SysArmor

系统演示

直观了解 SysArmor 的核心能力

实时监控系统状态和威胁态势

数据仪表盘

智能检测异常行为和安全事件

威胁告警

语义级攻击行为理解和推理

溯源分析

实时监控

智能检测

深度溯源

高性能

系统架构

模块化设计与端到端数据流

graph LR
    A[Collector] -->|Events| B[Middleware]
    B -->|Stream| C[Processor]
    C -->|Alerts| D[Indexer]
    E[Manager] -.->|Manage| A
    E -.->|Manage| B
    E -.->|Manage| C
    E -.->|Query| D
    F[ML Services] -.->|Enhance| C

    style A fill:#dbeafe,stroke:#3b82f6,stroke-width:3px
    style B fill:#d1fae5,stroke:#10b981,stroke-width:3px
    style C fill:#fef3c7,stroke:#f59e0b,stroke-width:3px
    style D fill:#fecaca,stroke:#ef4444,stroke-width:3px
    style E fill:#e9d5ff,stroke:#9f7aea,stroke-width:3px
    style F fill:#fef3c7,stroke:#f59e0b,stroke-width:3px

平台基础设施

数据中间件

Vector + Kafka 标准化数据接入

流式处理

Flink 实时事件转换与检测

索引存储

OpenSearch 告警索引与检索

控制平面

Manager API 统一编排

Web 界面

告警可视化与运维管理

监控系统

Prometheus 系统监控

高性能处理

分布式流式处理，支持海量数据实时分析

模块化设计

松耦合架构，易于扩展和维护

企业级可靠

成熟开源组件，生产环境验证

核心能力

硬件-系统-软件协同设计的三大技术突破

全面安全日志

硬件-系统协同设计

通过硬件负载卸载和安全资源隔离，实现全面安全的系统日志采集，保障日志的完整与安全

NoDrop：多线程安全采集

DPUaudit：硬件辅助审计

实时高精智能检测

系统-软件协同设计

运用斯坦纳树抽象和威胁情报知识库，实现全面精确的智能威胁检测，保证检测的实时与精确

NodLink：首个在线溯源检测系统

数量级准确性提升

分析效率显著提升

威胁语义理解

通过威胁程度评估和威胁步骤理解，结合实时知识库和大语言模型，实现基于攻击生命周期的语义级威胁行为理解

KnowHow：攻击行为理解

自然语言报告生成

99.9%

日志采集完整性

10x

检测准确性提升

<5%

性能开销

8+

顶会论文

演进路线

从 Agentless 到 Agent + ML 的完整方案

← 向左滑动查看历史版本

当前版本

v0.3.0 2026-02

平台全面升级

Windows ETW 完整支持
威胁管理 API 集成
OpenSearch 威胁模板
Dashboard 实时查询优化

已发布

v0.2.0 2026-01

Armory 架构升级

Core/Components 架构重构
NODLINK 和 Rules 完整教程
NetworkX 和 Flink 图构建
统一评测框架和指标

已发布

v0.1.5 2025-12

Armory 工具包

Armory 检测器开发框架
ETL 流水线和数据模型
CLI 工具和 HTTP 服务
图可视化和评测框架

已发布

v0.1.0 2025-10

Agentless 基础版

rsyslog/auditd 零侵入采集
Kafka + Flink + OpenSearch 流处理
Falco 规则引擎检测
Web Dashboard 和 API

设计原则

统一模型

Agentless 与 Agent 共享数据格式与接入接口

渐进演进

从快速部署到深度采集的平滑过渡

开放扩展

支持 wazuh 等开源组件

未来愿景

打造世界领先的智能化终端安全平台，持续推动硬件-系统-软件协同设计创新，为企业和组织提供更强大、更智能的安全防护能力。

新一代智能化终端入侵检测和溯源分析系统