# openLAS
**Repository Path**: SteveRocket/openLAS
## Basic Information
- **Project Name**: openLAS
- **Description**: http://www.mdrsec.com
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No
## Statistics
- **Stars**: 0
- **Forks**: 0
- **Created**: 2026-03-30
- **Last Updated**: 2026-07-03
## Categories & Tags
**Categories**: Uncategorized
**Tags**: None
## README
# 多源日志审计监测系统(LAS)
## 关于我们
- 官网:
http://www.mdrsec.com
我们的技术文章和产品概述欢迎浏览我们的门户。
- 公众号:CTO Plus
最新的动态欢迎关注我们官方唯一公众号。
- 作者QQ
更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。
- QQ群
我们官方组建的QQ群,如果您有兴趣也可以加入我们。
- 请喝咖啡
如果感兴趣,也可以请我喝杯咖啡
## 产品核心功能模块




随着企业数字化转型进入深水区,IT架构日益复杂——混合云、容器化、微服务交织共存,网络边界模糊化。与此同时,《网络安全法》明确规定日志留存不少于六个月,等保2.0对安全审计提出从“形式合规”到“实质可控”的硬性要求。然而,多数企业面临**数据孤岛割裂、海量日志淹没关键信号、溯源链路断裂**三重困境:防火墙、IDS、主机、数据库、K8s等各自为政,异构日志格式千差万别,攻击者单次入侵可能留下跨多层的碎片化痕迹,传统SIEM或离散工具难以拼凑完整证据链。
我们的多源日志审计监测系统(Log Audit System,LAS)正是破解上述困局的核心基座——它并非简单的日志存储器,而是集**全量采集、智能解析、跨域关联、威胁狩猎、合规闭环**于一体的智能安全中枢。接下来介绍下我们自研的多源异构日志审计监测系统:
## 核心功能全景架构
我们的多源日志审计监测系统以**全量采集为基础、智能关联为引擎、实体溯源为核心、闭环响应为目标**,在云原生与AI浪潮下持续进化——向下兼容异构数据源,向上赋能安全分析师,向外联动防御体系,向内沉淀威胁知识。
我们的系统遵循“采集-治理-分析-呈现-响应”的分层架构:
| 层级 | 核心能力 | 关键产出 |
|------|----------|----------|
| **采集层** | 多源异构日志全量接入 | 无死角数据覆盖 |
| **治理层** | 标准化、过滤归并、富化补齐 | 高质量可分析数据 |
| **分析层** | 关联引擎、AI检测、威胁建模 | 精准告警与事件还原 |
| **呈现层** | 可视化仪表、智能检索、报表 | 可读可查可用 |
| **响应层** | 告警处置、工单联动、溯源拓扑 | 闭环运营 |
## 采集层:多源异构日志的全量接入
### 多协议兼容与主动被动混合采集
采集层是LAS的数据入口,其覆盖面直接决定审计盲区的大小。我们的LAS支持以下主流采集方式:
**被动接收类**(适用于网络设备、安全设备):
- Syslog(TCP/UDP 514),网络设备事实标准
- SNMP Trap,设备主动推送告警
- HTTP/HTTPS Webhook,云原生应用首选
**主动拉取类**(适用于主机、数据库、应用):
- Agent部署,采集文件审计、进程活动、系统调用等深层运行时数据
- JDBC/ODBC,直连数据库拉取审计表
- WMI/WinRM,Windows环境无Agent采集
- FTP/SFTP/Kafka,批量或流式数据对接
- API集成,对接云平台控制面日志(如操作审计ActionTrail)
**关键特性**:主流厂商产品内置解析规则覆盖200+品牌、400+设备类型,实现“接入即解析” 。对于非标设备,提供图形化规则编排界面,支持正则、分隔符、JSON路径等自定义解析方式。
### 云原生环境深度覆盖
区别于传统日志审计,我们的LAS具备云原生架构的穿透采集能力:
- **容器运行时采集**:通过DaemonSet形态采集器无侵入获取容器内进程执行、文件读写、网络连接等行为日志
- **K8s审计事件**:聚合API Server审计日志、Pod调度事件、编排变更记录
- **云产品日志自动编排**:一键接入VPC流日志、负载均衡访问日志、对象存储访问日志,无需手动配置投递规则
### 采集可靠性保障
- **断点续传**:网络中断时本地缓存,恢复后自动补传
- **采集器状态监测**:集中展示各采集节点健康度,异常自愈告警
- **加密传输**:TLS加密通道保障日志传输机密性
## 治理层:从原始数据到高质量可分析资产
### 标准化与范式化
异构日志统一为结构化数据是后续分析的前提。标准化引擎完成:
- **字段归一**:将不同厂商的“src_ip”与“sourceAddress”映射为统一字段
- **时间戳统一**:多时区日志对齐至UTC或指定时区
- **日志分类标签**:自动识别日志类型(登录认证、配置变更、网络连接、文件操作等)并打标
- **威胁值计算**:根据事件类型、资产重要性、攻击特征等加权计算初始威胁分值
我们的日志审计产品支持200+维度的细粒度解析,解析后字段涵盖日期、事件类型、操作主体、操作对象、行为方式、技术动作、地理信息等关键维度 。
### 过滤与归并压缩
海量日志中存在大量冗余噪声,治理层需提供:
- **过滤规则**:丢弃指定来源、指定类型或匹配正则的低价值日志,也可将过滤后数据转发至外部系统
- **归并聚合**:在时间窗口内将同源同类型重复事件聚合为一条,附加“重复计数”字段,压缩比可达10:1以上,显著降低存储与分析压力
- **敏感信息脱敏**:对日志中嵌入的手机号、身份证等敏感字段执行哈希或掩码处理,满足数据安全合规要求
### 上下文富化
原始日志信息有限,需通过外部数据源补齐:
- **IP地理信息**:补充国家、省份、城市、运营商、经纬度
- **资产属性关联**:将IP映射至业务系统、责任人、资产等级
- **威胁情报碰撞**:源/目的IP与云端情报库实时比对,标记恶意IP、C2节点
- **账号上下文**:AK/Session关联至具体用户身份与权限范围
## 分析层:从单点日志到攻击链还原
### 关联分析引擎
关联分析是LAS区别于日志存储系统的核心能力,它将离散日志拼接为完整攻击故事。
**关联分析类型**:
- **时序关联**:识别特定时间窗口内的攻击序列(如“扫描→漏洞利用→提权→持久化”)
- **状态关联**:基于资产状态变化触发(如“正常用户→异常时间登录→敏感文件访问”)
- **跨域关联**:打通云产品域(AK调用)、主机域(进程活动)、容器域(Pod编排)、网络域(流日志)的孤岛数据
- **统计关联**:基线偏离检测(如单IP登录失败次数突增)
**引擎技术特性**:
- 基于流式计算的内存关联引擎,而非事后SQL批处理,实现毫秒级实时关联
- 图形化规则编排界面,安全分析师可拖拽式自定义关联逻辑
- 内置50+开箱即用分析场景,覆盖非法访问、横向移动、权限提升、数据泄露等常见威胁
### 实体建模与风险拓扑
UModel等实体建模技术将离散日志映射为以资产为核心的关联图谱:
- **云产品域**:以AK为起点,追踪API调用链,最终定位至受影响的云资源(OSS Bucket、ECS实例)
- **主机域**:以主机为锚点,下钻至进程、文件、网络连接
- **容器域**:自顶向下解析集群→节点→命名空间→Pod→容器内进程
当告警触发时,系统自动生成**风险拓扑图**,直观呈现攻击入口、横向移动路径、受影响资产范围,将溯源时间从天级压缩至分钟级。
### AI/ML智能分析
传统规则存在覆盖度与误报率矛盾,AI能力成为我们LAS的差异化优势:
- **智能日志解析**:大模型自动识别未定义日志格式,生成推荐解析规则,降低接入门槛
- **异常行为检测**:基于历史基线学习,识别低频高危操作(如首次访问敏感表、异常时段API调用)
- **告警智能降噪**:对海量告警进行聚合分类,抑制重复告警与误报
- **语义理解检索**:支持自然语言查询(如“查找昨夜所有失败登录记录”),降低使用门槛
### 威胁狩猎
区别于被动告警,威胁狩猎支持主动搜寻:
- **狩猎大盘**:针对高频失败登录、敏感资源集中访问、异常公网连接等场景提供专项分析视图
- **IOC回溯**:输入威胁情报IOC(IP/域名/哈希),一键回溯历史日志中所有关联痕迹
- **假设驱动分析**:安全分析师可自定义狩猎假设(如“是否存在隐蔽隧道通信”),系统提供交互式探索工具集
## 呈现层:数据可读、可查、可用
### 多角色工作台
不同角色关注视角迥异,LAS需提供差异化仪表板:
- **CISO/管理者**:整体安全态势评分、合规达标率、事件趋势、部门风险排名
- **安全分析师**:实时告警流、待处置事件、关联分析结果、狩猎工具入口
- **审计员**:合规报表生成、审计记录检索、证据链导出
### 智能检索能力
- **全文检索**:亿级日志秒级返回结果
- **多维度筛选**:支持200+字段灵活组合查询,条件可保存为模板
- **检索上下文**:查看单条日志前后时间窗口的关联日志,快速还原事件背景
- **自然语言查询**:AI加持下支持“找出昨晚到今晨所有来自境外的失败登录”类自然语言输入
### 可视化分析
- 图表类型覆盖直方图、折线图、饼图、面积图、热力图、桑基图
- 支持同比/环比分析,识别指标异常波动
- 可视化BI支持自由拖拽维度,自助式探索分析
### 合规报表体系
内置等级保护、ISO27001、SOX、PCI-DSS、网络安全法等合规报表模板 :
- 支持自定义报表模板(Word/PDF格式)
- 周期自动生成并邮件推送
- 报表内容含统计图表+明细证据,满足审计留痕要求
## 响应层:从发现到处置的闭环
### 告警管理
- **告警聚合**:相同根因告警归并,减少告警风暴
- **告警优先级**:结合资产价值、攻击阶段、置信度智能排序
- **告警处置工作流**:支持“未处理→确认中→已处置→误报→忽略”状态流转,处置过程留痕
- **多通道通知**:邮件、短信、钉钉/企微/飞书、SNMP Trap联动第三方
### 一键溯源与调查
- **告警调查直达拓扑**:从告警一键跳转至风险实体拓扑,展示完整攻击链与受影响资产
- **进程链分析**:从风险进程向上追溯父进程、执行命令、文件操作,向下关联子进程与网络连接
- **原始日志钻取**:穿透至原始日志详情,支撑司法取证级证据固定
### SOAR联动
我们企业级LAS需开放北向接口,与SOAR/SIEM/态势感知平台联动:
- 通过API/Kafka推送告警至SOAR触发自动化剧本
- 接收外部平台下发的封禁指令,通过syslog等方式反向下发至防火墙/EDR
- 日志数据作为数据湖基础,供上层AI平台训练分析模型
## 关键非功能特性
### 高性能与可扩展性
- **分布式架构**:采集器、分析引擎、存储层均可水平扩展,应对日志量从GB级向TB级平滑演进
- **全内存关联分析**:关联引擎采用In-Memory计算,避免磁盘I/O瓶颈
- **动态扩容不中断**:集群扩容时日志接收不中断,避免重大安全事件溯源链路断裂
### 安全合规存储
- **防篡改**:日志签名与验签机制,保障存储完整性
- **加密存储**:敏感字段加密落盘,密钥与数据分离管理
- **生命周期管理**:按策略自动归档至冷存储或磁带库,满足180天以上留存要求
- **三权分立**:系统管理员、安全管理员、审计员权限分离,操作日志不可篡改
### 自主可控与国产化适配
- 支持国产芯片(鲲鹏/飞腾)与国产操作系统(麒麟/欧拉)部署
- 适配国产数据库(达梦/人大金仓/南大通用)日志采集
- 内置等保2.0、密评、关保合规检查项,适配政务、金融等强合规场景
### 运维友好性
- **资产自动发现**:主动扫描识别网络内IT资产,自动纳入监控范围
- **采集器集中管理**:统一配置、升级、监控所有采集节点
- **自身健康监控**:监控平台CPU/内存/磁盘/采集延迟等运行指标
## 场景化应用实例
### 9.1 AK泄露检测与溯源
某企业AccessKey疑似泄露后,LAS从AK操作日志出发:
1. 检索该AK在泄露时间窗口内的所有API调用记录
2. 关联主机审计日志,发现API调用来源IP对应的ECS实例
3. 下钻ECS进程活动,定位到异常Python进程执行了资源遍历脚本
4. 通过进程链追溯至某开发人员的SSH登录会话
5. 完整证据链输出至审计报告,支撑事件定责与加固
### 9.2 容器逃逸攻击检测
K8s集群中某Pod触发异常告警:
1. 容器审计日志显示该Pod内进程尝试挂载宿主机/proc目录
2. 关联主机文件审计,确认/etc/passwd被非预期写入
3. 溯源至Pod所属工作负载,发现该服务存在RCE漏洞
4. 系统自动生成“漏洞Pod→异常进程→敏感文件篡改”的攻击拓扑
5. 联动SOAR隔离受影响Pod并通知容器安全团队
企业在选型时,建议从**采集覆盖面、关联分析深度、溯源可视化能力、AI成熟度、架构扩展性、国产化适配度**六个维度综合评估,将LAS定位于安全数据中台的高度进行规划建设,方能在日益复杂的攻防对抗中构建真正有效的检测与响应能力。
## 产品清单
### 企业网络安全运营中心产品
- 资产安全配置管理系统(SCMDB)
- 终端侦测与响应系统(EDR)
- 网络侦测与响应系统(NDR)
- 企业网络资产攻击面管理系统(CAASM)
- 资产暴露面管理系统(AEMS)
- 网络安全蜜罐管理系统(HoneyPot)
- 安全事件收集与告警管理系统(SIEM)
- 扩展侦测与响应系统(XDR)
- 多引擎脆弱性扫描系统(VAS)
- 多源日志审计监测系统(LAS)
- 网络安全威胁情报中心(TIS)
- 网络安全漏洞库管理系统(VDBS)
- 网络安全编排与自动化响应(SOAR)
- 威胁狩猎系统(THS)
- 数据库安全审计系统(DSAS)
- AI智能体安全态势管理系统(AISPM)
- Web防火墙(WAF)
- 网站安全监测平台(WSM)
- 网络安全态势感知平台(SSAP)
- 网络安全自动化应急响应工具系统(NSRT)
- 企业网络安全运维工具系统(SecTools)
- 网络安全自动化等保测评系统(ASES)
- 浏览器安全监测防护系统(BSMPS)
- 网络安全用户实体行为分析系统(UEBA)
- 互联网电信诈骗预警防护系统(TPFWS)
- 云原生安全管理平台(CNAPP)
- 自动化渗透测试系统(PTS)
- 工业企业信息安全监测中心(IoT SOC)
- 企业智能安全运营中心(AISOC)
### 企业自动化运维产品
- 运维智能监控告警管理平台(AIMAMS)
- 企业网络工具系统(NTools)
- 自动化测试系统(AutoTest)
- 自动化运维系统(AutoOps)
- 企业运维工具系统(OpsTools)
- 物联网管理系统(IoTS)
- 软件开发生命周期管理系统(SDLC)
- IT流程管理系统(ITSM)
### 企业数字化运营资源管理系统产品
- 制造执行管理系统(MES)
- 运输管理系统(TMS)
- 跨境电商企业资源管理系统(ERP)
- 企业客户关系管理系统(CRM)
- 跨境电商仓库管理系统(WMS)
- 企业财务管理系统(FMS)
- 企业质量管理系统(QMS)
- 精准营销管理系统(PMS)
- 智能生产管理系统(SPMS)
- 电商BI系统(BI)
- 智能互联网分布式爬虫系统(AISpider)