项目介绍
maltrail是一款轻量级的恶意流量检测系统,其工作原理是通过采集网络中各个开源黑样本(包括IP、域名、URL),在待检测目标机器上捕获流量并进行恶意流量匹配,匹配成功则在其web页面上展示命中的恶意流量。
项目GitHub地址
项目架构
系统采用 流量–>传感器<–>服务端<–>客户端 的架构方式
传感器:负责采集网络流量,更新恶意样本,并进行匹配检测
服务端:提供web界面以及收集网络中的恶意样本流量
客户端:访问和检索恶意流量信息
项目数据集
maltrail项目收集的黑名单列表分为两大类:
1)内置静态列表(从各种恶意软件报告、学生论文以及个人研究文档中获取的恶意样本),包含以下恶意软件实体:
2) 实时订阅源(从各种开源黑样本网站上下载的恶意样本),包含以下恶意样本数据源:
运行方式
1)下载及安装Maltrail(由于需要抓取pcap包,所以先安装其依赖模块python-pcapy)
root@cyber:~# apt-get install git python-pcapy
root@cyber:~# git clone https://github.com/stamparm/maltrail.git
root@cyber:~/maltrail# cd maltrail/
root@cyber:~/maltrail# python sensor.py
启动服务器端
root@cyber:~/maltrail# python server.py
启动成功后即可访问http://0.0.0.0:8338/,登录Web服务器,登录默认账号密码 admin:changeme!
订阅源扩展
Maltrail订阅网络上的各种恶意样本网站,其所有采集程序存储在$MALTRAIL_HOME/trails/feeds目录中。
