开源流影项目的博客

开源流影发布最新迭代更新V1.1.0版本，丰富配置管理选项，修复已知问题，欢迎更新使用。

流影系统不仅集成了的内置的威胁行为告警功能，还支持用户自定义进行流量追踪和监控告警的功能。流影的追踪监控界面中，对自定义监控流量及其特征、告警事件进行了可视化展示，让用户更容易洞察网络通信中异常行为，及时做好响应处理，从而降低网络安全威胁风险。

流影系统集成了对网络威胁行为的告警功能，数据经过分层处理，最终形成精简的聚合事件数据。流影的可视化界面中，对各种告警事件及其相关会话特征进行了可视化展示，让用户更容易看清和看懂网络通信中异常行为，及时做好响应处理。

流影分布式安装部署教学视频

流影集成了ICMP隧道通讯和DNS隧道通讯检测模型，实现网络隐蔽通讯行为发现和告警，留存了通讯相关特征，便于用户取证分析，能够帮助用户及时发现隧道通讯行为，尽快做出响应，避免更大损失。

流影基于情报和深度包检测技术，实现挖矿行为的实时监测和及时告警，并将挖矿行为特征以可视化的方式呈现，帮助用户快速定性，有效缩短分析响应时间，能够大大提高挖矿事件的处置效率。

流影加威胁情报，互相结合，能够相辅相成，达到更好的安全防护效果。一方面，高精准的威胁情报，可以为流影提供强力弹药， 从而命中一些高级别的攻击行为，提升了流影的识别检测能力；另一方面，流影能够留存威胁行为的流量上下文信息和证据， 输出丰富的、高价值流量侧威胁情报。

流影基于神经网络深度学习技术，实现对DNS流量中DGA域名的实时监测和告警，并将可疑流量特征以可视化的方式呈现，能够帮助用户快速定性，有效缩短分析响应时间。

流影集成了深度包检测技术和部分恶意网络行为的匹配指纹，实现多种恶意网络行为识别和告警，并留存了原始Pcap数据包，便于用户取证分析。同时支持用户自定义配置特征指纹，不断提高检测能力。

欢迎大家使用反馈，积极参与项目贡献。外部流量镜像接入过程概括为：接入待分析流量数据到物理网卡、新建虚拟交换机（vSwitch）接入从物理网卡（vmnic）采集到的数据、新建端口组（Network）建立虚拟交换机上的对外接口、再到分析平台所在虚拟机新建虚拟机网卡（vm）接入流量数据。1、在网络管理页面，定位到待分析目标流量所在的虚拟交换机（vSwitch/vDSwitch），记录该虚拟交换机名称（图中vSwitch1-LAN），进入该虚拟交换机配置页面，将该虚拟交换机的“允许混杂模式”配置为“是”。

流影可以感知网络扫描行为，支持用户自定义配置检测规则，及时发出网络扫描行为告警，并将扫描行为特征以可视化的方式呈现，帮助用户快速判定，大大减少分析响应时间，提高分析处理效率。

PCAP数据记录了完整网络通信信息，是网络行为分析的最原始和直接的证据。流影系统集成了网络流量PCAP留存功能，流影并没有选择全流量留存，而是针对可疑网络行为流量进行了捕获留存，避免探针的大量资源消耗和性能损失。流影的可视化界面中，对告警事件的PCAP数据进行了解析展示，便于用户从直接的数据证据中发现威胁，让用户更容易看清和看懂网络通信中异常行为。

流影系统利用探针采集了NetFlow数据，NetFlow作为流影基础数据之一，被广泛应用于许多网络行为的异常检测之中，并在流影的可视化界面中，对告警事件的流特征数据进行了列表展示和时序图的可视化，让用户更容易看清和看懂网络通信中异常行为。

本文从架构、技术、功能、应用等方面，对流影进行了概要性介绍，帮助读者对流影有一个整体认识。

流影资源下载，主要包括安装相关安装资源，一键部署安装包和vm镜像以及安装部署教学视频。