流量分析平台之(流影)扩展解决方案
https://abyssalfish-os.github.io
背景:
首个开源网络流量可视化分析平台
问题:
流影只对 命中 特征规则 单包进行了留存。能留存netflow形式的流量会话日志但没有全流量留存功能且没有单包/会话日志导出功能。
解决:
Arkime+suricata
QNSM+suricata
Malcolm
Arkime+suricata
1. Arkime(原名Moloch):Arkime是一个大规模网络流量监控工具,可以捕获、索引和存储网络流量数据。它提供了一个功能强大的Web界面,用于搜索和查看网络流量数据。Arkime可以帮助安全分析师快速定位和分析潜在的网络威胁。
2. Suricata:Suricata是一个高性能的开源入侵检测和防御系统(IDS/IPS)。它可以分析网络流量,并根据预定义的规则检测潜在的恶意行为。Suricata支持多线程处理,可以在高速网络环境中实时检测威胁。
将Arkime与Suricata结合使用,可以实现实时入侵检测和历史流量分析。这样的组合可以帮助安全团队更有效地监控网络环境,提前发现并应对潜在的网络威胁。
部署Arkime和Suricata的基本步骤如下:
1. 安装Arkime:按照Arkime官方文档中的说明安装Arkime。您需要一个足够大的存储空间来存储捕获的网络流量数据。
2. 安装Suricata:按照Suricata官方文档中的说明安装Suricata。确保安装了最新的规则集,以便Suricata能够检测到最新的威胁。
3. 配置Arkime和Suricata:根据您的网络环境和需求,配置Arkime和Suricata的设置。例如,您需要指定要监控的网络接口和IP地址范围。
4. 启动Arkime和Suricata:启动Arkime和Suricata服务,开始监控网络流量。
5. 使用Arkime的Web界面进行流量分析:登录到Arkime的Web界面,搜索和查看网络流量数据。结合Suricata的入侵检测结果,分析潜在的网络威胁。
请注意,部署Arkime和Suricata可能需要一定的网络和安全知识。在开始之前,确保您熟悉这些工具的基本概念和功能。
QNSM+suricata
1. QNSM:QNSM是一个大规模网络安全监控系统,可以实时监控网络流量并检测潜在的安全威胁。QNSM具有分布式架构,可以在高速网络环境中处理大量流量数据。QNSM还提供了一个Web界面,用于查看网络安全事件和统计信息。
2. Suricata:Suricata是一个高性能的开源入侵检测和防御系统(IDS/IPS)。它可以分析网络流量,并根据预定义的规则检测潜在的恶意行为。Suricata支持多线程处理,可以在高速网络环境中实时检测威胁。
将QNSM与Suricata结合使用,可以实现实时入侵检测和全面的网络安全监控。这样的组合可以帮助安全团队更有效地监控网络环境,提前发现并应对潜在的网络威胁。
部署QNSM和Suricata的基本步骤如下:
1. 安装QNSM:按照QNSM官方文档中的说明安装QNSM。您需要一个足够大的存储空间来存储捕获的网络流量数据。
2. 安装Suricata:按照Suricata官方文档中的说明安装Suricata。确保安装了最新的规则集,以便Suricata能够检测到最新的威胁。
3. 配置QNSM和Suricata:根据您的网络环境和需求,配置QNSM和Suricata的设置。例如,您需要指定要监控的网络接口和IP地址范围。
4. 启动QNSM和Suricata:启动QNSM和Suricata服务,开始监控网络流量。
5. 使用QNSM的Web界面进行流量分析:登录到QNSM的Web界面,查看网络安全事件和统计信息。结合Suricata的入侵检测结果,分析潜在的网络威胁。
请注意,部署QNSM和Suricata可能需要一定的网络和安全知识。在开始之前,确保您熟悉这些工具的基本概念和功能。
Malcolm
Malcolm是一款网络监控和分析工具,它将多个开源工具集成在一个易于使用的Web界面中。Malcolm的主要目的是简化网络流量分析和入侵检测的过程,帮助安全团队更有效地监控网络环境并应对潜在的网络威胁。
Malcolm的核心组件包括:
1. Zeek(原名Bro):Zeek是一个强大的网络分析框架,可以将实时网络流量转换为高度结构化的事件日志。Zeek可以识别和记录网络上的各种活动,如连接、文件传输、DNS请求等。
2. Suricata:Suricata是一个高性能的开源入侵检测和防御系统(IDS/IPS)。它可以分析网络流量,并根据预定义的规则检测潜在的恶意行为。
3. Arkime(原名Moloch):Arkime是一个大规模网络流量监控工具,可以捕获、索引和存储网络流量数据。它提供了一个功能强大的Web界面,用于搜索和查看网络流量数据。
4. ClamAV:ClamAV是一个开源的反病毒引擎,用于检测恶意软件、病毒和其他网络威胁。它可以扫描文件、邮件和网络流量,以识别和阻止恶意软件。
5. YARA:YARA是一个用于创建和匹配恶意软件签名的工具。它允许安全研究人员编写规则来描述恶意软件家族的特征,从而更容易地识别和分类恶意软件。
部署Malcolm的基本步骤如下:
1. 下载并安装Malcolm:从GitHub上下载Malcolm的源代码,并按照官方文档中的说明进行安装。
2. 安装和配置ClamAV:按照ClamAV的官方文档安装并配置ClamAV。确保您已更新病毒定义数据库。
3. 安装和配置YARA:按照YARA的官方文档安装并配置YARA。编写或下载适用于您的需求的YARA规则。
4. 配置Malcolm:根据您的网络环境和需求,配置Malcolm的设置。例如,您需要指定要监控的网络接口和IP地址范围。
5. 集成ClamAV和YARA:将ClamAV和YARA集成到Malcolm的工作流程中。这可能需要一些自定义开发和脚本编写,以确保这些工具可以在Malcolm的网络流量分析过程中自动运行。
5. 启动Malcolm、ClamAV和YARA:启动这些服务,开始监控网络流量并检测恶意软件。
6. 使用Malcolm的Web界面进行流量分析:登录到Malcolm的Web界面,搜索和查看网络流量数据。结合Zeek的事件日志和Suricata的入侵检测结果及ClamAV的恶意软件检测结果和YARA的恶意软件分类,分析潜在的网络威胁。
请注意,部署Malcolm可能需要一定的网络和安全知识。在开始之前,确保您熟悉这些工具的基本概念和功能。
流量分析平台之(流影)扩展解决方案相关推荐
- zeek系列之:流量分析流量数据采集流量探针利器zeek
什么是zeek Zeek是一个被动的开源网络流量分析器.许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查.Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障 ...
- 搭建ELK日志分析平台(下)—— 搭建kibana和logstash服务器
27.6 安装kibana 27.7 安装logstash 27.8 配置logstash 27.9 kibana上查看日志 27.10 收集nginx日志 27.11 使用beats采集日志 本文是 ...
- 史上最简单的Elasticsearch教程:SpringBoot集成Elasticsearch 实时流量监测平台
SpringBoot集成Elasticsearch 实时流量监测平台 目录: 第一章:初尝 Elasticsearch 第二章:玩转 Kibana 第三章:开发原生 Elasticsearch 案例 ...
- 中山一院——新一代的智慧医院建设,以流量分析为抓手,提升用户体验
导言 中山大学附属第一医院,简称中山一院,位于广州市,始建于1910年,2019年中国医院排行榜发布,中山一院位居第六. 作为一家现代化大型三甲医院,中山一院在信息化系统的建设上是较为全面的,基于H ...
- 监控易网络管理:网络流量分析
1.什么是网络流量分析 2.网络流量分析的作用 3.为什么要用网络流量分析功能,如何开启 什么是网络流量分析 简单的来说,网络流量分析就是捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议 ...
- 推荐几款流量统计网站,通过流量分析管理自己的网站
1.Google Analytics 谷歌分析: http://www.google.com/analytics/ 2.免费网站流量统计_商业媒体统计_广告联盟_数据专家cnzz.com CNZZ数据 ...
- 国内首个开源网络流量可视化分析平台 -- 流影
流影:基于流量的网络行为高级分析平台 流影是一款基于全流量的高级网络行为分析平台,该系统是由深海鱼(北京)科技有限公司流影项目组研发设计,首发开源是1.0版本. 项目简介 深海鱼(北京)科技有限公司专 ...
- 网络流量可视化分析平台-流影-FlowShadow
专注于网络行为分析识别和威胁行为追溯挖掘 提供轻量级网络行为可视化分析与安全态势感知综合解决方案 适用于入侵检测.攻防演练.威胁狩猎.网络安全态势感知等应用场景 看清网络通讯.看见网络行为.看懂网络威 ...
- 北京智和信通网络流量监控分析平台
随着网络的应用逐渐广泛,网络中承载的业务更加丰富,如何了解网络承载的业务,掌握网络流量特征,以便将网络配置最优化,是用户面临的一大挑战.绝大多数的IT管理部门还未建立起通过一套产品全面实现网络.业务流 ...
最新文章
- 博客文章也能中顶会:ICLR 2022开设博客投稿通道,还有机会跟经典论文原作者直接battle...
- Vue中的前后台交互
- 两种方式:mysql查看正在执行的sql语句
- Please ensure that adb is correctly located at……问题解决方案
- 平板xmind怎么添加父主题_xmind 怎么插入子主题
- 数据缺失、混乱、重复怎么办?最全数据清洗指南让你所向披靡
- 指针运算不同于算数运算,不能简单加减
- 算法可以申请专利么_Ta 在假笑么?这个识别算法可以鉴定
- 搭建大数据运行环境之一
- 果园机器人反思稿_《果园机器人》教学反思
- 一用户使用LTC以168万美元的价格购入收藏界“圣杯“卡片
- -bash: make: command not found
- 真传x深度学习第二课:nvidia显卡驱动和cuda安装(小米13.3,显卡mx150)
- SQL查询-将列转换成字符串(for xml path)
- Egret入门学习日记 --- 第十八篇(书中 8.5~8.7 节 内容)
- Micropython教程之TPYBoard开发板制作电子时钟(萝卜学科编程教育)
- redis设计与实现读书笔记(一)
- java自动化测试之开发工具eclipse安装配置
- Windows删除打开方式多余项
- php验证qq,正则表达式验证qq号码是否输入正确