從「看不懂日誌」到「一句話查威脅」:基於騰訊雲安全威脅情報MCP的智能威脅情報實戰
從「看不懂日誌」到「一句話查威脅」:基於騰訊雲安全威脅情報MCP的智能威脅情報實戰
一、背景故事:當安全告警遇上🌧️暴雨夜
凌晨1點,城市被暴雨籠罩,數據中心的機房燈光依舊閃爍。
小張——某中型電商公司的運維兼安全負責人,正準備關電腦回家。突然,手機上的監控群彈出一條紅色告警:
🔴 WAF告警:
/api/login接口遭遇高頻暴力破解,來源IP:43.157.89.221,請求超2000次/分鐘!
他皺了皺眉:「又來?」
這不是第一次了。過去幾個月,他們平台頻繁遭遇撞庫、爬蟲、掃描等攻擊。每次看到陌生IP,他都得打開瀏覽器,一個個查:
- 去第三方威脅情報平台搜
43.157.89.221; - 再去查是否關聯惡意域名;
- 看有沒有在木馬C2列表裡;
- 最後還要判斷要不要加到防火牆黑名單……
「查一次至少5分鐘,還經常查不準。」小張嘆了口氣。
但今晚不一樣。
他打開「安全助手」(基於Codebuddy + 騰訊雲安全威脅情報MCP),直接輸入:
「這個IP 43.157.89.221正在暴力破解登錄接口,危險嗎?」
不到3秒,機器人回覆:
✅ 檢測結果:該IP為高危惡意地址。🛑 威脅類型:殭屍網絡節點(Botnet C&C),曾參與多起DDoS與撞庫攻擊📍 地理位置:境外某IDC機房(非正常用戶區域)⚠️ 置信度:98%💡 建議:立即在防火牆或WAF中封禁該IP,並檢查是否有賬戶已被爆破成功。
小張迅速在WAF控制台添加黑名單規則,攻擊瞬間停止。
他靠在椅子上,長舒一口氣:「以前查情報像‘破案’,現在一句話就能‘定罪’。」
而這背後,正是騰訊雲安全威脅情報MCP服務在默默支撐——把複雜的威脅研判,變成了人人都能用的「安全普通話」。
二、現實痛點🎯:中小企業安全運營的「三座大山」
這個故事並非虛構,而是中國大量中小企業安全運營的真實縮影:
- 人力不足:一人身兼數職,安全只是「順便管一下」;
- 能力有限:缺乏專業威脅分析知識,看不懂日誌、分不清黑白;
- 響應遲緩:依賴手動查詢多個平台,錯過黃金處置時間。
而通過引入基於 MCP 協議 的標準化威脅情報服務,企業可以用極低成本實現:
「不會安全分析?沒關係,問AI就行。」
正如一位運維人員所說:
「我知道有異常,但我不知道這個IP/域名/文件是不是真的壞的?查情報平台太慢,API調用複雜,還要寫代碼。」
這些問題導致企業在面對網絡攻擊時反應遲鈍,甚至被長期潛伏的APT攻擊所滲透。
三、解決方案:引入騰訊雲安全威脅情報MCP服務
✅ 什麼是騰訊雲安全威脅情報MCP?
它是基於 MCP 協議(Model Context Protocol)構建的標準化服務接口,將騰訊雲多年積累的安全威脅情報能力封裝成可通過自然語言調用的服務模塊。
簡單來說:你不需要懂API、不用看文檔,只需「問一句」,就能獲得專業級威脅研判結果。
✅ 如何解決上述痛點?
| 痛點 | MCP 解法 |
|---|---|
| 查詢效率低 | 支持自然語言輸入:「查一下這個IP是不是惡意的?」 |
| 多類型情報分散 | 統一支持IP /域名 / URL / 文件哈希 / CVE漏洞 |
| API調用複雜 | 提供標準SSE URL接口,對接大模型或腳本極簡 |
| 需要專業研判 | 返回結構化結果 + 風險等級 + 威脅類型 + 置信度 |
「原來我要登錄多個平台查IP、查域名、查哈希,現在只需要把信息丟給AI助手,它自動調用MCP完成所有查詢。」
三、MCP功能詳解與技術實現
1. 騰訊雲安全威脅情報MCP核心能力
📊 騰訊雲安全威脅情報MCP功能總覽表
| 功能模塊 | 支持對象 | 輸出內容 |
|---|---|---|
IP分析<br>analyze_ip |
IPv4地址<br>- IPv6地址 | ✅ 基礎判定:<br> - 威脅等級(高/中/低/安全)<br> - 風險判定結果(是否惡意)<br> - 置信度(0~1)<br><br>✅ 惡意標籤:<br> - 掃描器、殭屍網絡節點(Botnet C&C)<br> - DDoS反射源、暴力破解源<br> - 網釣托管IP、代理/TOR節點<br><br>✅ 惡意上下文關聯信息:<br> - 關聯惡意域名列表<br> - 關聯惡意文件哈希(MD5/SHA1/SHA256)<br> - 曾參與的攻擊活動<br><br>✅ 威脅家族/團伙信息:<br> - APT組織名稱(如Lazarus、APT41)<br> - 攻擊技戰術(MITRE ATT&CK映射,如T1110)<br><br>✅ IP画像信息:<br> - 地理位置(國家/省份/城市)<br> - ASN編號與名稱(如AS45102)<br> - ISP/IDC提供商<br> - 是否雲主機、VPS、代理或TOR節點 |
域名分析<br>analyze_domain |
主域名(example.com)<br>- 子域名(sub.example.com) | ✅ 基礎判定:<br> - 威脅等級、風險判定結果、置信度<br><br>✅ 惡意標籤:<br> - 網釣網站、掛馬域名<br> - DGA域名(動態生成)<br> - 黑產跳轉鏈路、C2通信域名<br><br>✅ 惡意上下文關聯信息:<br> - 解析到的惡意IP地址<br> - 關聯惡意文件哈希<br> - 同批註冊的可疑域名(域名簇)<br><br>✅ 威脅家族/團伙信息:<br> - 所屬APT組織<br> - 攻擊活動名稱(如「Operation Cloud Snake」)<br> - 使用的TTPs(攻擊技戰術)<br><br>✅ 域名画像信息:<br> - 註冊商、創建/過期時間<br> - DNS解析記錄(A、CNAME等)<br> - 是否使用CDN或反向代理<br><br>✅ ICP备案信息(中國大陸):<br> - 規範號、主體單位、負責人、審核狀態 |
URL分析<br>analyze_url |
完整URL(http/https)<br>- 短鏈接(自動展開) | ✅ 基礎判定:<br> - 威脅等級、風險判定結果、置信度<br><br>✅ 惡意標籤:<br> - 網釣頁面、惡意下載鏈接<br> - 掛馬URL(iframe注入)<br> - 短鏈跳轉黑產、社會工程誘導頁<br><br>✅ 惡意上下文關聯信息:<br> - 最終跳轉目標頁面<br> - 托管伺服器IP地址<br> - 下載的惡意文件哈希<br><br>✅ URL画像信息:<br> - 是否短鏈服務(如t.cn、bit.ly)<br> - 頁面標題與截圖(可選)<br> - HTTPS證書有效性<br> - 所屬域名的風險狀態(聯動分析) |
文件哈希分析<br>analyze_file_hash |
MD5(32位)<br>- SHA1(40位)<br>- SHA256(64位) | ✅ 基礎判定:<br> - 威脅等級、是否已知惡意樣本、置信度<br><br>✅ 惡意標籤:<br> - 木馬、勒索軟體、後門、挖礦程序<br> - 病毒、廣告軟件、遠控工具<br><br>✅ 威脅家族信息:<br> - 病毒家族名(如Wannacry、Emotet、Mirai)<br> - 是否屬於某APT組織常用工具<br><br>✅ 行為與傳播特徵:<br> - 感染方式(郵件、U盤、漏洞)<br> - C2通信地址列表<br> - 加密/持久化技戰術<br><br>✅ 時間信息:<br> - 首次發現時間、最近活動時間<br><br>✅ 樣本關聯信息:<br> - 出現過的IP、域名、URL<br> - 加殼工具、數位簽名信息(如有偽造) |
漏洞情報搜索<br>search_vul |
CVE/CNVD/CNNVD編號<br>- 漏洞關鍵詞(如「Log4j」)<br>- 產品名稱(如「Apache Tomcat」) | ✅ 漏洞基本信息:<br> - 漏洞編號、名稱、描述<br> - 發現與公開時間<br><br>✅ 嚴重性評估:<br> - CVSS評分(v3.1)<br> - 威脅等級:危急 / 高 / 中 / 低<br><br>✅ 影響範圍:<br> - 受影響產品及版本區間<br> - 是否影響雲環境組件<br><br>✅ 利用狀態:<br> - 是否存在公開EXP<br> - 是否在野利用(被大規模攻擊)<br> - 是否被APT組織使用<br><br>✅ 修復建議:<br> - 官方補丁鏈接<br> - 升級建議<br> - 臨時緩解措施(如關閉JNDI)<br><br>✅ 關聯威脅情報:<br> - 利用該漏洞的IP/域名/C2地址<br> - 相關惡意文件哈希<br> - 攻擊團伙信息(如Volt Typhoon)<br><br>✅ 分頁支持:<br> - 支持cursor參數翻頁<br> - 默認每頁10條,最多100頁 |
⚡ 所有這些能力都通過一個統一的 MCP服務端點(SSE URL) 提供。
2. MCP服務接入方式:基於騰訊雲MCP廣場的SSE URL配置
步驟1:進入騰訊雲MCP廣場
- 登錄 騰訊雲MCP廣場
- 搜索「威脅情報MCP」
- 找到官方提供的「騰訊雲安全威脅情報MCP服務」
步驟2:獲取威脅情報API Key申請(關鍵!)
開通授權,參考文檔:tix.qq.com/apinterface…
獲取到API Key後在頁面的右側輸入,然後點擊鏈接Server
步驟3:配置SSE URL
將獲取到的token填入MCP服務頁面右側,點擊「鏈接Server」,即可複製SSE URL用於後續集成。
把它複製就可以在Codebuddy中進行MCP的連接。
💡 注意:
token需在騰訊雲控制台生成,具有權限控制(建議綁定子賬號+最小權限策略)
3. 實戰演示:用Python調用MCP查詢惡意IP
示例需求:
「我想知道 45.122.138.118是不是惡意IP?」
完整代碼示例:
# -*- encoding: utf-8 -*-
import json
import requests
request_url = "https://xti.qq.com/api/v3/ti"
# 需更換自己申請的 appkey 進行請求測試
user_appkey = ""
def ip_analysis(action, key):
request_params = {
"c_version": "3.0",
"c_action": action,
"c_appkey": user_appkey,
"key": key,
"type": "ip",
"option": 0,
}
request_params = json.dumps(request_params)
print("request_url:", request_url)
print("request_params:", request_params)
response = requests.post(url=request_url, data=request_params)
return response.text
if __name__ == '__main__':
result = ip_analysis("IPAnalysis", "45.122.138.118")
print(result)輸出示例(精簡):
{
"basic": {
"asn": "45090",
"city": "上海市",
"country": "中國",
"isp": "騰訊",
"lat": "31.232382",
"lng": "121.468973",
"owner": "騰訊",
"province": "上海市"
},
"campaign": {
"alias": [],
"attack_method": [],
"desc": "",
"industry": [],
"links": "",
"name": "",
"source_area": ""
},
"confidence": 100,
"context": {
"articles": [],
"black_md5_contain_ip": [],
"black_md5_download_from_ip": [],
"black_md5_visit_ip": [],
"black_url_of_ip": [],
"historical_domain": [
{
"domain": "1.www.fxyu.cc",
"time": "2024-04-06 00:00:00"
},
{
"domain": "1fishdo2ppt.site",
"time": "2024-04-06 00:00:00"
},
{
"domain": "admin.fxyu.cc",
"time": "2024-04-06 00:00:00"
}
]
},
"family": [
{
"desc": "Cobalt Strike是一種用於對手模擬和紅隊行動的無文件工具,該工具的關鍵功能是能夠生成惡意軟體的有效payload和C2通道。攻擊者可以通過powershell腳本將Beacon直接注入到系統內存,並不會接觸磁碟。一旦在設備上出現了Cobalt Strike Beacon,攻擊者就可以執行各種惡意操作,包括竊取令牌和憑據,橫向傳播等。",
"links": "http://www.freebuf.com/sectool/76206.html\r\nhttps://www.cobaltstrike.com/",
"name": "CobaltStrike",
"platform": [
"windows"
]
}
],
"first_seen": "2023-06-25 12:49:56",
"intelligences": [
{
"source": "騰訊實驗室",
"stamp": "惡意軟體",
"time": "2024-03-26 14:24:35.252142"
},
{
"source": "騰訊實驗室",
"stamp": "CobaltStrike遠控木馬",
"time": "2024-03-26 14:24:35.252124"
}
],
"last_seen": "2023-09-25 17:27:43",
"port": "[]",
"profile": [
"CLOUD-SERVER",
"IDC-IP",
"RESIDENTIAL-IP"
],
"result": "black",
"return_code": 0,
"return_msg": "success",
"tags": [
{
"stamp": [
"CobaltStrike遠控木馬"
],
"threat_type": "遠控木馬"
},
{
"stamp": [
"惡意軟體"
],
"threat_type": "常規木馬"
}
],
"threat_level": 4,
"ttps": [
"T1566"
],
"ver": "3.0"
}✅ 結論:該IP為與 CobaltStrike遠控木馬 相關聯的惡意基礎設施,威脅等級高(4級),置信度100%,建議立即封禁。
4. 進階集成:與大模型(如混元、Codebuddy)結合,实现「對話式威脅研判」
架構圖示意圖
示例對話:
用戶:「昨天日誌裡有個IP 203.208.189.124總連我數據庫,危險嗎?」
AI助手(背後調用MCP):
「該IP屬於Google Bot,用於網頁抓取,未發現惡意行為,但建議您在防火牆限制其訪問數據庫端口。」
用戶:「這個文件 md5: d41d8cd98f00b204e9800998ecf8427e 有問題嗎?」
AI助手:
「該MD5對應空文件,無實際內容,常見於測試或占位文件,無威脅。」
四、優勢總結
| 優勢 | 說明 |
|---|---|
| 🚀 極簡接入 | 不再需要研究API文檔,一句話即可觸發查詢 |
| 🔍 多源融合 | 騰訊雲內部億級威脅樣本庫 + 實時更新 |
| 🧠 AI友好 | 天然適配大模型場景,提升人機交互效率 |
| 🔐 安全可控 | Token鑑權、審計日誌、權限隔離 |
| 📈 可擴展性強 | 可集成進SOC、SIEM、SOAR、自研平台 |
五、適用人群與推廣建議
適合誰用?
- 中小企業安全團隊(無專業TI分析師)
- DevOps/SRE 團隊(需快速驗證安全事件)
- 大模型應用開發者(構建安全問答機器人)
- MSSP安全服務商(增強自動化服務能力)
推廣路徑建議:
- 在內部IM機器人中集成MCP查詢能力;
- 將其嵌入到SOC大屏的「智能助手」模塊;
- 與騰訊雲TI平台聯動,形成「自動研判→人工確認→閉環處置」流程。
六、結語:讓安全變得更「簡單」
本文深入探討了基於騰訊雲安全威脅情報MCP的智能威脅研判實踐,揭示了如何通過技術創新降低安全門檻,實現從「看不懂日誌」到「一句話查威脅」的跨越式升級。研究背景源於中小企業普遍面臨的「安全人力不足、分析能力薄弱、響應效率低下」三大困境。傳統的威脅情報查詢依賴人工操作多個平台,流程繁瑣且容易出錯,難以應對日益複雜的網絡攻擊。
本文提出的核心解決方案是引入基於MCP協議的標準化威脅情報服務。MCP(Model Context Protocol)作為一種新興的模型上下文協議,使得大模型可以像調用函數一樣便捷地獲取外部專業能力。騰訊雲將其多年積累的億級威脅樣本庫封裝為可通過自然語言調用的服務模塊,極大降低了使用門檻。無論是IP、域名、URL、文件哈希還是CVE漏洞,用戶只需提出一個問題,即可獲得結構化、高置信度的研判結果。
文章詳細展示了該方案的技術實現路徑,包括五大核心分析功能、SSE URL接入方式、Python調用示例以及與大模型的集成架構。通過真實案例和輸出數據,驗證了其在準確性、響應速度和實用性方面的卓越表現。最終測評顯示,該服務在準確性、易用性和可集成性方面均達到行業領先水平。
結論表明,騰訊雲安全威脅情報MCP不僅是一次技術升級,更是一場安全範式的轉變——它將原本屬於安全專家的「黑盒能力」轉化為普通運維人員也能掌握的「公共語言」。未來,隨著AI與安全的深度融合,此類「對話即服務」的模式將成為企業構建智能防禦體系的重要基石。
過去,威脅情報是專家的武器;現在,借助騰訊雲安全威脅情報MCP,每一個運維人員都能擁有「安全超能力」。
一句話提問,秒級響應,讓AI成為你的安全參謀。
✅ 附錄:常見錯誤碼說明
| code | 含義 | 建議 |
|---|---|---|
| 401 | 鑑權失敗 | 檢查Token有效性 |
| 403 | 權限不足 | 檢查IAM策略 |
| 429 | 請求超頻 | 降低頻率或申請配額提升 |
| 500 | 服務異常 | 聯繫騰訊雲技術支持 |
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式