系统演示
直观了解 SysArmor 的核心能力
数据仪表盘
威胁告警
溯源分析
系统架构
模块化设计与端到端数据流
graph LR
A[Collector] -->|Events| B[Middleware]
B -->|Stream| C[Processor]
C -->|Alerts| D[Indexer]
E[Manager] -.->|Manage| A
E -.->|Manage| B
E -.->|Manage| C
E -.->|Query| D
F[ML Services] -.->|Enhance| C
style A fill:#dbeafe,stroke:#3b82f6,stroke-width:3px
style B fill:#d1fae5,stroke:#10b981,stroke-width:3px
style C fill:#fef3c7,stroke:#f59e0b,stroke-width:3px
style D fill:#fecaca,stroke:#ef4444,stroke-width:3px
style E fill:#e9d5ff,stroke:#9f7aea,stroke-width:3px
style F fill:#fef3c7,stroke:#f59e0b,stroke-width:3px
平台基础设施
数据中间件
Vector + Kafka 标准化数据接入
流式处理
Flink 实时事件转换与检测
索引存储
OpenSearch 告警索引与检索
控制平面
Manager API 统一编排
Web 界面
告警可视化与运维管理
监控系统
Prometheus 系统监控
核心能力
硬件-系统-软件协同设计的三大技术突破
全面安全日志
硬件-系统协同设计
通过硬件负载卸载和安全资源隔离,实现全面安全的系统日志采集,保障日志的完整与安全
• NoDrop:多线程安全采集
• DPUaudit
实时高精智能检测
系统-软件协同设计
运用斯坦纳树抽象和威胁情报知识库,实现全面精确的智能威胁检测,保证检测的实时与精确
• NodLink:首个在线溯源检测系统
• 数量级准确性提升
分析效率显著提升
威胁语义理解
通过威胁程度评估和威胁步骤理解,结合实时知识库和大语言模型,实现基于攻击生命周期的语义级威胁行为理解
• KnowHow:攻击行为理解
• 自然语言报告生成
演进路线
从 Agentless 到 Agent + ML 的完整方案
v0.1.0 - Agentless 首发
- rsyslog/auditd 零侵入采集
- Kafka + Flink + OpenSearch 流式处理管道
- 兼容 sysdig/falco 规则检测引擎
v0.2.0+ - Agent + ML
- 策略下发与自动响应
- NodLink 异常告警 + KnowHow 威胁理解
- 智能体深度分析
统一模型
Agentless 与 Agent 共享数据格式与接入接口
渐进演进
从快速部署到深度采集的平滑过渡
开放扩展
支持wazuh等开源组件
相关研究基础
北京大学计算机学院操作系统实验室的系统安全研究成果
NoDrop
USENIX Security 2023
多线程架构的安全可信溯源日志采集方案,基于 threadlet 实现资源隔离
ProvWeb
IEEE TDSC 2023
系统溯源视角的恶意网站检测,F1 Score 达 93.7%~99.7%
NodLink
NDSS 2024
首个在线溯源检测系统,实现高效准确的实时 APT 攻击检测与调查
KnowHow
NDSS 2026
实时高效的 APT 攻击行为理解与推理,基于攻击生命周期建模
DPUaudit
HPCA 2025
DPU辅助的基于拉取架构的近零成本系统审计方案
RT-NoDrop
RTSS 2025
实时系统的可预测和安全系统审计方案
ProvAudit
IEEE TDSC 2025
通过系统溯源数据增强高级隐私推理
Query Provenance Analysis
S&P 2025
针对基于查询的黑盒攻击的高效且鲁棒的防御方案
北京大学计算机学院操作系统实验室 长期从事泛在计算环境下的操作系统安全研究,在系统溯源分析、攻击检测与防护、AI 系统安全等方面取得突破性成果。 查看详情 →