# openLAS **Repository Path**: SteveRocket/openLAS ## Basic Information - **Project Name**: openLAS - **Description**: http://www.mdrsec.com - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 0 - **Created**: 2026-03-30 - **Last Updated**: 2026-07-03 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # 多源日志审计监测系统(LAS) ## 关于我们 - 官网:logo http://www.mdrsec.com 我们的技术文章和产品概述欢迎浏览我们的门户。 - 公众号:CTO Plus 最新的动态欢迎关注我们官方唯一公众号。 微信公众号 - 作者QQ 更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。 我的QQ - QQ群 我们官方组建的QQ群,如果您有兴趣也可以加入我们。 QQ群 - 请喝咖啡 如果感兴趣,也可以请我喝杯咖啡 请我喝咖啡 ## 产品核心功能模块 ![](index.jpg) ![](correlation.jpg) ![](real-time.jpg) ![](告警规则.jpg) 随着企业数字化转型进入深水区,IT架构日益复杂——混合云、容器化、微服务交织共存,网络边界模糊化。与此同时,《网络安全法》明确规定日志留存不少于六个月,等保2.0对安全审计提出从“形式合规”到“实质可控”的硬性要求。然而,多数企业面临**数据孤岛割裂、海量日志淹没关键信号、溯源链路断裂**三重困境:防火墙、IDS、主机、数据库、K8s等各自为政,异构日志格式千差万别,攻击者单次入侵可能留下跨多层的碎片化痕迹,传统SIEM或离散工具难以拼凑完整证据链。 我们的多源日志审计监测系统(Log Audit System,LAS)正是破解上述困局的核心基座——它并非简单的日志存储器,而是集**全量采集、智能解析、跨域关联、威胁狩猎、合规闭环**于一体的智能安全中枢。接下来介绍下我们自研的多源异构日志审计监测系统: ## 核心功能全景架构 我们的多源日志审计监测系统以**全量采集为基础、智能关联为引擎、实体溯源为核心、闭环响应为目标**,在云原生与AI浪潮下持续进化——向下兼容异构数据源,向上赋能安全分析师,向外联动防御体系,向内沉淀威胁知识。 我们的系统遵循“采集-治理-分析-呈现-响应”的分层架构: | 层级 | 核心能力 | 关键产出 | |------|----------|----------| | **采集层** | 多源异构日志全量接入 | 无死角数据覆盖 | | **治理层** | 标准化、过滤归并、富化补齐 | 高质量可分析数据 | | **分析层** | 关联引擎、AI检测、威胁建模 | 精准告警与事件还原 | | **呈现层** | 可视化仪表、智能检索、报表 | 可读可查可用 | | **响应层** | 告警处置、工单联动、溯源拓扑 | 闭环运营 | ## 采集层:多源异构日志的全量接入 ### 多协议兼容与主动被动混合采集 采集层是LAS的数据入口,其覆盖面直接决定审计盲区的大小。我们的LAS支持以下主流采集方式: **被动接收类**(适用于网络设备、安全设备): - Syslog(TCP/UDP 514),网络设备事实标准 - SNMP Trap,设备主动推送告警 - HTTP/HTTPS Webhook,云原生应用首选 **主动拉取类**(适用于主机、数据库、应用): - Agent部署,采集文件审计、进程活动、系统调用等深层运行时数据 - JDBC/ODBC,直连数据库拉取审计表 - WMI/WinRM,Windows环境无Agent采集 - FTP/SFTP/Kafka,批量或流式数据对接 - API集成,对接云平台控制面日志(如操作审计ActionTrail) **关键特性**:主流厂商产品内置解析规则覆盖200+品牌、400+设备类型,实现“接入即解析” 。对于非标设备,提供图形化规则编排界面,支持正则、分隔符、JSON路径等自定义解析方式。 ### 云原生环境深度覆盖 区别于传统日志审计,我们的LAS具备云原生架构的穿透采集能力: - **容器运行时采集**:通过DaemonSet形态采集器无侵入获取容器内进程执行、文件读写、网络连接等行为日志 - **K8s审计事件**:聚合API Server审计日志、Pod调度事件、编排变更记录 - **云产品日志自动编排**:一键接入VPC流日志、负载均衡访问日志、对象存储访问日志,无需手动配置投递规则 ### 采集可靠性保障 - **断点续传**:网络中断时本地缓存,恢复后自动补传 - **采集器状态监测**:集中展示各采集节点健康度,异常自愈告警 - **加密传输**:TLS加密通道保障日志传输机密性 ## 治理层:从原始数据到高质量可分析资产 ### 标准化与范式化 异构日志统一为结构化数据是后续分析的前提。标准化引擎完成: - **字段归一**:将不同厂商的“src_ip”与“sourceAddress”映射为统一字段 - **时间戳统一**:多时区日志对齐至UTC或指定时区 - **日志分类标签**:自动识别日志类型(登录认证、配置变更、网络连接、文件操作等)并打标 - **威胁值计算**:根据事件类型、资产重要性、攻击特征等加权计算初始威胁分值 我们的日志审计产品支持200+维度的细粒度解析,解析后字段涵盖日期、事件类型、操作主体、操作对象、行为方式、技术动作、地理信息等关键维度 。 ### 过滤与归并压缩 海量日志中存在大量冗余噪声,治理层需提供: - **过滤规则**:丢弃指定来源、指定类型或匹配正则的低价值日志,也可将过滤后数据转发至外部系统 - **归并聚合**:在时间窗口内将同源同类型重复事件聚合为一条,附加“重复计数”字段,压缩比可达10:1以上,显著降低存储与分析压力 - **敏感信息脱敏**:对日志中嵌入的手机号、身份证等敏感字段执行哈希或掩码处理,满足数据安全合规要求 ### 上下文富化 原始日志信息有限,需通过外部数据源补齐: - **IP地理信息**:补充国家、省份、城市、运营商、经纬度 - **资产属性关联**:将IP映射至业务系统、责任人、资产等级 - **威胁情报碰撞**:源/目的IP与云端情报库实时比对,标记恶意IP、C2节点 - **账号上下文**:AK/Session关联至具体用户身份与权限范围 ## 分析层:从单点日志到攻击链还原 ### 关联分析引擎 关联分析是LAS区别于日志存储系统的核心能力,它将离散日志拼接为完整攻击故事。 **关联分析类型**: - **时序关联**:识别特定时间窗口内的攻击序列(如“扫描→漏洞利用→提权→持久化”) - **状态关联**:基于资产状态变化触发(如“正常用户→异常时间登录→敏感文件访问”) - **跨域关联**:打通云产品域(AK调用)、主机域(进程活动)、容器域(Pod编排)、网络域(流日志)的孤岛数据 - **统计关联**:基线偏离检测(如单IP登录失败次数突增) **引擎技术特性**: - 基于流式计算的内存关联引擎,而非事后SQL批处理,实现毫秒级实时关联 - 图形化规则编排界面,安全分析师可拖拽式自定义关联逻辑 - 内置50+开箱即用分析场景,覆盖非法访问、横向移动、权限提升、数据泄露等常见威胁 ### 实体建模与风险拓扑 UModel等实体建模技术将离散日志映射为以资产为核心的关联图谱: - **云产品域**:以AK为起点,追踪API调用链,最终定位至受影响的云资源(OSS Bucket、ECS实例) - **主机域**:以主机为锚点,下钻至进程、文件、网络连接 - **容器域**:自顶向下解析集群→节点→命名空间→Pod→容器内进程 当告警触发时,系统自动生成**风险拓扑图**,直观呈现攻击入口、横向移动路径、受影响资产范围,将溯源时间从天级压缩至分钟级。 ### AI/ML智能分析 传统规则存在覆盖度与误报率矛盾,AI能力成为我们LAS的差异化优势: - **智能日志解析**:大模型自动识别未定义日志格式,生成推荐解析规则,降低接入门槛 - **异常行为检测**:基于历史基线学习,识别低频高危操作(如首次访问敏感表、异常时段API调用) - **告警智能降噪**:对海量告警进行聚合分类,抑制重复告警与误报 - **语义理解检索**:支持自然语言查询(如“查找昨夜所有失败登录记录”),降低使用门槛 ### 威胁狩猎 区别于被动告警,威胁狩猎支持主动搜寻: - **狩猎大盘**:针对高频失败登录、敏感资源集中访问、异常公网连接等场景提供专项分析视图 - **IOC回溯**:输入威胁情报IOC(IP/域名/哈希),一键回溯历史日志中所有关联痕迹 - **假设驱动分析**:安全分析师可自定义狩猎假设(如“是否存在隐蔽隧道通信”),系统提供交互式探索工具集 ## 呈现层:数据可读、可查、可用 ### 多角色工作台 不同角色关注视角迥异,LAS需提供差异化仪表板: - **CISO/管理者**:整体安全态势评分、合规达标率、事件趋势、部门风险排名 - **安全分析师**:实时告警流、待处置事件、关联分析结果、狩猎工具入口 - **审计员**:合规报表生成、审计记录检索、证据链导出 ### 智能检索能力 - **全文检索**:亿级日志秒级返回结果 - **多维度筛选**:支持200+字段灵活组合查询,条件可保存为模板 - **检索上下文**:查看单条日志前后时间窗口的关联日志,快速还原事件背景 - **自然语言查询**:AI加持下支持“找出昨晚到今晨所有来自境外的失败登录”类自然语言输入 ### 可视化分析 - 图表类型覆盖直方图、折线图、饼图、面积图、热力图、桑基图 - 支持同比/环比分析,识别指标异常波动 - 可视化BI支持自由拖拽维度,自助式探索分析 ### 合规报表体系 内置等级保护、ISO27001、SOX、PCI-DSS、网络安全法等合规报表模板 : - 支持自定义报表模板(Word/PDF格式) - 周期自动生成并邮件推送 - 报表内容含统计图表+明细证据,满足审计留痕要求 ## 响应层:从发现到处置的闭环 ### 告警管理 - **告警聚合**:相同根因告警归并,减少告警风暴 - **告警优先级**:结合资产价值、攻击阶段、置信度智能排序 - **告警处置工作流**:支持“未处理→确认中→已处置→误报→忽略”状态流转,处置过程留痕 - **多通道通知**:邮件、短信、钉钉/企微/飞书、SNMP Trap联动第三方 ### 一键溯源与调查 - **告警调查直达拓扑**:从告警一键跳转至风险实体拓扑,展示完整攻击链与受影响资产 - **进程链分析**:从风险进程向上追溯父进程、执行命令、文件操作,向下关联子进程与网络连接 - **原始日志钻取**:穿透至原始日志详情,支撑司法取证级证据固定 ### SOAR联动 我们企业级LAS需开放北向接口,与SOAR/SIEM/态势感知平台联动: - 通过API/Kafka推送告警至SOAR触发自动化剧本 - 接收外部平台下发的封禁指令,通过syslog等方式反向下发至防火墙/EDR - 日志数据作为数据湖基础,供上层AI平台训练分析模型 ## 关键非功能特性 ### 高性能与可扩展性 - **分布式架构**:采集器、分析引擎、存储层均可水平扩展,应对日志量从GB级向TB级平滑演进 - **全内存关联分析**:关联引擎采用In-Memory计算,避免磁盘I/O瓶颈 - **动态扩容不中断**:集群扩容时日志接收不中断,避免重大安全事件溯源链路断裂 ### 安全合规存储 - **防篡改**:日志签名与验签机制,保障存储完整性 - **加密存储**:敏感字段加密落盘,密钥与数据分离管理 - **生命周期管理**:按策略自动归档至冷存储或磁带库,满足180天以上留存要求 - **三权分立**:系统管理员、安全管理员、审计员权限分离,操作日志不可篡改 ### 自主可控与国产化适配 - 支持国产芯片(鲲鹏/飞腾)与国产操作系统(麒麟/欧拉)部署 - 适配国产数据库(达梦/人大金仓/南大通用)日志采集 - 内置等保2.0、密评、关保合规检查项,适配政务、金融等强合规场景 ### 运维友好性 - **资产自动发现**:主动扫描识别网络内IT资产,自动纳入监控范围 - **采集器集中管理**:统一配置、升级、监控所有采集节点 - **自身健康监控**:监控平台CPU/内存/磁盘/采集延迟等运行指标 ## 场景化应用实例 ### 9.1 AK泄露检测与溯源 某企业AccessKey疑似泄露后,LAS从AK操作日志出发: 1. 检索该AK在泄露时间窗口内的所有API调用记录 2. 关联主机审计日志,发现API调用来源IP对应的ECS实例 3. 下钻ECS进程活动,定位到异常Python进程执行了资源遍历脚本 4. 通过进程链追溯至某开发人员的SSH登录会话 5. 完整证据链输出至审计报告,支撑事件定责与加固 ### 9.2 容器逃逸攻击检测 K8s集群中某Pod触发异常告警: 1. 容器审计日志显示该Pod内进程尝试挂载宿主机/proc目录 2. 关联主机文件审计,确认/etc/passwd被非预期写入 3. 溯源至Pod所属工作负载,发现该服务存在RCE漏洞 4. 系统自动生成“漏洞Pod→异常进程→敏感文件篡改”的攻击拓扑 5. 联动SOAR隔离受影响Pod并通知容器安全团队 企业在选型时,建议从**采集覆盖面、关联分析深度、溯源可视化能力、AI成熟度、架构扩展性、国产化适配度**六个维度综合评估,将LAS定位于安全数据中台的高度进行规划建设,方能在日益复杂的攻防对抗中构建真正有效的检测与响应能力。 ## 产品清单 ### 企业网络安全运营中心产品 - 资产安全配置管理系统(SCMDB) - 终端侦测与响应系统(EDR) - 网络侦测与响应系统(NDR) - 企业网络资产攻击面管理系统(CAASM) - 资产暴露面管理系统(AEMS) - 网络安全蜜罐管理系统(HoneyPot) - 安全事件收集与告警管理系统(SIEM) - 扩展侦测与响应系统(XDR) - 多引擎脆弱性扫描系统(VAS) - 多源日志审计监测系统(LAS) - 网络安全威胁情报中心(TIS) - 网络安全漏洞库管理系统(VDBS) - 网络安全编排与自动化响应(SOAR) - 威胁狩猎系统(THS) - 数据库安全审计系统(DSAS) - AI智能体安全态势管理系统(AISPM) - Web防火墙(WAF) - 网站安全监测平台(WSM) - 网络安全态势感知平台(SSAP) - 网络安全自动化应急响应工具系统(NSRT) - 企业网络安全运维工具系统(SecTools) - 网络安全自动化等保测评系统(ASES) - 浏览器安全监测防护系统(BSMPS) - 网络安全用户实体行为分析系统(UEBA) - 互联网电信诈骗预警防护系统(TPFWS) - 云原生安全管理平台(CNAPP) - 自动化渗透测试系统(PTS) - 工业企业信息安全监测中心(IoT SOC) - 企业智能安全运营中心(AISOC) ### 企业自动化运维产品 - 运维智能监控告警管理平台(AIMAMS) - 企业网络工具系统(NTools) - 自动化测试系统(AutoTest) - 自动化运维系统(AutoOps) - 企业运维工具系统(OpsTools) - 物联网管理系统(IoTS) - 软件开发生命周期管理系统(SDLC) - IT流程管理系统(ITSM) ### 企业数字化运营资源管理系统产品 - 制造执行管理系统(MES) - 运输管理系统(TMS) - 跨境电商企业资源管理系统(ERP) - 企业客户关系管理系统(CRM) - 跨境电商仓库管理系统(WMS) - 企业财务管理系统(FMS) - 企业质量管理系统(QMS) - 精准营销管理系统(PMS) - 智能生产管理系统(SPMS) - 电商BI系统(BI) - 智能互联网分布式爬虫系统(AISpider)