Maltrail 是一個(gè)惡意流量檢測(cè)系統(tǒng)，利用公開可用的（黑）名單，其中包含惡意和/或一般可疑的線索，以及從各種AV報(bào)告和自定義用戶定義的名單中編制的靜態(tài)線索，其中線索可以是任何域名（如zvpprsensinaix for Banjori malware）。 g. zvpprsensinaix.com用于Banjori惡意軟件），URL（如hXXp:/109.162.38.120/harsh02.exe用于已知的惡意可執(zhí)行文件），IP地址（如185.130.5.231用于已知的攻擊者）或HTTP用戶代理標(biāo)頭值（如sqlmap用于自動(dòng)SQL注入和數(shù)據(jù)庫接管工具）。此外，它還使用（可選）先進(jìn)的啟發(fā)式機(jī)制，可以幫助發(fā)現(xiàn)未知威脅（如新的惡意軟件）。

Maltrail是基于流量->傳感器<->服務(wù)器<->客戶端架構(gòu)。傳感器是一個(gè)獨(dú)立的組件，運(yùn)行在監(jiān)控節(jié)點(diǎn)上（如Linux平臺(tái)被動(dòng)地連接到SPAN/鏡像端口，或在Linux橋上透明地內(nèi)聯(lián)）或在獨(dú)立的機(jī)器上（如Honeypot），它 "監(jiān)測(cè) "通過的流量的黑名單項(xiàng)目/跟蹤（即域名、URL和/或IP）。如果是積極的匹配，它將事件的細(xì)節(jié)發(fā)送到（中央）服務(wù)器，它們被存儲(chǔ)在適當(dāng)?shù)娜罩灸夸洠磁渲貌糠种忻枋龅腖OG_DIR）中。如果傳感器與服務(wù)器在同一臺(tái)機(jī)器上運(yùn)行（默認(rèn)配置），日志將直接存儲(chǔ)到本地日志目錄中。否則，它們將通過UDP消息被發(fā)送到遠(yuǎn)程服務(wù)器（即配置部分中描述的LOG_SERVER）。

?

服務(wù)器的主要作用是存儲(chǔ)事件細(xì)節(jié)，并為報(bào)告網(wǎng)絡(luò)應(yīng)用程序提供后端支持。在默認(rèn)配置中，服務(wù)器和傳感器將在同一臺(tái)機(jī)器上運(yùn)行。因此，為了防止傳感器活動(dòng)的潛在中斷，前端報(bào)告部分是基于 "胖客戶端 "架構(gòu)的（即所有的數(shù)據(jù)后處理是在客戶端的網(wǎng)絡(luò)瀏覽器實(shí)例內(nèi)完成的）。選擇的（24小時(shí)）期間的事件（即日志條目）被傳輸?shù)娇蛻舳?，在那里?bào)告的網(wǎng)絡(luò)應(yīng)用程序只負(fù)責(zé)展示部分。數(shù)據(jù)以壓縮塊的形式發(fā)送到客戶端，在那里按順序進(jìn)行處理。最終的報(bào)告是以高度濃縮的形式創(chuàng)建的，實(shí)際上允許展示幾乎無限數(shù)量的事件。

Note：可以完全跳過服務(wù)器組件，而只使用獨(dú)立的傳感器。在這種情況下，所有的事件將被存儲(chǔ)在本地日志目錄中，而日志條目可以通過手動(dòng)或一些CSV讀取應(yīng)用程序來檢查。