Maltrail是一个恶意的流量检测系统,利用公开可用的(黑色)列表包含恶意和/或一般可疑的跟踪,以及从各种AV报告和自定义用户定义列表编译的静态跟踪,其中跟踪可以是任何域名(例如zvpprsensinaix.com for Banjori恶意软件),URL(例如http://109.162.38.120/harsh02)。exe(已知恶意可执行文件)、IP地址(如185.130.5.231,已知攻击者)或HTTP用户代理头值(如sqlmap,用于自动SQL注入和数据库接管工具)。此外,它使用(可选的)高级启发式机制,有助于发现未知威胁(例如新的恶意软件)。
体系结构
Maltrail基于流量->传感器<-> Server <->客户端架构。Sensor(s)是一个独立的组件,运行在监控节点(例如,被动连接到SPAN/mirroring端口的Linux平台,或者在Linux桥上透明地内联)上,或者运行在独立的机器(例如蜜罐)上,它“监控”黑名单项/路径(例如域名、url和/或ip)的通过流量。如果匹配正确,它将事件详细信息发送到(中央)服务器,并将其存储在相应的日志目录中(即配置部分中描述的LOG_DIR)。如果传感器与服务器在同一台机器上运行(默认配置),日志将直接存储到本地日志目录中。否则,它们将通过UDP消息发送到远程服务器(即配置部分中描述的LOG_SERVER)。
服务器的主要角色是存储事件细节并为报表web应用程序提供后端支持。在默认配置中,服务器和传感器将在同一台机器上运行。因此,为了防止传感器活动中的潜在中断,前端报告部分基于“胖客户机”体系结构(即所有数据后处理都是在客户机的web浏览器实例中完成的)。所选(24h)期间的事件(即日志条目)被转移到客户机,在客户机中,报表web应用程序全权负责表示部分。数据以压缩块的形式发送到客户端,并在此顺序处理数据。最终报告以高度压缩的形式创建,实际上允许呈现几乎无限数量的事件。
注意:服务器组件可以全部跳过,只使用独立的传感器。在这种情况下,所有事件都将存储在本地日志目录中,而日志条目可以通过手动或某些CSV读取应用程序进行检查。
安装:
sudo apt-get install python python-pcapy git
git clone https://github.com/stamparm/maltrail.git
扫一扫
503
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
