# A-SysArmor **Repository Path**: ckyanos/A-SysArmor ## Basic Information - **Project Name**: A-SysArmor - **Description**: A-SysArmor focuses on system security, exploring cutting-edge technologies and enhancing system defense capabilities based on AI. - **Primary Language**: Unknown - **License**: MulanPSL-2.0 - **Default Branch**: dev - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 9 - **Created**: 2025-12-10 - **Last Updated**: 2025-12-10 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # A-SysArmor [English Version README click here](README.md) ## 介绍 A-SysArmor是一个专注于操作系统安全的开源项目,旨在通过人工智能(AI)和机器学习(ML)技术,增强系统的安全防护能力,并提升安全分析的效率。A-SysArmor 提供了一套完整的解决方案,能够实时检测系统异常行为,帮助用户快速发现潜在的安全威胁,从而有效防御入侵和攻击。A-SysArmor 项目是由北京大学计算机学院操作系统实验室的研究团队,在华为技术有限公司资助下完成研究和开发。 目前,A-SysArmor 已实现系统入侵检测能力,其核心功能包括数据采集、行为分析和异常检测。项目采用模块化设计,主要包含以下两个核心模块: ### 核心模块 #### 1. **NODROP**: 系统数据采集模块 NODROP 是 A-SysArmor 的数据采集引擎,负责从端侧(endpoint)实时采集系统数据。它能够监控和记录多种系统行为,包括但不限于: - 进程的创建与终止 - 文件读写操作 - 网络访问行为 - 系统调用信息 NODROP 目前主要聚焦于系统调用信息的采集,这些数据是检测异常行为的重要基础。采集到的数据以文件形式存储,并支持通过分布式消息队列(如 Pulsar、Kafka)将数据高效上报至检测服务器,便于后续分析。 ![](figs/NODROP.png) **了解更多**:详细功能介绍和使用指南请参考 NODROP 文档。详细介绍参考[NODROP文档](https://gitee.com/openeuler/A-SysArmor/blob/master/NODROP/README.md) #### 2. **NODLINK**: 异常行为检测模块 NODLINK 是 A-SysArmor 的核心检测引擎,部署在服务器侧(server),负责对 NODROP 采集的数据进行深度分析。基于 AI/ML 技术,NODLINK 能够实时识别系统中的异常行为,并生成可视化告警图,帮助安全团队快速高效地定位潜在威胁。 NODLINK 当前支持处理 JSON 格式的数据,数据格式规范请参考 [NODLINK 数据格式文档](https://gitee.com/openeuler/A-SysArmor/blob/master/NODLINK/README.md#data-format)。通过灵活的算法和模型配置,NODLINK 可以适应不同的安全场景,为用户提供高效、精准的检测能力。 ![](figs/NODLINK.png) **了解更多**:详细功能介绍和使用指南请参考 NODLINK 文档。详细介绍参考[NODLINK文档](https://gitee.com/openeuler/A-SysArmor/blob/master/NODLINK/README.md) ## 快速开始 1. **安装NODROP**:在端侧部署NODROP,配置数据采集规则并启动数据采集任务。请参考 [NODROP 安装指南](https://gitee.com/openeuler/A-SysArmor/blob/master/NODROP/README.md)。 2. **部署NODLINK**:在服务器侧部署NODLINK,配置AI检测模型并启动实时检测服务。请参考 [NODLINK 安装指南](https://gitee.com/openeuler/A-SysArmor/blob/master/NODLINK/README.md)。 3. **数据上报与分析**:NODROP 采集的数据通过 Pulsar/Kafka 消息队列传送至 NODLINK,NODLINK 对数据进行分析并生成告警图。用户可以通过 Web 界面查看实时告警信息,及时发现系统异常行为(TODO)。 ## 文献发表 - P. Jiang, R. Huang, D. Li, Y. Guo, X. Chen, J. Luan, Y. Ren, and X. Hu, "Auditing frameworks need resource isolation: A systematic study on the super producer threat to system auditing and its mitigation," in Proceedings of the USENIX Security Symposium (USENIX Security), 2023, pp. 355–372. - S. Li, F. Dong, X. Xiao, H. Wang, F. Shao, J. Chen, Y. Guo, X. Chen, and D. Li, "NODLINK: An online system for fine-grained apt attack detection and investigation." in Proceedings of the Network and Distributed System Security Symposium (NDSS), 2024. ## 关于我们 A-SysArmor 项目由北京大学计算机学院操作系统实验室的研究团队开发。如果对系统有建议和问题,以及对项目感兴趣或寻求合作,请联系我们。 - 李锭:[个人主页](https://marapapman.github.io/),ding_li@pku.edu.cn - 郭耀:[个人主页](https://yaoguopku.github.io/),yaoguo@pku.edu.cn - 陈向群:[个人主页](https://cs.pku.edu.cn/info/1210/1964.htm),cherrysei.pku.edu.cn - 蒋鹏:[个人主页](https://jpdz.github.io/pengjiang/),pengjiang@seu.edu.cn - 李少飞:[个人主页](https://shaofei-li.org/),lishaofei@pku.edu.cn - 孟榆涵:mengyuhan@pku.edu.cn - 黄瑞哲:ruizhe.huang@stu.pku.edu.cn - 王浩宇:wanghaoyu@pku.edu.cn - 蒋瀚林:2401112011@stu.pku.edu.cn