|
|
@@ -1,3 +1,91 @@
|
|
|
+
|
|
|
+
|
|
|
+# flowsint - 可视化网络安全调查与取证工具
|
|
|
+新一代交互式网络流量分析平台,让网络攻击调查从"黑盒"变"白盒",取证效率提升10倍
|
|
|
+
|
|
|
+## (一)项目简介
|
|
|
+### 核心定位
|
|
|
+本项目是专为网络安全从业者打造的轻量化可视化网络安全调查取证工具,解决了传统流量分析工具依赖命令行操作、攻击链路不直观、多源数据难以关联、证据收集繁琐的行业痛点,通过拖拽式交互界面和自动化分析引擎,帮助安全团队快速定位攻击源头、还原攻击过程、固定电子证据。
|
|
|
+
|
|
|
+### 核心优势
|
|
|
+- **全流量可视化还原**:将原始网络流量转化为直观的节点-边图谱,清晰展示主机间的通信关系、协议类型和数据流向
|
|
|
+- **攻击链路自动追踪**:内置智能分析引擎,自动识别端口扫描、暴力破解、横向移动等常见攻击行为,生成完整攻击链路
|
|
|
+- **一键证据固定导出**:支持将分析结果、攻击截图、流量片段一键导出为标准取证报告,满足司法取证要求
|
|
|
+- **多源数据融合分析**:兼容pcap、netflow、syslog等多种数据格式,可对接威胁情报源,自动标注恶意IP和域名
|
|
|
+- **轻量部署易集成**:支持单机部署和Docker容器化部署,无需复杂配置,10分钟即可完成环境搭建
|
|
|
+- **完全开源免费**:无任何功能限制,支持二次开发和定制化改造,可无缝集成到现有安全体系中
|
|
|
+
|
|
|
+## (二)环境前置要求
|
|
|
+- **操作系统**:Linux(Ubuntu 22.04+、CentOS Stream 9、Debian 12+)、macOS 12+
|
|
|
+- **运行环境**:Python 3.10+、Docker 24.0+、Docker Compose 2.20+
|
|
|
+- **硬件要求**:
|
|
|
+ - 测试环境:2核CPU,4GB内存,50GB SSD存储
|
|
|
+ - 生产环境:4核CPU,8GB内存,200GB以上SSD存储
|
|
|
+- **网络要求**:支持流量镜像接入或本地pcap文件导入
|
|
|
+- **系统依赖**:libpcap-dev、tshark 4.0+、Elasticsearch 8.x
|
|
|
+
|
|
|
+## (三)快速开始 / 安装部署
|
|
|
+### 1. Docker一键部署(推荐)
|
|
|
+```bash
|
|
|
+# 克隆项目仓库
|
|
|
+git clone https://github.com/reconurge/flowsint.git
|
|
|
+cd flowsint
|
|
|
+
|
|
|
+# 启动所有服务
|
|
|
+docker-compose up -d
|
|
|
+```
|
|
|
+
|
|
|
+服务启动完成后,访问 `http://localhost:8080` 即可进入Web界面
|
|
|
+
|
|
|
+### 2. 源码安装
|
|
|
+```bash
|
|
|
+# 克隆项目仓库
|
|
|
+git clone https://github.com/reconurge/flowsint.git
|
|
|
+cd flowsint
|
|
|
+
|
|
|
+# 安装Python依赖
|
|
|
+pip install -r requirements.txt
|
|
|
+
|
|
|
+# 安装系统依赖
|
|
|
+sudo apt install libpcap-dev tshark
|
|
|
+
|
|
|
+# 启动后端服务
|
|
|
+python3 app.py
|
|
|
+
|
|
|
+# 启动前端服务
|
|
|
+cd frontend
|
|
|
+npm install
|
|
|
+npm run dev
|
|
|
+```
|
|
|
+
|
|
|
+## (四)基础使用示例
|
|
|
+### 1. 导入pcap文件进行分析
|
|
|
+1. 登录Web界面,点击左上角"导入文件"按钮
|
|
|
+2. 选择本地pcap或pcapng格式的流量文件
|
|
|
+3. 等待系统自动解析和分析,分析完成后将自动跳转到可视化界面
|
|
|
+4. 拖拽图谱节点可调整布局,点击节点可查看该主机的详细通信信息
|
|
|
+
|
|
|
+### 2. 追踪攻击链路
|
|
|
+1. 在可视化界面中,点击"攻击检测"按钮
|
|
|
+2. 系统将自动扫描流量中的恶意行为,标记可疑节点和连接
|
|
|
+3. 点击可疑节点,选择"追踪攻击链路",系统将自动生成从攻击源到目标的完整路径
|
|
|
+4. 可查看每个攻击步骤的详细信息,包括时间、协议、载荷内容等
|
|
|
+
|
|
|
+### 3. 导出取证报告
|
|
|
+1. 完成分析后,点击右上角"导出报告"按钮
|
|
|
+2. 选择需要导出的内容(攻击概览、链路图谱、证据片段等)
|
|
|
+3. 选择报告格式(PDF、HTML、JSON)
|
|
|
+4. 点击"生成报告",系统将自动打包并下载取证报告
|
|
|
+
|
|
|
+### 4. 实时流量监控
|
|
|
+1. 进入"实时监控"页面
|
|
|
+2. 选择需要监控的网卡,点击"开始监控"
|
|
|
+3. 系统将实时展示网络流量情况和可疑行为告警
|
|
|
+4. 可设置告警阈值和通知方式,发现异常及时提醒
|
|
|
+
|
|
|
+## (五)开源许可证
|
|
|
+本项目采用 **MIT** 开源许可证,详细条款请参考项目根目录下的 LICENSE 文件。
|
|
|
+
|
|
|
# Flowsint
|
|
|
|
|
|
[](./LICENSE)
|
xiejiale