本帖最后由 wamoya 于 2023-7-5 15:45 编辑
流影–基于流量的网络行为高级分析平台
项目简介
流影是一款基于全流量的高级网络行为分析系统,该系统是由深海鱼(北京)科技有限公司流影项目组研发设计,首发开源是1.0版本。
深海鱼(北京)科技有限公司专注于为客户提供优质的数据分析相关服务,近年来立足于客户的数字安全需求,深耕网络流量数据挖掘及网络安全数据可视化分析等方面研究,初步设计研发出一款高级网络行为分析系统,为全行业客户提供网络安全行为分析及追溯能力。
https://abyssalfish-os.github.io/news/opensource/
!!!开启虚拟化支持:请在模板“qemu_options”处添加“ -cpu host”注意前面有空格!!!
注意!系统部分能力使用了机器学习模型,需要AVX2或更高CPU指令集的支持。CPU指令集不支持会导致分析引擎无法正常工作。若接收器可正常接收数据,分析引擎无法正常阐述数据,可考虑是否为此影响因素。
在Linux系统中试用 lscpu 命令查看cpu指令集是否存在avx2
需要开启虚拟化支持,否则即使物理cpu支持avx2指令集,没开启虚拟化支持也不行。
可以从以下步骤,进行系统数据流转测试验证: 启动探针监听网卡,接入回放的流量或真实流量。 验证接收器能够正常接收数据: /data/flow/3/ 目录下是否存在 nfcapd 文件,且单个文件大小大于276字节。 分析引擎正常产出数据: /Agent/data/db/ 目录下是否存在 以日期命名的目录,且日期目录中不为空。 管理端、Web可视化页面正常显示数据:WEB端访问正常,检测到测试数据中存在的告警事件。
注意: 系统部分能力使用了机器学习模型,需要AVX2或更高CPU指令集的支持。CPU指令集不支持会导致分析引擎无法正常工作。若接收器可正常接收数据,分析引擎无法正常阐述数据,可考虑是否为此影响因素。 注意: 系统为流水线式作业,每个节点间数据流转存在约5分钟的时间差,从接入流量至web端监测到告警,存在15分钟左右的延迟。 注意: 系统主页面仅展示告警信息,不对正常流量进行展示。可通过搜索框搜索指定的IP、端口、域名,查询目标的全部会话。
| 
发表于 2023-4-17 16:52:26
