Maltrail是一個惡意的流量檢測系統，利用公開可用的(黑色)列表包含惡意和/或一般可疑的跟蹤，以及從各種AV報告和自定義使用者定義列表編譯的靜態跟蹤，其中跟蹤可以是任何域名(例如zvpprsensinaix.com for Banjori惡意軟體)，URL(例如http://109.162.38.120/harsh02)。exe(已知惡意可執行檔案)、IP地址(如185.130.5.231，已知攻擊者)或HTTP使用者代理頭值(如sqlmap，用於自動SQL注入和資料庫接管工具)。此外，它使用(可選的)高階啟發式機制，有助於發現未知威脅(例如新的惡意軟體)。 體系結構 Maltrail基於流量->感測器<-> Server <->客戶端架構。Sensor(s)是一個獨立的元件，執行在監控節點(例如，被動連線到SPAN/mirroring埠的Linux平臺，或者在Linux橋上透明地內聯)上，或者執行在獨立的機器(例如蜜罐)上，它“監控”黑名單項/路徑(例如域名、url和/或ip)的通過流量。如果匹配正確，它將事件詳細資訊傳送到(中央)伺服器，並將其儲存在相應的日誌目錄中(即配置部分中描述的LOG_DIR)。如果感測器與伺服器在同一臺機器上執行(預設配置)，日誌將直接儲存到本地日誌目錄中。否則，它們將通過UDP訊息傳送到遠端伺服器(即配置部分中描述的LOG_SERVER)。

伺服器的主要角色是儲存事件細節併為報表web應用程式提供後端支援。在預設配置中，伺服器和感測器將在同一臺機器上執行。因此，為了防止感測器活動中的潛在中斷，前端報告部分基於“胖客戶機”體系結構(即所有資料後處理都是在客戶機的web瀏覽器例項中完成的)。所選(24h)期間的事件(即日誌條目)被轉移到客戶機，在客戶機中，報表web應用程式全權負責表示部分。資料以壓縮塊的形式傳送到客戶端，並在此順序處理資料。最終報告以高度壓縮的形式建立，實際上允許呈現幾乎無限數量的事件。 注意:伺服器元件可以全部跳過，只使用獨立的感測器。在這種情況下，所有事件都將儲存在本地日誌目錄中，而日誌條目可以通過手動或某些CSV讀取應用程式進行檢查。 安裝：

sudo apt-get install python python-pcapy git
git clone https://github.com/stamparm/maltrail.git