介紹流影

流影：
官網(wǎng)：https://abyssalfish-os.github.io/
國內(nèi)首個開源網(wǎng)絡(luò)流量可視化分析平臺
專注于網(wǎng)絡(luò)行為分析識別和威脅行為追溯挖掘
提供輕量級網(wǎng)絡(luò)行為可視化分析與安全態(tài)勢感知綜合解決方案
適用于入侵檢測、攻防演練、威脅狩獵、網(wǎng)絡(luò)安全態(tài)勢感知等應(yīng)用場景
看見網(wǎng)絡(luò)通訊、看清網(wǎng)絡(luò)行為、看懂網(wǎng)絡(luò)威脅，守護(hù)每一位用戶數(shù)字化安全發(fā)展之路

實驗簡介

本實驗需具備Linux操作基礎(chǔ)

系統(tǒng)環(huán)境

以下為官方推薦的系統(tǒng)版本，本實驗使用的為CentOS7.9-2009-x64-Everything-2009.iso

> 下載鏈接
http://mirrors.nju.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Everything-2207-02.iso

網(wǎng)絡(luò)環(huán)境

軟件環(huán)境

以下為官方提供的開源版軟件包，其中分析引擎與管理引擎分別有兩個軟件包，需要全部下載

> 探針
https://gitee.com/abyssalfish-os/ly_probe/releases/download/v1.0.0/lyprobe-relese-v1.0.0-x86_64.tar.gz

> 分析引擎
https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.4.230706/ly_analyser_release.v1.0.4.230706.tar.gz
https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.0/ly_analyser_dependence.v1.0.0.221226.tar.gz

> 管理引擎
https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.230325/ly_server_release.v1.0.230325.tar.gz
https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.0/ly_server_dependence.v1.0.0.221230.tar.gz

> 可視化界面
https://gitee.com/abyssalfish-os/ly_vis/releases/download/v1.0.4/開源版.zip

實驗流程

虛擬機(jī)配置

配置類型選擇典型

安裝來源選擇稍后安裝操作系統(tǒng)

客戶機(jī)操作系統(tǒng)選擇Linux并在版本中選擇CentOS 7 64位

虛擬機(jī)名稱和位置根據(jù)自身決定

磁盤容量分配大一些

最后點擊完成

點擊編輯虛擬機(jī)設(shè)置

根據(jù)自身電腦配置修改虛擬機(jī)配置并選擇鏡像文件

因?qū)嶒炐枨?，需額外添加一張網(wǎng)卡，一塊設(shè)置為NAT用于本地SSH登錄，一塊為僅主機(jī)模式用于監(jiān)聽流量

最后點擊確定，虛擬機(jī)的環(huán)境準(zhǔn)備完成

系統(tǒng)的安裝

選擇開啟此虛擬機(jī)

選擇 Install CentOS 7

語言根據(jù)自身喜好，本次實驗選擇英文

進(jìn)入虛擬機(jī)安裝配置頁面

啟動虛擬機(jī)網(wǎng)卡，需記住第一張網(wǎng)卡的IP地址后續(xù)會用到

選擇安裝磁盤

時區(qū)選擇Asia、Shanghai

創(chuàng)建root密碼

安裝完成后重啟

流影的部署

使用SSH工具連接并使用root賬戶登錄

創(chuàng)建本地yum源

> 創(chuàng)建名稱為centos.repo的yum倉庫文件
cd /etc/yum.repos.d/
rm -rf *
vi centos.repo

> 按a進(jìn)入編輯然后輸入以下內(nèi)容
[centos]
name = centos
baseurl = file:///mnt
enabled = 1
gpgcheck = 0

> 按esc退出編輯
> :wq保存

掛載鏡像并完成安裝vim與net-tools

> 掛載鏡像
mount /dev/cdrom /mnt/

> 清理yum緩存并重建yum倉庫
yum clean all
yum makecache

> 安裝vim與net-tools
yum -y install vim
yum -y install net-tools

> 驗證是否安裝成功
vim --version
ifconfig

安裝探針ly_probe

> 上傳全部軟件包

> 解壓探針軟件包
tar zxf /root/lyprobe-relese-v1.0.0-x86_64.tar.gz

> 進(jìn)入目錄
cd /root/lyprobe-relese-v1.0.0-x86_64

> 將主程序文件置于系統(tǒng)路徑
cp lyprobe /usr/local/bin/

> 將依賴庫文件置于系統(tǒng)路徑
cp -d liblyprobe* /usr/local/lib/

> 將插件相關(guān)依賴庫文件目錄整體置于系統(tǒng)路徑
cp -rd plugins/ /bin
cp -rd plugins/ /usr/local/lib/lyprobe

> 安裝依賴環(huán)境
yum -y install libpcap-devel

> 驗證依賴環(huán)境是否安裝成功
lyprobe --version

> 修改要監(jiān)聽的網(wǎng)卡配置文件
cd /etc/sysconfig/network-scripts/

> 查看本機(jī)的網(wǎng)卡配置文件名稱
ls

> 修改第二張網(wǎng)卡的配置文件
vim ifcfg-ens33

> 按esc退出編輯
> :wq保存

> 重啟網(wǎng)卡
systemctl restart network

> 查看網(wǎng)卡信息 
ifconfig

> 第二張網(wǎng)卡出現(xiàn)地址則正確

> 添加監(jiān)聽規(guī)則
lyprobe -T "%IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FITST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TYPE %SRV_NAME %SRV_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %THREAT_TIME" -n 127.0.0.1:9995 -e 0 -w 32768 -k 1 -K /data/cap/3 -G -i ens33

> 檢查進(jìn)程
ps aux | grep probe

安裝分析引擎ly_analyser

> 解壓分析引擎軟件包
tar zxf /root/ly_analyser_release.v1.0.4.230706.tar.gz
tar zxf /root/ly_analyser_dependence.v1.0.0.221226.tar.gz

> 進(jìn)入目錄
cd /root/ly_analyser_dependence.v1.0.0.221226
mv * /root/ly_analyser_release.v1.0.4.230706

> 安裝依賴環(huán)境
yum -y install gcc gcc-c++ cmake
yum -y install bison flex json-c-devel
yum -y install ntp
yum -y install boost-devel
yum -y install libcurl-devel
yum -y install mariadb-devel
yum -y install httpd stunnel rsync sysstat

> 安裝Agent
cd /root/ly_analyser_release.v1.0.4.230706
/bin/sh ./agent_deploy_new.sh

安裝管理引擎ly_server

> 解壓管理引擎軟件包
tar zxf /root/ly_server_release.v1.0.230325.tar.gz
tar zxf /root/ly_server_dependence.v1.0.0.221230.tar.gz

> 進(jìn)入目錄
cd /root/ly_server_dependence.v1.0.0.221230
mv * /root/ly_server_release.v1.0.230325

> 安裝依賴環(huán)境
yum -y install mariadb-server
yum -y install MySQL-python
yum -y install python-setuptools

> 安裝Agent
cd /root/ly_server_release.v1.0.230325
/bin/bash ./server_deploy_new.sh

> 回車

> 輸入Y

> 輸入密碼

> 輸入Y

> 輸入密碼

> 檢查服務(wù)
ll /Server/
ll /Server/bin

安裝可視化ly_vis

> 安裝依賴環(huán)境
yum -y install unzip

> 解壓可視化軟件包
unzip 開源版.zip

> 移動配置文件
mv /root/build/ /Server/www/ui

> 檢查配置文件
ll /Server/www
ll /Server/www/ui

測試流影

> 瀏覽器輸入
http://本機(jī)IP:18080/ui/

> 管理員賬號：admin
> 密碼LoginLY@2016

總結(jié)

感謝流影將此項目開源，能有機(jī)會接觸到這么全面的流量分析平臺。現(xiàn)如今的網(wǎng)絡(luò)時代，越早的發(fā)現(xiàn)入侵掃描活動，越能及時采取措施，阻斷入侵者進(jìn)一步實施后續(xù)的攻擊和破壞，避免損失。

下期實驗將通過在網(wǎng)絡(luò)中發(fā)起掃描來進(jìn)一步展示平臺的可視化功能。
流影—開源網(wǎng)絡(luò)流量可視化分析平臺（二）文章來源地址http://www.zghlxwxcb.cn/news/detail-719265.html

到了這里，關(guān)于流影---開源網(wǎng)絡(luò)流量可視化分析平臺（一）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！