Skip to content

zrf-rocket/openLAS

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

3 Commits
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

多源异构弹性日志审计监测系统(LAS)

关于我们

我们的技术文章和产品概述欢迎浏览我们的门户。

  • 公众号:CTO Plus

最新的动态欢迎关注我们官方唯一公众号。

微信公众号

  • 作者QQ

更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。

我的QQ

  • QQ群

我们官方组建的QQ群,如果您有兴趣也可以加入我们。

QQ群

  • 请喝咖啡

如果感兴趣,也可以请我喝杯咖啡

请我喝咖啡

产品核心功能模块

随着企业数字化转型进入深水区,IT架构日益复杂——混合云、容器化、微服务交织共存,网络边界模糊化。与此同时,《网络安全法》明确规定日志留存不少于六个月,等保2.0对安全审计提出从“形式合规”到“实质可控”的硬性要求。然而,多数企业面临数据孤岛割裂、海量日志淹没关键信号、溯源链路断裂三重困境:防火墙、IDS、主机、数据库、K8s等各自为政,异构日志格式千差万别,攻击者单次入侵可能留下跨多层的碎片化痕迹,传统SIEM或离散工具难以拼凑完整证据链。

为此,我们自研了 多源异构弹性日志审计监测系统(Log Audit System,LAS),并非简单的日志存储器,而是集全量采集、智能解析、跨域关联、威胁狩猎、合规闭环于一体的智能安全中枢。接下来介绍下我们自研的多源异构日志审计监测系统:

核心功能全景架构

我们的多源日志审计监测系统以全量采集为基础、智能关联为引擎、实体溯源为核心、闭环响应为目标,在云原生与AI浪潮下持续进化——向下兼容异构数据源,向上赋能安全分析师,向外联动防御体系,向内沉淀威胁知识。

我们的系统遵循“采集-治理-分析-呈现-响应”的分层架构:

层级 核心能力 关键产出
采集层 多源异构日志全量接入 无死角数据覆盖
治理层 标准化、过滤归并、富化补齐 高质量可分析数据
分析层 关联引擎、AI检测、威胁建模 精准告警与事件还原
呈现层 可视化仪表、智能检索、报表 可读可查可用
响应层 告警处置、工单联动、溯源拓扑 闭环运营

采集层:多源异构日志的全量接入

多协议兼容与主动被动混合采集

采集层是LAS的数据入口,其覆盖面直接决定审计盲区的大小。我们的LAS支持以下主流采集方式:

被动接收类(适用于网络设备、安全设备):

  • Syslog(TCP/UDP 514),网络设备事实标准
  • SNMP Trap,设备主动推送告警
  • HTTP/HTTPS Webhook,云原生应用首选

主动拉取类(适用于主机、数据库、应用):

  • Agent部署,采集文件审计、进程活动、系统调用等深层运行时数据
  • JDBC/ODBC,直连数据库拉取审计表
  • WMI/WinRM,Windows环境无Agent采集
  • FTP/SFTP/Kafka,批量或流式数据对接
  • API集成,对接云平台控制面日志(如操作审计ActionTrail)

关键特性:主流厂商产品内置解析规则覆盖200+品牌、400+设备类型,实现“接入即解析” 。对于非标设备,提供图形化规则编排界面,支持正则、分隔符、JSON路径等自定义解析方式。

云原生环境深度覆盖

区别于传统日志审计,我们的LAS具备云原生架构的穿透采集能力:

  • 容器运行时采集:通过DaemonSet形态采集器无侵入获取容器内进程执行、文件读写、网络连接等行为日志
  • K8s审计事件:聚合API Server审计日志、Pod调度事件、编排变更记录
  • 云产品日志自动编排:一键接入VPC流日志、负载均衡访问日志、对象存储访问日志,无需手动配置投递规则

采集可靠性保障

  • 断点续传:网络中断时本地缓存,恢复后自动补传
  • 采集器状态监测:集中展示各采集节点健康度,异常自愈告警
  • 加密传输:TLS加密通道保障日志传输机密性

治理层:从原始数据到高质量可分析资产

标准化与范式化

异构日志统一为结构化数据是后续分析的前提。标准化引擎完成:

  • 字段归一:将不同厂商的“src_ip”与“sourceAddress”映射为统一字段
  • 时间戳统一:多时区日志对齐至UTC或指定时区
  • 日志分类标签:自动识别日志类型(登录认证、配置变更、网络连接、文件操作等)并打标
  • 威胁值计算:根据事件类型、资产重要性、攻击特征等加权计算初始威胁分值

我们的日志审计产品支持200+维度的细粒度解析,解析后字段涵盖日期、事件类型、操作主体、操作对象、行为方式、技术动作、地理信息等关键维度 。

过滤与归并压缩

海量日志中存在大量冗余噪声,治理层需提供:

  • 过滤规则:丢弃指定来源、指定类型或匹配正则的低价值日志,也可将过滤后数据转发至外部系统
  • 归并聚合:在时间窗口内将同源同类型重复事件聚合为一条,附加“重复计数”字段,压缩比可达10:1以上,显著降低存储与分析压力
  • 敏感信息脱敏:对日志中嵌入的手机号、身份证等敏感字段执行哈希或掩码处理,满足数据安全合规要求

上下文富化

原始日志信息有限,需通过外部数据源补齐:

  • IP地理信息:补充国家、省份、城市、运营商、经纬度
  • 资产属性关联:将IP映射至业务系统、责任人、资产等级
  • 威胁情报碰撞:源/目的IP与云端情报库实时比对,标记恶意IP、C2节点
  • 账号上下文:AK/Session关联至具体用户身份与权限范围

分析层:从单点日志到攻击链还原

关联分析引擎

关联分析是LAS区别于日志存储系统的核心能力,它将离散日志拼接为完整攻击故事。

关联分析类型

  • 时序关联:识别特定时间窗口内的攻击序列(如“扫描→漏洞利用→提权→持久化”)
  • 状态关联:基于资产状态变化触发(如“正常用户→异常时间登录→敏感文件访问”)
  • 跨域关联:打通云产品域(AK调用)、主机域(进程活动)、容器域(Pod编排)、网络域(流日志)的孤岛数据
  • 统计关联:基线偏离检测(如单IP登录失败次数突增)

引擎技术特性

  • 基于流式计算的内存关联引擎,而非事后SQL批处理,实现毫秒级实时关联
  • 图形化规则编排界面,安全分析师可拖拽式自定义关联逻辑
  • 内置50+开箱即用分析场景,覆盖非法访问、横向移动、权限提升、数据泄露等常见威胁

实体建模与风险拓扑

UModel等实体建模技术将离散日志映射为以资产为核心的关联图谱:

  • 云产品域:以AK为起点,追踪API调用链,最终定位至受影响的云资源(OSS Bucket、ECS实例)
  • 主机域:以主机为锚点,下钻至进程、文件、网络连接
  • 容器域:自顶向下解析集群→节点→命名空间→Pod→容器内进程

当告警触发时,系统自动生成风险拓扑图,直观呈现攻击入口、横向移动路径、受影响资产范围,将溯源时间从天级压缩至分钟级。

AI/ML智能分析

传统规则存在覆盖度与误报率矛盾,AI能力成为我们LAS的差异化优势:

  • 智能日志解析:大模型自动识别未定义日志格式,生成推荐解析规则,降低接入门槛
  • 异常行为检测:基于历史基线学习,识别低频高危操作(如首次访问敏感表、异常时段API调用)
  • 告警智能降噪:对海量告警进行聚合分类,抑制重复告警与误报
  • 语义理解检索:支持自然语言查询(如“查找昨夜所有失败登录记录”),降低使用门槛

威胁狩猎

区别于被动告警,威胁狩猎支持主动搜寻:

  • 狩猎大盘:针对高频失败登录、敏感资源集中访问、异常公网连接等场景提供专项分析视图
  • IOC回溯:输入威胁情报IOC(IP/域名/哈希),一键回溯历史日志中所有关联痕迹
  • 假设驱动分析:安全分析师可自定义狩猎假设(如“是否存在隐蔽隧道通信”),系统提供交互式探索工具集

呈现层:数据可读、可查、可用

多角色工作台

不同角色关注视角迥异,LAS需提供差异化仪表板:

  • CISO/管理者:整体安全态势评分、合规达标率、事件趋势、部门风险排名
  • 安全分析师:实时告警流、待处置事件、关联分析结果、狩猎工具入口
  • 审计员:合规报表生成、审计记录检索、证据链导出

智能检索能力

  • 全文检索:亿级日志秒级返回结果
  • 多维度筛选:支持200+字段灵活组合查询,条件可保存为模板
  • 检索上下文:查看单条日志前后时间窗口的关联日志,快速还原事件背景
  • 自然语言查询:AI加持下支持“找出昨晚到今晨所有来自境外的失败登录”类自然语言输入

可视化分析

  • 图表类型覆盖直方图、折线图、饼图、面积图、热力图、桑基图
  • 支持同比/环比分析,识别指标异常波动
  • 可视化BI支持自由拖拽维度,自助式探索分析

合规报表体系

内置等级保护、ISO27001、SOX、PCI-DSS、网络安全法等合规报表模板 :

  • 支持自定义报表模板(Word/PDF格式)
  • 周期自动生成并邮件推送
  • 报表内容含统计图表+明细证据,满足审计留痕要求

响应层:从发现到处置的闭环

告警管理

  • 告警聚合:相同根因告警归并,减少告警风暴
  • 告警优先级:结合资产价值、攻击阶段、置信度智能排序
  • 告警处置工作流:支持“未处理→确认中→已处置→误报→忽略”状态流转,处置过程留痕
  • 多通道通知:邮件、短信、钉钉/企微/飞书、SNMP Trap联动第三方

一键溯源与调查

  • 告警调查直达拓扑:从告警一键跳转至风险实体拓扑,展示完整攻击链与受影响资产
  • 进程链分析:从风险进程向上追溯父进程、执行命令、文件操作,向下关联子进程与网络连接
  • 原始日志钻取:穿透至原始日志详情,支撑司法取证级证据固定

SOAR联动

我们企业级LAS需开放北向接口,与SOAR/SIEM/态势感知平台联动:

  • 通过API/Kafka推送告警至SOAR触发自动化剧本
  • 接收外部平台下发的封禁指令,通过syslog等方式反向下发至防火墙/EDR
  • 日志数据作为数据湖基础,供上层AI平台训练分析模型

当然,这点也已经与我们自研的 网络安全产品体系中 SOAR/SIEM/态势感知平台 形成了联动。

关键非功能特性

高性能与可扩展性

  • 分布式架构:采集器、分析引擎、存储层均可水平扩展,应对日志量从GB级向TB级平滑演进
  • 全内存关联分析:关联引擎采用In-Memory计算,避免磁盘I/O瓶颈
  • 动态扩容不中断:集群扩容时日志接收不中断,避免重大安全事件溯源链路断裂

安全合规存储

  • 防篡改:日志签名与验签机制,保障存储完整性
  • 加密存储:敏感字段加密落盘,密钥与数据分离管理
  • 生命周期管理:按策略自动归档至冷存储或磁带库,满足180天以上留存要求
  • 三权分立:系统管理员、安全管理员、审计员权限分离,操作日志不可篡改

自主可控与国产化适配

  • 支持国产芯片(鲲鹏/飞腾)与国产操作系统(麒麟/欧拉)部署
  • 适配国产数据库(达梦/人大金仓/南大通用)日志采集
  • 内置等保2.0、密评、关保合规检查项,适配政务、金融等强合规场景

运维友好性

  • 资产自动发现:主动扫描识别网络内IT资产,自动纳入监控范围
  • 采集器集中管理:统一配置、升级、监控所有采集节点
  • 自身健康监控:监控平台CPU/内存/磁盘/采集延迟等运行指标

场景化应用实例

AK泄露检测与溯源

某企业AccessKey疑似泄露后,LAS从AK操作日志出发:

  1. 检索该AK在泄露时间窗口内的所有API调用记录
  2. 关联主机审计日志,发现API调用来源IP对应的ECS实例
  3. 下钻ECS进程活动,定位到异常Python进程执行了资源遍历脚本
  4. 通过进程链追溯至某开发人员的SSH登录会话
  5. 完整证据链输出至审计报告,支撑事件定责与加固

容器逃逸攻击检测

K8s集群中某Pod触发异常告警:

  1. 容器审计日志显示该Pod内进程尝试挂载宿主机/proc目录
  2. 关联主机文件审计,确认/etc/passwd被非预期写入
  3. 溯源至Pod所属工作负载,发现该服务存在RCE漏洞
  4. 系统自动生成“漏洞Pod→异常进程→敏感文件篡改”的攻击拓扑
  5. 联动SOAR隔离受影响Pod并通知容器安全团队

企业在选型时,建议从采集覆盖面、关联分析深度、溯源可视化能力、AI成熟度、架构扩展性、国产化适配度六个维度综合评估,将LAS定位于安全数据中台的高度进行规划建设,方能在日益复杂的攻防对抗中构建真正有效的检测与响应能力。

产品清单

企业网络安全运营中心产品

  • 资产安全配置管理系统(SCMDB)
  • 终端侦测与响应系统(EDR)
  • 网络侦测与响应系统(NDR)
  • 企业网络资产攻击面管理系统(CAASM)
  • 资产暴露面管理系统(AEMS)
  • 网络安全蜜罐管理系统(HoneyPot)
  • 安全事件收集与告警管理系统(SIEM)
  • 扩展侦测与响应系统(XDR)
  • 多引擎脆弱性扫描系统(VAS)
  • 多源日志审计监测系统(LAS)
  • 网络安全威胁情报中心(TIS)
  • 网络安全漏洞库管理系统(VDBS)
  • 网络安全编排与自动化响应(SOAR)
  • 威胁狩猎系统(THS)
  • 数据库安全审计系统(DSAS)
  • AI智能体安全态势管理系统(AISPM)
  • Web防火墙(WAF)
  • 网站安全监测平台(WSM)
  • 网络安全态势感知平台(SSAP)
  • 网络安全自动化应急响应工具系统(NSRT)
  • 企业网络安全运维工具系统(SecTools)
  • 网络安全自动化等保测评系统(ASES)
  • 浏览器安全监测防护系统(BSMPS)
  • 网络安全用户实体行为分析系统(UEBA)
  • 互联网电信诈骗预警防护系统(TPFWS)
  • 云原生安全管理平台(CNAPP)
  • 自动化渗透测试系统(PTS)
  • 工业企业信息安全监测中心(IoT SOC)
  • 企业智能安全运营中心(AISOC)

企业自动化运维产品

  • 运维智能监控告警管理平台(AIMAMS)
  • 企业网络工具系统(NTools)
  • 自动化测试系统(AutoTest)
  • 自动化运维系统(AutoOps)
  • 企业运维工具系统(OpsTools)
  • 物联网管理系统(IoTS)
  • 软件开发生命周期管理系统(SDLC)
  • IT流程管理系统(ITSM)

企业数字化运营资源管理系统产品

  • 制造执行管理系统(MES)
  • 运输管理系统(TMS)
  • 跨境电商企业资源管理系统(ERP)
  • 企业客户关系管理系统(CRM)
  • 跨境电商仓库管理系统(WMS)
  • 企业财务管理系统(FMS)
  • 企业质量管理系统(QMS)
  • 精准营销管理系统(PMS)
  • 智能生产管理系统(SPMS)
  • 电商BI系统(BI)
  • 智能互联网分布式爬虫系统(AISpider)

About

No description, website, or topics provided.

Resources

Stars

0 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors