Skip to content

zrf-rocket/openSSAP

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

3 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

网络安全态势感知平台(SSAP)

关于我们

我们的技术文章和产品概述欢迎浏览我们的门户。

  • 公众号:CTO Plus

最新的动态欢迎关注我们官方唯一公众号。

微信公众号

  • 作者QQ

更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。

我的QQ

  • QQ群

我们官方组建的QQ群,如果您有兴趣也可以加入我们。

QQ群

  • 请喝咖啡

如果感兴趣,也可以请我喝杯咖啡

请我喝咖啡

产品核心功能模块

作为长期深耕企业级网络安全领域的产品专家,我见证并参与了安全运营从“被动防御”向“主动感知”的艰难转型。在这个过程中,网络安全态势感知平台(SSAP, Security Situation Awareness Platform) 已不再是“可选的安全大屏”,而演变为现代企业安全体系的中枢神经系统

这里我将为大家分享下我们公司开发的网络安全态势感知平台,以下将简称SSAP平台或SSAP系统

SSAP核心功能(从看见到行动)

真正的态势感知不是数据的堆砌,而是数据、信息、知识与决策的转化链。

1. 全维数据资产测绘与暴露面管理

本质:解决“不知道有什么,就不知道保护什么”的痛点。

  • 动态资产指纹识别:不仅识别IP、域名,还能深度识别操作系统、中间件、数据库、Web应用、API接口及IoT设备。支持云原生环境(容器、Pod、微服务)的自动发现。
  • 暴露面收敛分析:自动检测非授权开放端口、影子IT资产、过期的SSL证书、敏感服务(如Redis未授权访问)暴露情况。
  • 资产关联拓扑:可视化呈现资产间的访问关系与依赖链路,定位“关键风险路径”。

2. 多源异构日志聚合与标准化

本质:打破数据孤岛,让不同厂商的设备“说同一种语言”。

  • 全协议采集:支持Syslog、SNMP、NetFlow、sFlow、SFTP、Kafka、API等多种协议。
  • 泛在数据接入:覆盖防火墙、IDS/IPS、WAF、EDR、NDR、邮件网关、DNS服务器、云安全组、身份认证系统(AD)乃至业务应用日志。
  • 智能范式化(N-Normalization):将不同厂商的原始日志实时解析为统一字段模型(如源IP、目的IP、时间、事件类型、威胁等级),确保分析无歧义。

3. 多维威胁检测与风险狩猎

本质:从“报警洪水”中精准定位真正的威胁。

  • 检测引擎矩阵
    • 规则引擎:基于Sigma规则、自定义IOC(失陷指标)进行实时匹配。
    • UEBA引擎:通过用户与实体行为基线,检测内部横向移动、异常登录时间、数据异常外传等“潜伏威胁”。
    • 机器学习检测:利用聚类、分类算法发现DGA域名、隐蔽信道、加密流量中的恶意行为。
    • 沙箱联动:对可疑文件进行动态行为分析,自动提取静态与动态IOC。
  • 攻击链映射:将离散告警映射到MITRE ATT&CK框架,清晰展示攻击处于侦察、武器化、投递、利用、安装、C2、行动哪一阶段。

4. 全局态势可视化与态势感知

本质:从枯燥报表到决策者“一眼看懂”的战场地图。

  • 分层驾驶舱
    • 综合安全态势:攻击来源地理分布、行业攻击热度、整体风险评分。
    • 资产风险态势:按资产重要性加权显示高危、脆弱性资产热力图。
    • 攻击态势:实时攻击链动画、漏洞利用趋势、端口扫描频率。
    • 运行态势:安全设备健康度、日志处理吞吐量、存储容量预警。
  • 自定义视图:支持为CISO、安全分析师、运维工程师、合规审计等不同角色定制专属仪表板。

5. 智能事件分析与调查取证

本质:将数百条告警压缩为少数几个“安全事件”。

  • 事件降噪与聚合:基于时间、IP、攻击手法等维度,将重复、相关的告警合并为一个事件。
  • 攻击故事线:自动关联同一攻击ID的侦察、入侵、持久化、权限提升、数据窃取行为,形成自然语言描述的时间轴。
  • 深度包检索:支持PB级历史日志的秒级检索,按五元组、载荷特征、正则表达式快速定位线索。
  • 实体时间线:针对某个主机、用户或文件,绘制其全生命周期的行为轨迹。

6. 自动化编排与响应(SOAR融合)

本质:改变“人肉运维”,将MTTR(平均响应时间)从小时级降至分钟级。

  • 剧本工作流:预置/自定义响应剧本,如“当检测到勒索病毒活动时,自动隔离主机、快照备份、阻断C2域名、创建工单并发送钉钉/邮件告警”。
  • 联动设备库:与防火墙、交换机、EDR、WAF、负载均衡器等30+种设备建立动作级API联动。
  • 工单与闭环:与Jira、ServiceNow、ITSM系统对接,实现“发现-研判-处置-验证-关闭”的全流程闭环管理。

系统关键特性

仅有功能是不够的,我们的企业级SSAP平台满足大规模、高复杂、强合规下的“非功能性”要求。

特性1:超大规模下的弹性与高性能

  • 分布式流处理架构:基于Kafka+Flink或类似流计算引擎,支持每天PB级日志量、每秒数十万EPS(事件数)的实时处理。
  • 热温冷数据分层:近期数据驻留SSD(热)、中期存于HDD(温)、远期压缩归档至对象存储或Hadoop(冷),平衡成本与查询效率。
  • 水平扩展能力:不加锁地增加采集器、处理器、存储节点,无缝扩容至数万台资产规模。

特性2:云原生与混合云适配

  • 统一管理平面:一套平台同时纳管私有云、公有云(AWS、Azure、阿里云)、边缘节点及本地IDC资产。
  • 轻量级采集探针:支持以DaemonSet或Sidecar方式部署于K8s集群,自动采集容器日志、网络流量、API网关日志。
  • 多云日志集成:原生对接CloudTrail、Flow Logs、CloudWatch、OSS等云原生日志服务。

特性3:开放架构与生态集成

  • 南北向标准API:RESTful API全量开放,可被第三方SOC、SIEM、Ticketing系统调用,也可从外部威胁情报源拉取数据。
  • 威胁情报生态:内置支持STIX/TAXII协议,无缝接入商业威胁情报(如VirusTotal、微步在线)及开源情报(如MISP)。
  • 插件化解析器:用户可通过自定义解析脚本(如Python DSL)快速接入未预定义的新日志类型,无需升级版本。

特性4:精准的误报抑制与可解释性

  • 自适应基线:对每个资产/用户动态建立正常行为模型,而非使用固定阈值,大幅降低“合规但无害”的误报。
  • 置信度评分:每条告警附带动态置信分(0-100),并结合上下文证据(如该IP同时有漏洞扫描失败+低频爆破+从未有过登录历史)加权计算。
  • 可解释AI:机器学习模型的判断附有贡献因子(Top 3特征),如“判定为异常登录,主要因为:地理位置非常用国家(贡献67%)、时间非工作时间(22%)、设备新(11%)”。

特性5:合规审计与报告自动化

  • 内置合规矩阵:预置等保2.0、ISO 27001、GDPR、PCI-DSS、HIPAA、SOX等合规要求的控制映射表。
  • 自动证据包:针对某个合规控制项(如“登录失败审计”),自动检索并生成时间范围内的所有相关日志、告警、处置记录。
  • 一键报告:支持按日、周、月、季度生成面向管理层、监管机构、客户的不同颗粒度报告(PDF/Excel/Word),并可定制公司Logo与安全术语表。

特性6:高可用与灾备机制

  • 无单点故障:采集器集群、管理节点、存储集群均支持主备或多活冗余。
  • 断点续传:采集器本地缓存机制,即使网络中断或平台重启,数据也不会丢失,恢复后自动补齐。
  • 异地容灾:支持双活数据中心或主备集群,RPO(恢复点目标)≤5分钟,RTO(恢复时间目标)≤30分钟。

最后

我们的企业级网络安全态势感知平台-SSAP,已演变为一个 “数据+分析+行动” 的闭环系统,从“平台”到“智能安全运营大脑”的升级。它不再是孤立的日志查看器或告警大屏,而是具备:

  • 看得全(全资产、全流量、全日志)
  • 认得准(低误报、高检出、ATT&CK映射)
  • 查得快(PB级秒级检索)
  • 动得了(自动化响应编排)
  • 合规易(内置标准、一键出报告)
  • 溯源取证、降低海量告警误报,让你的安全团队从疲惫的告警追逐者,转变为主动的风险控制者。

后面,我们的SSAP将向 XDR(扩展检测与响应)ASM(攻击面管理) 深度融合演进,并引入大语言模型实现自然语言查询与自动报告生成。

产品清单

企业网络安全运营中心产品

  • 资产安全配置管理系统(SCMDB)
  • 终端侦测与响应系统(EDR)
  • 网络侦测与响应系统(NDR)
  • 企业网络资产攻击面管理系统(CAASM)
  • 资产暴露面管理系统(AEMS)
  • 网络安全蜜罐管理系统(HoneyPot)
  • 安全事件收集与告警管理系统(SIEM)
  • 扩展侦测与响应系统(XDR)
  • 多引擎脆弱性扫描系统(VAS)
  • 多源日志审计监测系统(LAS)
  • 网络安全威胁情报中心(TIS)
  • 网络安全漏洞库管理系统(VDBS)
  • 网络安全编排与自动化响应(SOAR)
  • 威胁狩猎系统(THS)
  • 数据库安全审计系统(DSAS)
  • AI智能体安全态势管理系统(AISPM)
  • Web防火墙(WAF)
  • 网站安全监测平台(WSM)
  • 网络安全态势感知平台(SSAP)
  • 网络安全自动化应急响应工具系统(NSRT)
  • 企业网络安全运维工具系统(SecTools)
  • 网络安全自动化等保测评系统(ASES)
  • 浏览器安全监测防护系统(BSMPS)
  • 网络安全用户实体行为分析系统(UEBA)
  • 互联网电信诈骗预警防护系统(TPFWS)
  • 云原生安全管理平台(CNAPP)
  • 自动化渗透测试系统(PTS)
  • 工业企业信息安全监测中心(IoT SOC)
  • 企业智能安全运营中心(AISOC)

企业自动化运维产品

  • 运维智能监控告警管理平台(AIMAMS)
  • 企业网络工具系统(NTools)
  • 自动化测试系统(AutoTest)
  • 自动化运维系统(AutoOps)
  • 企业运维工具系统(OpsTools)
  • 物联网管理系统(IoTS)
  • 软件开发生命周期管理系统(SDLC)
  • IT流程管理系统(ITSM)

企业数字化运营资源管理系统产品

  • 制造执行管理系统(MES)
  • 运输管理系统(TMS)
  • 跨境电商企业资源管理系统(ERP)
  • 企业客户关系管理系统(CRM)
  • 跨境电商仓库管理系统(WMS)
  • 财务管理系统(FMS)
  • 质量管理系统(QMS)
  • 精准营销管理系统(PMS)
  • 智能生产管理系统(SPMS)
  • 电商BI系统(BI)
  • 智能互联网分布式爬虫系统(AISpider)

About

No description, website, or topics provided.

Resources

Stars

0 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors