网站基础风格创建网站制作公司crm客户管理系统
目录
功能介绍
部署过程
一、安装依赖环境
二、源码编译部署
三、运行环境配置
四、运行配置
功能介绍
本章我将继续安装流影的分析引擎组件首先,ly_analyser是流影的威胁行为分析引擎,读取netflow v9格式的数据作为输入,运行各种威胁行为检测模型,产出威胁事件,并留存相关特征数据用于后续取证分析。包括扫描、DGA、DNS隧道、ICMP隧道、服务器外联、 挖矿、各种注入等威胁行为,涵盖机器学习、威胁情报、数据包检测、经验模型四种识别方式。
部署过程
其实这个分析引擎跟管理引擎的安装差不多,他也需要那几个安装组件,所以重复的安装组件我不再讲的那么详细,有需要的可以看我上一篇文章:
流影---开源网络流量分析平台(三)(管理引擎部署)-CSDN博客
一、安装依赖环境
1. 安装依赖组件yum install gcc gcc-c++ cmake -yyum install bison flex json-c-devel -yyum install ntp -yyum install httpd -yyum install boost-devel -yyum install libcurl-devel -yyum install mariadb-devel -yyum install libpcap-devel -yyum install net-tools ntpdate -yyum install boost -yyum install httpd -yyum install stunnel -yyum install rsync -yyum install sysstat -y2. 编译安装cgicc tar -zxvf cgicc-3.2.16.tar.gz -C ./cd ./cgicc-3.2.16./configuremake && make install3. 编译安装cppdbtar -jxvf cppdb-0.3.1.tar.bz2 -C ./cd ./cppdb-0.3.1cmake -DCMAKE_INSTALL_PREFIX=/usr -DLIBDIR=lib64 -DMYSQL_LIB=/usr/lib64/mysql/libmysqlclient.so -DMYSQL_PATH=/usr/include/mysql make && make install4. 编译安装protobuf-3.8.0tar -xzvf protobuf-3.8.0.tar.gz./configuremake && make installln -sf /usr/local/lib/libprotobuf.so.19.0.0 /usr/lib64/libprotobuf.so.19 5. tensorflow-2.0.4相关头文件、库安装
这个是一个新的库,我们详细讲一下tar -xzvf tf.tar.gzcp tf /usr/local/include -rtar -xzvf tf_lib.tar.gz cd tf_libcp libtensorflow_framework.so.2.0.4 libtensorflow_cc.so.2.0.4 /usr/local/lib#建议下面的in命令大家一个一个运行,不然可能会出错ln -sf /usr/local/lib/libtensorflow_framework.so.2.0.4 /usr/local/lib/libtensorflow_framework.so.2ln -sf /usr/local/lib/libtensorflow_framework.so.2 /usr/local/lib/libtensorflow_framework.soln -sf /usr/local/lib/libtensorflow_cc.so.2.0.4 /usr/local/lib/libtensorflow_cc.so.2ln -sf /usr/local/lib/libtensorflow_cc.so.2 /usr/local/lib/libtensorflow_cc.soln -sf /usr/local/lib/libtensorflow_cc.so.2.0.4 /usr/lib64/libtensorflow_cc.so.2ln -sf /usr/local/lib/libtensorflow_framework.so.2.0.4 /usr/lib64/libtensorflow_framework.so.2二、源码编译部署
6. 创建目录
mkdir -p /home/Agentln -s /home/Agent /Agent
mkdir -p /home/data/flow/ln -s /home/data /dataln -s /data/flow /Agent/flow7. 编译源代码
cd src/# 编译commoncd common/make && make install# 编译agentcd agent/make && make install# 编译nfdumpcd nfdump/chmod +777 configure./configuremake cp bin/nfcapd bin/nfdump /Agent/bin三、运行环境配置
8. 配置环境语言及时区
export LANG=en_US.UTF-8ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtimentpdate cn.pool.ntp.org 9. 关闭seliunx,开放本地防⽕墙端口
#编辑config⽂件vi /etc/selinux/config#找到配置项SELINUX=enforcing#修改配置项为:SELINUX=disabled#执⾏命令,即时关闭selinuxsetenforce 0
#开放本地防⽕墙端口systemctl restart firewalldfirewall-cmd --zone=public --add-port=10081/tcp --permanentfirewall-cmd --reload 10. 配置httpd
编辑文件/etc/httpd/conf.d/agent.conf,写入内容:Listen 10081<VirtualHost *:10081>DocumentRoot /Agent/cmd<Directory "/Agent/cmd">Options ExecCGISetHandler cgi-scriptAllowOverride NoneOrder allow,denyAllow from allRequire all granted</Directory></VirtualHost>#重启httpdsystemctl restart httpd四、运行配置
11. 创建定时任务vi /var/spool/cron/apache,加入内容:*/5 * * * * /Agent/bin/extractor12. 启动nfcapd接收探针发送的netflow数据/Agent/bin/nfcapd -w -D -l /data/flow/3 -p 9995