地址:北京市海淀区苏州街49-3号3层301室
北京微步在线科技有限公司(微步在线 官网网址):threatbook.cn
邮箱:liujin@threatbook.cn
北京微步在线科技有限公司
邮箱:contactus@threatbook.cn
地址:北京市海淀区海淀街道苏州街49号盈智大厦三层
上海
地址:上海市浦东新区氪空间传奇广场社区
深圳
地址:深圳市南山区海德三道15号海岸大厦东座B区14楼BR10
微步在线是中国新一代网络安全公司代表公司 、网络威胁发现和响应专家 。当前公司规模近五百人,主要成员来自于亚马逊、微软、BAT、美团等公司 。微步在线长期、持续专注于威胁情报领域,积累了深厚的威胁分析能力,并不断将威胁情报能力产品化,推出基于流量和终端的“云+流量+端点”全方位威胁发现产品线并赋能给客户,帮助客户建立全生命周期的威胁监控体系,现已服务了国家电网、中石油、工商银行、招商银行、光大银行、小米、京东、中信集团等来自能源、金融、智能制造、互联网等行业的大型企业客户 。微步在线多次入选全球网络安全500强,2017-2021年连续4次入选Gartner《全球威胁情报市场指南》 ,并获“红鲱鱼亚洲100强”称号 ,2021 年入选工信部专精特新“小巨人”企业。
威胁感知平台TDP
沙箱分析平台OneSandbox
下一代威胁情报平台 NGTIP
威胁情报检测与分析API
钓鱼仿冒发现与关停服务DRPS
数字资产泄露监测与处置服务DRPS
终端安全管理平台OneSEC
互联网安全接入服务OneDNS
威胁防御系统OneSIG
安全情报社区X
云沙箱S
威胁诱捕与诱骗系统HFish
WebShell检测专家河马SHELLPUB
安全服务OneCare
北京微步在线科技有限公司:数字时代网络安全的***者
一、公司概况
北京微步在线科技有限公司(简称:微步在线)自 2015 年成立以来,迅速崛起为数字时代网络安全技术创新的杰出代表,专注于精准、高效、智能的网络威胁发现和响应,在网络安全领域尤其是威胁情报行业发挥着开创性与***性的关键作用。公司凭借以威胁情报(TI)和人工智能(AI)为核心的前沿技术,构建了 TI+AI 驱动的 “云 + 流量 + 边界 + 端点” 新一代智慧安全运营产品及服务体系,助力客户打造全生命周期的威胁监控体系,大幅提升安全响应能力。在发展进程中,微步在线屡获殊荣,多次入选全球网络安全 500 强,获评***专精特新 “小巨人” 企业,更是***一家连续四次入选 Gartner《全球威胁情报市场指南》的中国公司,在 2024 年成为***入选 Gartner《安全运营技术成熟度曲线报告》的中国企业。在沙利文《全球威胁情报管理平台雷达报告》中,微步在线处于***象限,且是增长指数排名***的中国厂商。此外,公司还连续两年在 Gartner Peer Insights《网络威胁检测与响应 “客户之声” 报告》获评 “强劲表现者”,连续二次入选 Gartner《中国托管检测和响应服务市场指南》。2025 年,第二次入选 Forrester《威胁情报市场格局(Landscape)报告》全球代表企业,在艾瑞咨询《2024 年中国威胁情报行业发展研究报告》市场份额排名***。
二、发展历程
2.1 创业伊始与威胁情报领域的开拓(2015 年)
2015 年,微步在线正式创立,公司***人、CEO 薛锋,这位资深网络安全专家,曾任亚马逊中国***安全官、微软中国互联网安全战略总监,作为国际***黑帽子(Blackhat)欧洲安全大会和微软蓝帽子大会(Bluehat)上首位来自中国的演讲者,凭借其敏锐的行业洞察力,精准捕捉到威胁情报技术在网络安全领域的巨大***。彼时,国内网络安全行业多以传统的被动防御模式为主,面对日益复杂多变的网络威胁,防护效果捉襟见肘。而威胁情报技术通过大数据分析,能够有效预判危机,实现主动防御,这一理念为微步在线的发展奠定了基石。创业初期,微步在线的原始产品设想是打造一个威胁情报搜索引擎,旨在建立属于中国自己的威胁情报数据库。很快,该搜索引擎升级为 “X 情报社区”,这个在线社区成为微步在线重要的威胁情报共享平台,吸引了众多安全从业者,从***初的几百人注册,逐步发展到如今拥有数万的日活跃量,用户每日在社区贡献的新情报量高达 30 – 50 万条,为公司后续发展积累了宝贵的数据资源与用户基础。
2.2 技术实力初显与行业影响力提升(2015 – 2017 年)
2015 年 9 月,XcodeGhost 病毒肆虐,国内众多大型互联网企业的 APP 纷纷中招。在其他安全厂商还在关注感染范围时,微步在线凭借自身的威胁情报分析技术,率先将 XcodeGhost 攻击者的信息和作案手法在情报社区公之于众,让业界首次见识到其强大的威胁情报分析能力,知名度迅速提升,大量安全工程师涌入 X 情报社区。此后,在乌克兰电网攻击事件、暗黑客栈攻击事件等全球瞩目的网络安全事件中,微步在线均能***个发现攻击者和攻击方式,进一步巩固了其在威胁情报领域的***地位,行业影响力持续扩大。2017 年,微步在线研发出面向流量检测与响应的威胁感知平台 TDP 和威胁情报管理平台 TIP,标志着公司开始将威胁情报技术产品化,从单纯的情报分析迈向为客户提供具体安全解决方案的新阶段。
2.3 产品多元化布局与市场拓展(2018 – 2022 年)
2018 – 2022 年期间,微步在线持续加大研发投入,不断丰富产品矩阵,拓展市场版图。2019 年,推出面向企业办公网的互联网安全接入服务 OneDNS,为企业办公终端提供便捷高效的安全防护,只需简单配置递归 DNS 即可使用服务,实现分钟级实施,无需额外硬件投入与后续运维成本,一经推出便受到众多企业的青睐,广泛应用于办公终端防护、多分支安全统一管控、远程办公安全等场景。2021 年,发布面向主机和服务器的威胁检测与响应平台 OneEDR,通过轻量级的终端 Agent 收集终端行为日志,结合威胁情报与先进分析技术,实现对主机入侵的精准检测、告警关联、溯源以及响应阻断等功能,有力保障主机安全。2022 年,推出安全情报网关 OneSIG 和攻击面管理平台 OneRisk,前者融合高精度情报检测与精细化自动拦截功能,有效防范***威胁入侵与失陷反连;后者帮助企业全面梳理攻击面,提前发现潜在安全风险,进一步完善了公司在网络安全领域从检测到防护的全链条产品布局。在此过程中,微步在线的客户群体不断扩大,服务的行业领域持续拓展,与能源、金融、智能制造、互联网等行业的大型企业建立了合作关系,市场份额稳步增长。
2.4 持续创新与行业***(2023 年至今)
进入 2023 年,微步在线持续发力,不断创新。2023 年发布面向 PC 终端的安全管理平台 OneSEC,为企业终端提供全面、精准的威胁发现与响应能力,有效应对 APT、勒索、钓鱼等***威胁,在金融行业等重点领域得到广泛应用,其 SaaS 部署在金融行业成单客户中占比高达 93.3%。同时,公司持续深耕技术研发,在人工智能和大模型技术方面取得重大突破,自主研发的 “情报智脑 XGPT” 作为国内首个通过双备案的安全大模型,实时关联 100 + 数据源与 8 大分析引擎,具备精准知识问答与威胁分析能力,***大提升了威胁检测和安全运营效能,成为企业安全运营的有力工具。凭借在技术创新、产品优化以及市场拓展等多方面的***表现,微步在线在行业内的***地位愈发稳固,多次入选全球权威榜单,如 2024 年成为***入选 Gartner《安全运营技术成熟度曲线报告》的中国企业,在沙利文《全球威胁情报管理平台雷达报告》中处于***象限且增长指数排名***,2025 年第二次入选 Forrester《威胁情报市场格局(Landscape)报告》全球代表企业等,彰显了其强大的综合实力与行业影响力。
三、核心技术
3.1 威胁情报技术
3.1.1 自动化生产体系
微步在线构建了国内***为成熟的网络威胁情报自动化生产体系,通过整合全球范围内的海量数据源,包括但不限于恶意软件样本库、黑客论坛监测、漏洞报告平台以及网络空间测绘数据等,运用自研的情报提取系统,结合 100 + 深度学习算法,实现对威胁情报的自动化收集、筛选、分析与生产。该体系能够实时感知全球网络安全态势,每天处理数以亿计的安全数据,精准识别各类新兴威胁,如新型恶意软件变种、未知 APT 攻击团伙活动迹象等,并将这些情报快速转化为可应用于实际安全防护的有效信息,为客户提供及时、准确的威胁预警。
3.1.2 威胁狩猎及画像系统
公司的威胁狩猎及画像系统是其威胁情报技术的另一大核心优势。通过主动在网络空间中进行深度探测与分析,利用大数据挖掘、行为分析等技术手段,精准定位隐藏在网络深处的***威胁。针对发现的威胁,系统能够对攻击者进行全方位画像,包括攻击者的技术能力、攻击习惯、使用工具、背后组织关联等信息,构建详细的攻击者画像库。例如,在应对某一复杂 APT 攻击时,该系统通过对攻击路径、使用的恶意程序代码特征以及通信模式等多维度分析,成功绘制出攻击者画像,发现其背后是一个具备专业技术能力、长期活跃于特定行业的攻击组织,为客户制定针对性的防御策略提供了关键依据。
3.2 人工智能技术
3.2.1 AI 在威胁检测中的应用
在威胁检测环节,微步在线充分运用人工智能技术,***大提升检测的准确性与效率。其安全产品利用机器学习算法对海量网络流量数据、终端行为数据进行实时分析,建立正常行为基线模型。一旦数据出现偏离基线的异常行为,如网络流量突然激增、异常端口连接、文件访问模式异常等,系统能够迅速识别并判断是否为潜在威胁。以终端安全管理平台 OneSEC 为例,通过 AI 技术对终端上运行的进程、文件读写操作、网络连接等行为进行持续监测与分析,能够精准检测出诸如勒索软件在加密文件前的异常文件访问行为、APT 攻击初期的隐蔽网络通信等***威胁,相较于传统检测方法,检测准确率提升了 30% 以上,有效降低了误报率。
3.2.2 安全大模型的创新发展
公司自主研发的安全大模型 “情报智脑 XGPT” 是人工智能技术在网络安全领域创新应用的典范。该大模型基于 Transformer 架构,经过海量安全数据的预训练与微调,具备强大的自然语言处理能力与安全知识推理能力。它能够实时关联 100 + 数据源,涵盖威胁情报库、漏洞数据库、安全研究报告等,结合 8 大分析引擎,包括恶意软件分析引擎、漏洞扫描引擎、行为分析引擎等,为用户提供精准的安全知识问答服务。例如,当安全人员遇到新型安全事件时,只需在平台输入相关问题描述,“情报智脑 XGPT” 即可迅速给出详细的事件分析报告,包括可能的攻击源、攻击手法、影响范围以及相应的处置建议,***大缩短了安全人员对安全事件的分析与响应时间,提高了安全运营效率。
四、产品与服务体系
4.1 威胁检测、响应和防护产品
4.1.1 威胁感知平台 TDP
威胁感知平台 TDP 是一款情报驱动的新一代网络流量检测与响应(NDR)产品,基于旁路流量实现全方位威胁检测与响应。它深度融合威胁情报,能够广泛覆盖传统僵木蠕、APT、Web 和非 Web 攻击、业务风险挖掘以及资产梳理等多个领域。通过对网络流量的实时监测与深度分析,结合微步在线强大的威胁情报库,TDP 能够精准识别各类威胁行为,告警误报率<0.003%,0Day 检出率>81%。在某大型能源企业的应用案例中,TDP 成功检测出一起针对企业核心生产系统的隐蔽 APT 攻击,通过对攻击流量的分析,及时阻断了攻击链路,并溯源到攻击者的控制服务器,有效保护了企业的关键资产安全。
4.1.2 下一代威胁情报平台 NGTIP
下一代威胁情报平台 NGTIP 作为企业威胁和风险运营的情报中心,创新性地融合了精准、全面的威胁情报、漏洞情报和态势情报。它能够帮助企业安全团队实现主动安***力的构建,通过对多源情报的整合与分析,提前发现潜在威胁,制定针对性的防御策略。例如,在某金融机构中,NGTIP 通过对行业内***漏洞情报的收集与分析,结合自身网络资产状况,及时发现了一批存在安全隐患的系统,并为安全团队提供了详细的修复建议,有效避免了可能因漏洞被利用而引发的安全事故。
4.1.3 终端安全管理平台 OneSEC
OneSEC 专为企业终端提供全面、精准的威胁发现与响应能力,是应对 APT、勒索、钓鱼等***威胁的有力武器。该平台通过在终端部署轻量级 Agent,实时收集终端的进程、网络、文件等系统行为日志,并在服务端运用先进的威胁情报和 AI 分析技术,实现对终端威胁的精准检测与快速响应。在实际应用中,OneSEC 能够有效检测出终端上的恶意软件感染、异常进程活动以及钓鱼邮件引发的安全风险等。例如,在某互联网企业中,OneSEC 成功拦截了一起针对企业员工终端的勒索软件攻击,通过对攻击行为的分析,及时采取隔离措施,防止了勒索软件在企业内部网络的扩散,保障了企业员工的正常办公与数据安全。
4.1.4 互联网安全接入服务 OneDNS
OneDNS 是面向企业办公网络的安全 DNS 服务,为企业办公安全提供便捷高效的解决方案。企业仅需简单配置递归 DNS,即可在分钟级内完成服务部署,无需***硬件投入,后续也无需承担运维成本。OneDNS 通过内置的威胁情报检测引擎,能够有效过滤恶意网站、钓鱼网站以及恶意软件下载链接等,保障企业员工在总部、分支机构或远程办公时安全接入互联网,免受恶意软件、钓鱼、木马、后门、APT 攻击等侵害。目前,已有超过 5000 家企业***使用 OneDNS,为千万终端用户提供了安心的网络接入环境。
4.1.5 威胁防御系统 OneSIG
威胁防御系统 OneSIG 深度融合高精度情报检测与精细化自动拦截功能,实现高性能的自动化边界防御。在网络边界处,OneSIG 能够实时监测网络流量,基于微步在线的威胁情报库对流量中的潜在威胁进行精准识别,外防***威胁入侵,内阻失陷反连。例如,在某制造业企业中,OneSIG 成功拦截了大量来自外部的恶意扫描与攻击尝试,有效保护了企业内部网络与生产系统的安全,同时通过对内部失陷主机向外发送的恶意连接进行阻断,防止了敏感信息泄露与进一步的安全风险扩散。
4.1.6 沙箱分析平台 OneSandbox
沙箱分析平台 OneSandbox 提供全面、深度的本地化文件多维检测与分析服务。它集多引擎扫描、动静态深度分析、威胁情报检测于一身,能够快速发现各类已知和***威胁。当企业接收到可疑文件时,可将文件提交至 OneSandbox 进行分析。平台首先利用 20 + 全球主流反病毒引擎进行多引擎扫描,初步检测文件是否存在已知恶意代码。随后,通过模拟文件执行环境,对文件进行动静态深度分析,收集文件在执行过程中的行为数据,如文件读写操作、网络连接、进程启动等信息。结合微步在线的威胁情报库,进一步判断文件是否存在潜在威胁。在某政府机构的安全防护工作中,OneSandbox 成功检测出一份伪装成正常文档的恶意文件,该文件通过复杂的加密与混淆技术绕过了传统杀毒软件的检测,但在 OneSandbox 的多维检测下原形毕露,有效保障了政府机构的信息安全。
4.2 安全服务
4.2.1 安全评估类
安全评估类服务包括攻击面梳理服务和渗透测试服务。攻击面梳理服务通过对企业网络资产进行全面梳理与分析,包括网络拓扑结构、IP 地址段、开放端口、运行服务以及相关应用程序等,识别潜在的安全风险点,为企业提供详细的攻击面清单与风险评估报告,帮助企业明确自身安全防护的重点与薄弱环节。渗透测试服务则由专业的安全团队模拟真实黑客攻击手段,对企业网络、系统、应用程序等进行全方位渗透测试,深入挖掘可能存在的安全漏洞与隐患,并提供详细的漏洞报告与修复建议,助力企业提前发现并解决安全问题,提升整体安全防护水平。
4.2.2 安全分析类
安全分析类服务主要为溯源分析。当企业遭遇安全事件时,微步在线的安全专家团队凭借丰富的经验与先进的技术手段,对安全事件进行深入溯源分析。通过对攻击路径、使用工具、恶意代码特征以及通信模式等多维度数据的收集与分析,精准定位攻击者身份、攻击来源以及攻击过程,为企业提供详细的溯源报告,帮助企业了解安全事件全貌,制定针对性的整改与防范措施,防止类似安全事件再次发生。
4.2.3 威胁检测与响应类
威胁检测与响应类服务涵盖威胁检测与分析服务、托管检测与响应服务以及应急响应服务。威胁检测与分析服务利用微步在线的先进技术与丰富数据资源,为企业提供 7×24 小时的实时威胁检测与分析服务,及时发现企业网络与系统中的各类安全威胁,并提供详细的威胁分析报告与应对建议。托管检测与响应服务则是由微步在线专业团队全面托管企业的安全检测与响应工作,实时监测企业安全状况,及时处理各类安全事件,为企业提供一站式安全运营解决方案。应急响应服务在企业遭遇突发安全事件时迅速响应,派遣资深安全专家赶赴现场,协助企业进行应急处置,***限度降低安全事件对企业造成的损失,并在事后帮助企业进行安全加固与整改,提升企业应对突发事件的能力。
4.2.4 安全运营服务
安全运营服务旨在帮助企业建立完善的安全运营体系,提升安全运营效率与效果。微步在线的安全专家团队为企业提供安全策略制定、安全流程优化、安全工具选型与部署等全方位的咨询与支持服务,结合企业实际业务需求与安全现状,量身定制适合企业的安全运营方案。同时,通过安全培训与意识提升活动,提高企业员工的安全意识与技能水平,确保企业安全运营体系能够有效落地与持续运行。
4.2.5 安全意识评估类
安全意识评估类服务主要为钓鱼演练服务。微步在线通过模拟真实的钓鱼邮件场景,向企业员工发送精心设计的钓鱼邮件,测试员工对钓鱼邮件的识别与防范能力。在演练结束后,为企业提供详细的员工安全意识评估报告,分析员工在钓鱼演练中的表现,包括点击钓鱼邮件的比例、对钓鱼邮件的识别准确率以及误报情况等,并针对存在的问题提供相应的安全培训与教育建议,帮助企业提升员工整体安全意识,降低因员工安全意识薄弱而引发安全风险的概率。
4.3 安全工具
4.3
