前言
传统 IDS/IPS 规则关注已知攻击模式,难以发现新型或隐蔽的异常。
传统的工具,如 netstat 或 lsof,虽然功能强大,但命令行输出不够直观;而像 Wireshark 这样的重量级工具,虽然能捕获每一个数据包,但对于只想快速查看实时连接状态的场景来说,又显得有些“杀鸡用牛刀”。
我们开发的全新开源项目——Traffic-monitor,它就可以满足o( ̄︶ ̄)o!
GitHub项目地址:
Traffic-monitor
Traffic-monitor 是一款现代化的网络流量监控工具,它旨在提供一个清晰、实时且用户友好的界面,使其可以一目了然地掌握系统的所有网络活动。它将复杂的网络连接信息,通过一个Web界面,直观地呈现在网页中。
亮点
实时监控:Traffic-monitor通过一个Web UI实时展示所有网络连接。 跨平台:只需要python环境,无论是Windows、Linux还是MacOS,Traffic-monitor都能在系统上原生运行。 多种检测方法: Isolation Forest: 基于孤立森林的异常检测 统计模型: 基于历史基线的3-sigma规则检测 Autoencoder: 深度学习异常检测
PCAP分析:支持上传PCAP文件进行分析。
使用
克隆或进入项目目录
cd Traffic-monitor安装依赖
pip install -r requirements.txt启动服务
python app.py
访问界面
打开浏览器访问: http://localhost:5000
实时监听
注:需要管理员权限启动
选择检测方法(Isolation Forest、统计模型 或 Autoencoder) 选择网络接口(或留空自动选择) 可选:设置BPF过滤器(如 tcp)点击“开始监听”按钮 实时查看检测到的异常流量
分析PCAP文件
点击”上传PCAP”按钮 选择.pcap或.pcapng文件 等待分析完成 查看检测结果和异常模式
查看详情
在左侧面板点击任意数据包 右侧面板显示详细信息: 基本信息(时间、源地址、目标地址、协议) 检测结果(异常状态、分数、流量模式) 数据内容(Payload)