流影---开源网络流量分析平台(四)(分析引擎部署)

目录

功能介绍

部署过程

一、安装依赖环境

二、源码编译部署

三、运行环境配置

四、运行配置


功能介绍

本章我将继续安装流影的分析引擎组件首先,ly_analyser是流影的威胁行为分析引擎,读取netflow v9格式的数据作为输入,运行各种威胁行为检测模型,产出威胁事件,并留存相关特征数据用于后续取证分析。包括扫描、DGA、DNS隧道、ICMP隧道、服务器外联、 挖矿、各种注入等威胁行为,涵盖机器学习、威胁情报、数据包检测、经验模型四种识别方式。

部署过程

其实这个分析引擎跟管理引擎的安装差不多,他也需要那几个安装组件,所以重复的安装组件我不再讲的那么详细,有需要的可以看我上一篇文章:

流影---开源网络流量分析平台(三)(管理引擎部署)-CSDN博客

一、安装依赖环境
复制代码
1. 安装依赖组件
    yum install gcc gcc-c++ cmake -y
    yum install bison flex json-c-devel -y
    yum install ntp -y
    yum install httpd -y
    yum install boost-devel -y
    yum install libcurl-devel -y
    yum install mariadb-devel -y
    yum install libpcap-devel -y
    yum install net-tools ntpdate -y
    yum install boost -y
    yum install httpd -y
    yum install stunnel -y
    yum install rsync -y
    yum install sysstat -y
        
2. 编译安装cgicc 
    tar -zxvf cgicc-3.2.16.tar.gz -C ./
    cd ./cgicc-3.2.16
    ./configure
    make && make install
    
3. 编译安装cppdb
    tar -jxvf cppdb-0.3.1.tar.bz2 -C ./
    cd ./cppdb-0.3.1
    cmake -DCMAKE_INSTALL_PREFIX=/usr -DLIBDIR=lib64 -DMYSQL_LIB=/usr/lib64/mysql/libmysqlclient.so -DMYSQL_PATH=/usr/include/mysql 
    make && make install
    
4. 编译安装protobuf-3.8.0
    tar -xzvf protobuf-3.8.0.tar.gz
    ./configure
    make && make install
    ln -sf /usr/local/lib/libprotobuf.so.19.0.0 /usr/lib64/libprotobuf.so.19
​
5. tensorflow-2.0.4相关头文件、库安装
复制代码
​​​​​​​这个是一个新的库,我们详细讲一下
    tar -xzvf tf.tar.gz
    cp tf /usr/local/include -r
    tar -xzvf tf_lib.tar.gz 
    cd tf_lib
    cp libtensorflow_framework.so.2.0.4 libtensorflow_cc.so.2.0.4 /usr/local/lib
    #建议下面的in命令大家一个一个运行,不然可能会出错
    ln -sf /usr/local/lib/libtensorflow_framework.so.2.0.4 /usr/local/lib/libtensorflow_framework.so.2
    ln -sf /usr/local/lib/libtensorflow_framework.so.2 /usr/local/lib/libtensorflow_framework.so
    ln -sf /usr/local/lib/libtensorflow_cc.so.2.0.4 /usr/local/lib/libtensorflow_cc.so.2
    ln -sf /usr/local/lib/libtensorflow_cc.so.2 /usr/local/lib/libtensorflow_cc.so
    ln -sf /usr/local/lib/libtensorflow_cc.so.2.0.4 /usr/lib64/libtensorflow_cc.so.2
    ln -sf /usr/local/lib/libtensorflow_framework.so.2.0.4 /usr/lib64/libtensorflow_framework.so.2
二、源码编译部署
复制代码
6. 创建目录
css 复制代码
    mkdir -p /home/Agent
    ln -s /home/Agent /Agent
​
    mkdir -p /home/data/flow/
    ln -s /home/data /data
    ln -s /data/flow /Agent/flow
复制代码
7. 编译源代码
    
css 复制代码
cd src/
    # 编译common
    cd common/
    make && make install
    
    # 编译agent
    cd agent/
    make && make install
    
    # 编译nfdump
    cd nfdump/
    chmod +777 configure
    ./configure
    make 
    cp bin/nfcapd bin/nfdump /Agent/bin
    
三、运行环境配置
复制代码
8. 配置环境语言及时区
    
css 复制代码
export LANG=en_US.UTF-8
    ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
    ntpdate cn.pool.ntp.org 
复制代码
    
9. 关闭seliunx,开放本地防⽕墙端口
    
css 复制代码
#编辑config⽂件
    vi /etc/selinux/config
    #找到配置项
    SELINUX=enforcing
    #修改配置项为:
    SELINUX=disabled
    
    #执⾏命令,即时关闭selinux
    setenforce 0 
​
    #开放本地防⽕墙端口
    systemctl restart firewalld
    firewall-cmd --zone=public --add-port=10081/tcp --permanent
    firewall-cmd --reload
复制代码
​
10. 配置httpd
     
css 复制代码
编辑文件/etc/httpd/conf.d/agent.conf,写入内容:
     Listen 10081
     <VirtualHost *:10081>
         DocumentRoot /Agent/cmd
         <Directory "/Agent/cmd">
             Options ExecCGI
             SetHandler cgi-script
             AllowOverride None
             Order allow,deny
             Allow from all
             Require all granted
         </Directory>
     </VirtualHost>
     
     #重启httpd
     systemctl restart httpd
四、运行配置
复制代码
11. 创建定时任务
    vi /var/spool/cron/apache,加入内容:
    */5 * * * * /Agent/bin/extractor
     
12. 启动nfcapd接收探针发送的netflow数据
    /Agent/bin/nfcapd -w -D -l /data/flow/3 -p 9995
相关推荐
goodlook01233 分钟前
docker 安装运行mysql8.4.4
运维·docker·容器
运维行者_5 分钟前
Azure数据库监控:如何在2025年选择合适的工具
运维·服务器·网络·数据库·flask·自动化·azure
dbkx_296 分钟前
个人自用debian启动
linux·运维·debian
芯盾时代1 小时前
安全大模型智驱网络和数据安全效能跃迁
网络·人工智能·安全·网络安全
彩讯股份3006342 小时前
打造多模态交互新范式|彩讯股份中标2025年中国移动和留言平台AI智能体研发项目
人工智能
思通数科大数据舆情2 小时前
工业安全零事故的智能守护者:一体化AI智能安防平台
人工智能·安全·目标检测·计算机视觉·目标跟踪·数据挖掘·知识图谱
AI360labs_atyun3 小时前
2025 高考:AI 都在哪些地方发挥了作用
人工智能·科技·ai·高考
Yxh181377845544 小时前
短视频矩阵系统技术saas源头6年开发构架
人工智能·矩阵
m0_634448894 小时前
图上合成:用于大型语言模型持续预训练的知识合成数据生成
人工智能·语言模型·自然语言处理
玩转4G物联网4 小时前
零基础玩转物联网-串口转以太网模块如何快速实现与MQTT服务器通信
服务器·物联网·网络协议·tcp/ip·信息与通信·iot·fs100p