Maltrail 恶意流量检测系统
maltrail
智能家居
⭐⭐⭐☆☆ (3/5)
🧩 软硬件结合
已发布
项目简介
Malicious traffic detection system
Maltrail 是一款开源的恶意流量检测系统,专为网络威胁监控与安全分析场景设计。其核心思路是通过整合公开的恶意/可疑特征黑名单、来自多家反病毒报告的静态特征库,以及用户自定义规则,对网络流量进行实时检测。这里的“trail”可以是域名、URL、IP地址,甚至是HTTP请求中的User-Agent值——例如,它能识别出类似 `zvpprsensinaix.com` 的DGA域名、已知恶意可执行文件的下载链接,或是 `sqlmap` 这类自动化攻击工具的特征。此外,系统还支持可选的启发式高级检测机制,有助于发现未知威胁,如新型恶意软件。
标签
项目特点
**多源威胁情报**:整合了超过 60 个公开黑名单(如 AlienVault、DShield、Tor 出口节点等)和大量手动收集的恶意软件家族痕迹。
**灵活的架构**:支持传感器与服务器分离部署,也可将传感器作为独立组件运行,无需服务器。
**启发式检测**:除了基于黑名单的静态检测,还提供可选的启发式机制,用于发现未知或新型威胁。
**轻量级客户端**:采用“胖客户端”架构,所有数据后处理在用户浏览器中完成,减轻服务器负担,支持处理海量事件。
**实时监控与报告**:提供直观的 Web 报告界面,可查看 24 小时内的威胁事件详情。
**跨平台支持**:可在 Linux/BSD 系统上运行,并提供 Docker 支持。
技术规格
| 编程语言 | |
|---|---|
| 核心依赖 | |
| 传感器内存要求 | |
| 传感器权限 | |
| 服务器端口 | |
| 支持协议 | |
| 操作系统 |
项目资源
物料清单 (BOM)
| 物料名称 | 数量 | 参考价格 | 备注 |
|---|---|---|---|
| Python 3.x | 1 | — | 运行环境 |
| pcapy-ng | 1 | — | Python 数据包捕获库 |
| Git | 1 | — | 用于克隆仓库 |
| libpcap-dev | 1 | — | 系统级数据包捕获库 |
| 服务器/主机 | 1 | — | 运行传感器和/或服务器 |
| 网络接口 | 1 | — | 用于监控流量 (支持混杂模式) |
所需工具
| 工具 | 用途 | 是否必需 |
|---|---|---|
| Python 3 | 运行 Maltrail 核心组件 | ✅ 是 |
| pip | 安装 Python 依赖包 | ✅ 是 |
| Git | 克隆项目代码 | ✅ 是 |
| 文本编辑器 | 编辑配置文件 (maltrail.conf) | ▢ 推荐 |
| Docker | 容器化部署 (可选) | ▢ 推荐 |
能力画像
记忆与知识检索
逻辑推演
表达与交流
感知与观察
数理与计算
动手与操作
狂热与坚持
创造与创新
项目图库
所需技能
🔧 **动手能力**:能够配置网络接口(如启用混杂模式)、安装系统依赖包、编辑配置文件。
💻 **编程能力**:具备基本的 Python 环境管理能力(安装包、运行脚本),能够阅读和理解 Python 代码以进行自定义配置或调试。
⚡ **电子电路**:不适用。
适用场景
**企业网络安全监控**:部署在网络出口或核心交换机旁路,实时检测内部网络中的恶意流量和威胁。
**蜜罐/诱捕系统**:与蜜罐系统结合,监控针对蜜罐的攻击流量。
**个人/家庭网络安全**:在个人服务器或路由器上运行,增强家庭网络的安全性。
**安全研究与威胁情报**:作为威胁情报收集工具,分析网络中的恶意活动模式。
**教育/培训**:用于网络安全教学,演示恶意流量检测的原理和实践。