的攻击者行为映射表，用以判断攻击者活动影响到哪些阶段，各阶段具体使用了什么攻击技巧。

威胁分析模块包含三种分析技术

腾讯安全Cyber-Holmes引擎7×24小时不间断无人值守运行，Cyber-Holmes引擎已申请相关专利十余项，分析归因活跃病毒黑产家族1922个，该引擎已是构成腾讯安全中台能力的基石引擎。其能力目前已接入腾讯主机安全（云镜）、腾讯云安全运营中心（云SOC），功能体现为云原生预警系统和威胁事件调查能力，Cyber-Holmes引擎将持续接入腾讯更多企业级、消费级安全产品，服务于全体客户。

重磅推荐

腾讯主机安全旗舰版发布会将于2022年1月初召开，更多应用实例和技术解读，敬请关注腾讯安全威胁情报中心公众号更新！