2019年11月7日，腾讯Techo开发者大会在京举办，云安全技术与应用分论坛上，来自腾讯安全平台部的安全策略专家聂利权分享了对企业安全运营现状的思考，并介绍了腾讯安全治理平台通过智能威胁研判，助力网络安全运营提效的探索和实践。

图：腾讯安全平台部安全策略专家聂利权

企业安全运营效能难题：威胁感知与运营处置

产业互联网时代，近几年各行各业都在不断升级自己的信息基础设施，传统企业对安全的投入也日益增加。而在黑客手法持续升级和业务发展效益至上的背景下，企业也面临着安全运营效能与运维成本的难题。

“传统安全策略难以平衡覆盖率，和准确率和告警量过大导致运营效率低下的问题尤为突出。”聂利权提到，在企业日常安全运营，尤其是大型重点活动安全保障期间，“宁肯错杀，不可漏过”的防护策略逐渐成为常态，容易对业务造成误伤。另外，重保时期系统平台可能在短时间内涌现大量安全告警，为此企业通常需要花费大量安全运维成本来进行响应处置。

针对企业安全运营的两大难题，腾讯安全治理平台（以下简称“天幕”）基于自研实时全流量分析平台及内部沉淀的海量告警样本，训练部署了智能威胁研判引擎，从“智能感知”和“智能运营”两方面入手，借助深度学习、异常检测以及无监督聚类等方法，辅助企业整体提升安全运营效能，真正实现降本增效。

智能感知：自动捕获细微异常行为，协助业务及时止损

高级攻击手法往往缺乏显著的黑特征，传统攻击检测方案对此类恶意行为难以识别和防御，或仅能针对特定服务作风险特征适配。而腾讯天幕基于海量且多维的威胁样本库，结合无监督异常检测算法，有效增强了对细微行为异常的感知能力。

“正常的用户总是相似的，而异常的用户各有各的异常。”据聂利权介绍，通过AI算法的深度应用，天幕智能威胁研判引擎把细微的访问行为聚类在一起，从而显现和放大攻击者的作恶意图。此外，借助实时和离线结合的多维深度学习模型，平台能够从零散的弱威胁告警中关联挖掘出高阶安全事件，如识别异常流量中的Web攻击变种绕过等，从而发现潜在高风险行为。

基于智能感知能力，天幕在某客户的版权内容盗版、多源低频密码暴破等实践案例上都第一时间捕获了作恶者的异常行为，成功帮助客户业务及时止损，并获得客户致谢。

智能运营：AI自动化聚类处置，帮助企业提效创益

在智能运营方面，聂利权认为，有效的威胁运营是企业安全防护的关键一环。当前企业每日安全告警中大约有98%的无效告警，对无效告警或低价值威胁告警的人力投入，是对企业运维成本的巨大虚耗。而传统的告警归并方案，对于关键字段存在持续变换的参数值时无能为力，且随着威胁检测策略的增多，归并规则的维护成本也不断增加。

为更好地解决当前相似告警重复判断的问题，天幕通过智能聚类算法将相似告警聚合，不但能达到远优于传统方案的归并效果，还能有效挖掘出同类攻击者行为，便于更高层的安全事件抽象和分析。

当前，天幕已结合AI+可视化技术升级了产品形态，提供威胁等级区分、批量告警一键处置等功能，便于运维人员高效开展威胁处置工作。此外，天幕将核心威胁管控能力API化，支持第三方检测设备协同联动，能够在企业网络架构中与已有安全产品无缝衔接，整体提升企业的安全运营效率，帮助客户节流增效。

腾讯安全AI深度应用，为企业智能化运营“打辅助”

安全运营的科技化、精细化、智能化升级已成为行业共识。作为腾讯原生安全的底层基础架构，天幕的自研智能威胁研判能力，已经深度应用在泛金融、汽车、泛互联网等的企业网络安全架构中，持续输出智能化的网络数据实时分析和阻断能力，为外部客户和内部自研业务提供日常运营及重点保障安全服务。腾讯天幕将持续打磨和升级安全AI能力，为企业网络安全运营提效打好辅助，继续携手合作伙伴共建产业互联网安全生态。

创作场景

聚焦安全运营效能痛点，腾讯天幕助力企业降本提效