当前,在企业资产安全管控场景中,大多数企业仍主要依赖外部网络空间搜索引擎来被动排查违规托管系统。这种传统手段存在显著短板:一方面,外部扫描数据具有严重的时效滞后性,难以反映资产的实时状态;另一方面,其覆盖范围极为有限,无法有效穿透企业内部复杂的网络环境。所谓的“系统违规托管”,通常指下属单位或业务部门在未经审批的情况下,擅自将系统部署于企业统一的安全管控边界之外(例如私自搭建演示环境)。这些游离于监管之外的“影子系统”往往承载着真实的敏感业务数据,却因缺乏必要的安全防护基线与常态化运维,极易成为黑客攻击的突破口,引发严重的数据泄露与网络安全事件。
本项目是一套面向网络安全领域的违规托管智能识别系统,融合多源数据采集、沙箱化浏览器取证与多模态大模型推理能力,实现对互联网违规托管站点的自动化发现、分析与取证闭环。
一、多源数据智能接入
系统支持手动导入与自动同步双通道数据接入。用户可上传 Excel/CSV 批量提交待检主机;同时深度对接安全分析平台,基于SHA256 签名认证,按可配周期自动拉取外联访问日志排行,经内网过滤与双层去重(24小时窗口 +30天缓存),智能生成分析任务,实现"数据到任务"全自动流转。
二、策略快照与任务编排
任务启动时冻结当前白名单、检测规则与系统配置为策略快照,确保长周期任务执行一致性。全局队列支持优先级插队与断点续跑,僵尸任务自动恢复,连续失败超阈值自动熔断,保障系统稳定运行。
三、沙箱取证与AI研判
分析引擎采用生产者-消费者并发架构,逐主机执行六级流水线:白名单匹配→缓存复用→连通性探测→沙箱截图→质量校验→模型研判。截图服务运行于高强度安全沙箱(非root、只读文件系统、权限最小化、网络隔离、资源限额),通过 Playwright全页滚动截图完整呈现页面内容。截图经质量校验后,由多模态大模型结合动态构建的规则Prompt进行结构化研判,输出违规判定及详情,支持指数退避重试与超时容错。
四、实时可视化与取证闭环
基于 WebSocket 实时推送分析进度,仪表盘集成 KPI指标、趋势分析、违规率仪表盘、类型玫瑰图、可达性水球图、日历热力图等多维可视化。违规结果支持截图查看、一键加白、Excel导出,形成"发现—研判—处置—归档"完整闭环。
五、精细化运营管理
提供白名单管理(通配符匹配)、检测规则引擎(LOGO/关键词/品牌多类型可扩展)分组系统配置(敏感字段脱敏)、定时截图清理(违规证据永久保留)等运营能力,配置版本化与快照缓存联动。
一、技术架构
采用前后端分离的容器化微服务架构,Docker Compose 编排五大服务:后端(FastAPI + SQLAlchemy + MySQL + Redis +APScheduler)、前端(Vue 3 + TypeScript + Element Plus + ECharts)、截图服务(FastAPI + Playwright Chromium)、AI推理(Qwen3-VL-32B 多模态大模型,结构化输出)、基础设施(Nginx + JWT/Redis 黑名单鉴权)。
二、实现亮点
1. 生产者-消费者并发引擎:连通性探测50并发批量筛选,截图与模型研判异步消费者池并行,两类阶段解耦,兼顾吞吐与资源可控。
2. 策略快照与配置版本化:任务启动时冻结白名单、规则、配置为不可变快照,配置变更递增版本号并联动失效缓存,运行中任务不受干扰,恢复任务自动重建最新快照。
3. 截图服务六重沙箱加固:非root、只读文件系统、capabilities全丢弃、no-new-privileges、独立网络隔离、资源硬限额,访问恶意站点亦无法逃逸。
4. 全页滚动截图与质量校验:自动滚动触发懒加载(最多50轮),确保动态内容完整呈现;尺寸阈值与像素标准差双重校验,过滤空白页和加载失败页面。
5. 断点续跑与熔断保护:每主机分析完立即持久化并原子更新进度,中断后精准恢复;连续失败超阈值自动暂停,避免资源空耗。
三、快速交付
AI驱动的敏捷闭环开发: 创新性地构建了“Spec驱动 + Claude Code + RuoYi-Python”的高效研发流。利用 Spec-kit 规范需求拆解,通过 AI 极速生成 MVP 原型并反哺完善技术规格,结合成熟框架快速落地业务逻辑,实现了从概念到产品的高频迭代与高质量交付。
评论