流影---开源网络流量分析平台（一）（小白超详细）

目录

流影介绍

一、技术架构与核心技术

二、核心功能与特性

流影部署 

流影介绍

一、技术架构与核心技术

1. 模块化引擎设计
   流影采用四层模块化架构：流量探针（数据采集）、网络行为分析引擎（特征提取）、威胁检测引擎（规则匹配）、交互式可视化引擎（数据呈现）。这种设计支持分布式部署，单节点流量采集能力可达10Gbps，同时保证用户界面秒级响应。

2. 核心技术融合

   • 深度包检测（DPI）：解析流量内容，提取协议指纹和会话特征；

   • 机器学习与统计模型：基于TensorFlow构建检测模型，结合专家经验库识别40+种威胁场景（如C&C通讯、挖矿行为、隐蔽隧道等）；

   • 数据分层治理：通过采集层（原始流量解析）、特征分析层（行为建模）、聚合管理层（事件关联）实现高效数据处理。

二、核心功能与特性

1. 威胁检测与响应

   • 实时告警：内置扫描检测、注入攻击识别等模型，支持自定义业务场景规则；

   • 证据留存：自动保存异常流量特征及关联设备画像，便于溯源分析；

   • 威胁情报集成：与外部情报库联动，提升APT攻击和未知威胁的识别率。

2. 可视化分析能力

   • 交互式仪表盘：通过时序图、地理热力图、聚类图等呈现流量态势，支持逐层下钻分析；

   • 网络资产测绘：自动识别活跃IP、端口服务类型及操作系统信息，生成资产关联分布图。

3. 轻量化与可扩展性

   • 开源版本提供基础功能，满足中小型用户需求，商业版则扩展威胁情报库和高级定制功能；

   • 支持Netflow协议和sFlow采样，兼容传统网络架构，无需改造现有设备即可部署。

流影部署 

首先官方提供了多种部署方式，有集成包，VMware镜像和github项目部署，

集成包

最新装包下载地址 

• 百度网盘：流影v1.1.1 集成安装包 提取码：AFOS

• 安装教学视频 

• 单节点一键部署安装
• 多节点分布式部署

VMware镜像

最新镜像 

• 百度网盘：流影v1.1.1 OVF镜像 提取码：AFOS
• 虚拟机用户名：root，密码：ShyLiuying

github项目

Github Releases 

以下是Github上各个节点Release地址。

• ly_vis
• ly_server
• ly_analyser
• ly_probe

Gitee Releases 

以下是Gitee上各个节点Release地址，建议国内用户使用。

• ly_vis
• ly_server
• ly_analyser
• ly_probe

安装完成后，流影前端默认使用18080端口，访问地址及默认账号：

• 访问地址：http://ip:18080/ui
• 管理员账号：admin，密码LoginLY@2016

我选择使用VMware的镜像安装

首先将官方的镜像包解压，在VMware中“打开虚拟机”，选中liuying_opensource.ovf，进行安装，至于配置我建议因人而异，如果组网中的流量过大或者需要精细检测，那就大点，其中的两个网卡第一个使用nat模式的（用于本地web进行配置），第二个使用仅主机或桥接（用于检测内网的流量）

进入后输入用户root和密码ShyLiuying（输入后不会显示）

之后再ifconfig查看IP地址

如果IP地址不显示，输入systemctl  restart network，重启网络，接着在浏览器输入ens33 网卡(一般是这个网卡，就是nat的那个）的IP地址后接18080端口的ui目录

就是：http://ens33网卡IP地址:18080/ui

进入web管理界面，输入账号admin  密码  LoginLY@2016

以上就是安装的配置了，关注我，后续我会继续介绍流影的具体配置