sveewg的博客

前四章我们已经成功安装了流影的各个功能，那么接下来我们就看看这个开源工具的实力，本实验将进行多个攻击手段（ip扫描，端口扫描，sql注入）攻击靶机，来看看流影的态感效果。首先本实验ens33网卡作为web控制配置，ens34作为靶机的受体，我们把探针部署在ens34网卡上并启动。然后导入流量包，我这里使用的是tcpreplay回放工具，可以先安装。然后浏览器输入http://ip地址:18080/ui,同时打开/etc/rc.local文件，确定有以下内容。

本章我将继续安装流影的分析引擎组件首先，ly_analyser是流影的威胁行为分析引擎，读取netflow v9格式的数据作为输入，运行各种威胁行为检测模型，产出威胁事件，并留存相关特征数据用于后续取证分析。包括扫描、DGA、DNS隧道、ICMP隧道、服务器外联、 挖矿、各种注入等威胁行为，涵盖机器学习、威胁情报、数据包检测、经验模型四种识别方式。

​ly_server是流影的管理引擎，用于聚合分析引擎产出的威胁事件、数据节点管理、用户管理、配置管理、数据查询等。

小编们可以自行研究部署，也可以看我部署功能部署包：通过网盘分享的文件：liuying整合包链接: https://pan.baidu.com/s/1cWFJjXyu6eskj-g1rY0mzg?pwd=jjpg 提取码: jjpg。

流影采用四层模块化架构：流量探针（数据采集）、网络行为分析引擎（特征提取）、威胁检测引擎（规则匹配）、交互式可视化引擎（数据呈现）。这种设计支持分布式部署，单节点流量采集能力可达10Gbps，同时保证用户界面秒级响应1310。：解析流量内容，提取协议指纹和会话特征14；：基于TensorFlow构建检测模型，结合专家经验库识别40+种威胁场景（如C&C通讯、挖矿行为、隐蔽隧道等）310；：通过采集层（原始流量解析）、特征分析层（行为建模）、聚合管理层（事件关联）实现高效数据处理14。