項目介紹
maltrail是一款輕量級的惡意流量檢測系統,其工作原理是通過采集網絡中各個開源黑樣本(包括IP、域名、URL),在待檢測目標機器上捕獲流量並進行惡意流量匹配,匹配成功則在其web頁面上展示命中的惡意流量。
項目GitHub地址
項目架構
系統采用 流量–>傳感器<–>服務端<–>客戶端 的架構方式
傳感器:負責采集網絡流量,更新惡意樣本,並進行匹配檢測
服務端:提供web界面以及收集網絡中的惡意樣本流量
客戶端:訪問和檢索惡意流量信息
項目數據集
maltrail項目收集的黑名單列表分為兩大類:
1)內置靜態列表(從各種惡意軟件報告、學生論文以及個人研究文檔中獲取的惡意樣本),包含以下惡意軟件實體:
2) 實時訂閱源(從各種開源黑樣本網站上下載的惡意樣本),包含以下惡意樣本數據源:
運行方式
1)下載及安裝Maltrail(由於需要抓取pcap包,所以先安裝其依賴模塊python-pcapy)
root@cyber:~# apt-get install git python-pcapy
root@cyber:~# git clone https://github.com/stamparm/maltrail.git
root@cyber:~/maltrail# cd maltrail/
root@cyber:~/maltrail# python sensor.py
啟動服務器端
root@cyber:~/maltrail# python server.py
啟動成功后即可訪問http://0.0.0.0:8338/,登錄Web服務器,登錄默認賬號密碼 admin:changeme!
訂閱源擴展
Maltrail訂閱網絡上的各種惡意樣本網站,其所有采集程序存儲在$MALTRAIL_HOME/trails/feeds目錄中。
