Maltrail恶意流量检测系统

Maltrail 是一个恶意流量检测系统，利用公开可用的（黑）名单，其中包含恶意和/或一般可疑的线索，以及从各种AV报告和自定义用户定义的名单中编制的静态线索，其中线索可以是任何域名（如zvpprsensinaix for Banjori malware）。 g. zvpprsensinaix.com用于Banjori恶意软件），URL（如hXXp:/109.162.38.120/harsh02.exe用于已知的恶意可执行文件），IP地址（如185.130.5.231用于已知的攻击者）或HTTP用户代理标头值（如sqlmap用于自动SQL注入和数据库接管工具）。此外，它还使用（可选）先进的启发式机制，可以帮助发现未知威胁（如新的恶意软件）。

Maltrail是基于流量->传感器<->服务器<->客户端架构。传感器是一个独立的组件，运行在监控节点上（如Linux平台被动地连接到SPAN/镜像端口，或在Linux桥上透明地内联）或在独立的机器上（如Honeypot），它 "监测 "通过的流量的黑名单项目/跟踪（即域名、URL和/或IP）。如果是积极的匹配，它将事件的细节发送到（中央）服务器，它们被存储在适当的日志目录（即配置部分中描述的LOG_DIR）中。如果传感器与服务器在同一台机器上运行（默认配置），日志将直接存储到本地日志目录中。否则，它们将通过UDP消息被发送到远程服务器（即配置部分中描述的LOG_SERVER）。

服务器的主要作用是存储事件细节，并为报告网络应用程序提供后端支持。在默认配置中，服务器和传感器将在同一台机器上运行。因此，为了防止传感器活动的潜在中断，前端报告部分是基于 "胖客户端 "架构的（即所有的数据后处理是在客户端的网络浏览器实例内完成的）。选择的（24小时）期间的事件（即日志条目）被传输到客户端，在那里报告的网络应用程序只负责展示部分。数据以压缩块的形式发送到客户端，在那里按顺序进行处理。最终的报告是以高度浓缩的形式创建的，实际上允许展示几乎无限数量的事件。

Note：可以完全跳过服务器组件，而只使用独立的传感器。在这种情况下，所有的事件将被存储在本地日志目录中，而日志条目可以通过手动或一些CSV读取应用程序来检查。