EquiSaaS-BD/BinaryWebEngine

GitHub: EquiSaaS-BD/BinaryWebEngine

将 WAF、HIDS、NIDS、文件完整性监控、恶意软件扫描、ML 异常检测与威胁情报整合为单一二进制引擎的 Linux 一体化安全监控平台,通过实时仪表板解决安全工具碎片化与告警疲劳问题。

Stars: 0 | Forks: 0

# BinaryWebEngine BinaryWebEngine 是一个面向 Linux 的一体化安全监控平台。它将 WAF、HIDS、NIDS、文件完整性监控、恶意软件扫描、ML 异常检测、杀伤链重建和威胁情报整合到一个单一的引擎中,并配备实时仪表板。只需一个仪表板即可监控单台服务器或大批机器。 ## BinaryWebEngine 解决的问题 | 问题 | 解决方式 | |---|---| | 安全工具过多 | 一个二进制文件即可替代 WAF + HIDS + NIDS + FIM + scanner + SIEM agent | | 告警疲劳 | 去重、关联、误报评分、严重程度过滤 | | 多服务器可见性 | Hub & Spoke 集群模式 —— 所有服务器集中在一个仪表板 | | 事件响应缓慢 | AI 解释 + 自动修复按钮 + 杀伤链重建 | | 配置漂移 | 带修复命令的 CIS 加固审计器 | | 暴力破解攻击 | 登录监控(支持 9 种服务),通过 WAF + UFW 自动拦截 | | 缺乏威胁情报 | AbuseIPDB 集成,根据滥用评分自动拦截 | | 合规性报告 | 自动生成高管 PDF 报告 | ## 用户定义 | 用户类型 | 使用场景 | 使用的核心功能 | |---|---|---| | 独立开发者 / 系统管理员 | 单台 VPS,需要基础防护 | WAF、文件监控、登录监控、仪表板概览 | | 安全分析师 | 调查告警,需要上下文 | AI 解释、杀伤链、威胁情报、误报评分 | | MSP / 托管服务提供商 | 为客户管理 10+ 台服务器 | 集群 hub/spoke、来源过滤器、合规报告、SIEM 转发 | | CISO / 合规官 | 需要高管层监督 | 合规 PDF 报告、加固审计、审计追踪、风险态势横幅 | | 渗透测试人员 | 评估客户基础设施 | WAF 测试控制台、恶意软件扫描器、加固审计 | ## AI 原生方法 - **LLM:** 是:AI 助手用于告警解释、聊天和误报评分。授权功能 (`ai_assistant`)。 - **RAG:** 否:没有向量存储,没有 embeddings,没有文档检索。Grounding 交叉验证会将 AI 输出与真实的数据库数据进行比对,但那是验证,而不是 RAG。 - **Graph:** 否:没有图数据库或知识图谱。杀伤链追踪使用扁平数据结构。 - **ML:** 是:两个异常检测器: - **v1** (`anomaly_detector`):Isolation Forest + Welford 滚动统计,用于 HTTP 请求异常检测 - **v2** (`anomaly_detector_v2`):通过 ONNX Runtime 进行 LSTM 序列分析 + Page-Hinkley 概念漂移检测 ## 系统流程 ``` flowchart TB subgraph Input["1. Input Sources"] direction TB I1["HTTP Request
Incoming web traffic"] I2["File Change
Create / Modify / Delete"] I3["Process Event
New process / CPU spike"] I4["Network Connection
New outbound / unusual port"] I5["Login Attempt
SSH / FTP / MySQL / Web"] end subgraph Detection["2. Detection Layer"] direction TB D1["WAF Engine
186 signatures, 25 categories
Rate limiting, custom rules"] D2["File Monitor
SHA-256 baseline
inotify real-time, webshell scan"] D3["Process Monitor
Parent-child heuristics
Cryptominer, resource hijack"] D4["Network Monitor
Non-standard ports
Reverse shell, Tor exit nodes"] D5["Login Monitor
9 services, brute force
Credential stuffing detection"] D6["Anomaly Detector
Isolation Forest, LSTM
Page-Hinkley drift, z-score"] end subgraph Processing["3. Processing & Enrichment"] direction TB P1["Alert Engine
Deduplication (title+IP+module)
Severity scoring, persistence"] P2["Correlation Engine
Cross-module signal matching
Multi-vector attack detection"] P3["Threat Intelligence
AbuseIPDB reputation lookup
CIDR suppression, geo-IP"] P4["Kill Chain
MITRE ATT&CK TA0001-TA0010
7-stage chain reconstruction"] end subgraph AI["4. AI Analysis"] direction TB A1["AI Assistant
LLM alert explanation and ML for detection
"] A2["FP Advisor
Heuristic + AI scoring
Batch analysis"] A3["Action Engine
Tool calling, auto-remediation
Action button suggestions"] end subgraph Output["5. Output & Response"] direction TB O1["Dashboard
Real-time SPA, 14 tabs
SSE live updates"] O2["Blocking
WAF blacklist, UFW/iptables
Auto-block by reputation"] O3["Notifications
Discord, Telegram, Slack
SOAR webhook (HMAC-signed)"] O4["SIEM Forwarding
CEF / JSON / LEEF
TLS / UDP / TCP"] O5["Reports
Executive PDF compliance
Scheduled auto-generation"] end Input --> Detection Detection --> Processing Processing --> AI AI --> Output style Input fill:#1c2333,stroke:#3b82f6,color:#e2e8f0,stroke-width:2px style Detection fill:#161b22,stroke:#800020,color:#e2e8f0,stroke-width:2px style Processing fill:#161b22,stroke:#eab308,color:#e2e8f0,stroke-width:2px style AI fill:#161b22,stroke:#a78bfa,color:#e2e8f0,stroke-width:2px style Output fill:#161b22,stroke:#22c55e,color:#e2e8f0,stroke-width:2px ``` ## 潜在影响 KPI 与预期成果 | KPI | 使用 BinaryWebEngine 前 | 使用 BinaryWebEngine 后 | 影响 | |---|---|---|---| | **检测覆盖率** | 1–2 个工具(例如,仅有 WAF 或仅有 fail2ban) | 9 个检测模块(WAF + HIDS + NIDS + FIM + Login + ML + Kill Chain + Intel + Scanner) | 覆盖的攻击面增加 5–10 倍 | | **告警量** | 每台服务器每天 100–500 条原始告警 | 经过去重 + 严重程度过滤后,每天约 20–50 条关联告警 | 告警疲劳减少 80–90% | | **平均检测时间 (MTTD)** | 数小时至数天(日志审查、人工检查) | 几秒钟内(实时 SSE 仪表板 + 自动拦截) | 从数小时/天缩短至几秒钟 | | **平均响应时间 (MTTR)** | 每个告警 30–60 分钟(人工调查) | 每个告警 2–5 分钟(AI 解释 + 一键解决) | 响应速度提升 80–90% | | **暴力破解拦截时间** | 在手动拦截前尝试次数无限制 | 超过阈值后 60 秒内自动拦截 | 100% 自动化,零人工干预 | | **多服务器可见性** | 需分别 SSH 登录每台服务器 | 所有服务器单一仪表板(集群模式) | 减少约 90% 的上下文切换开销 | | **误报率** | 30–50% 的告警属于噪音 | 经过误报评分 + 调优后降至 10–15% | 误报减少 50–70% | | **合规报告** | 手动生成报告(需耗费数天) | 一键 PDF 导出(60 秒) | 报告生成速度提升 99% | | **安全态势评分** | 无基准 / 未知 | 0–100% 的加固审计及修复建议 | 可衡量的持续改善 | | **基础设施成本** | 多种工具、SIEM 许可证、独立的服务器 | 一个二进制文件,无按节点授权 | TCO 降低 60–80% |
标签:AppImage, C2, Web应用防火墙, x64dbg, 后端开发, 威胁情报, 安全监控平台, 安全运营中心, 开发者工具, 恶意软件扫描, 系统加固, 红队行动, 网络映射