cisagov/Malcolm

# Malcolm  Malcolm 是一个强大的网络流量分析工具套件，其设计目标如下： * **易于使用** – Malcolm 接受完整数据包捕获 (PCAP) 文件、Zeek 日志和 Suricata 警报形式的网络流量数据。这些数据可以通过简单的浏览器界面上传，也可以通过轻量级转发器被动实时捕获并转发给 Malcolm。无论哪种情况，数据都会被自动归一化、富化和关联以供分析。 * **强大的流量分析** – 通过两个直观的界面提供网络通信的可视性：OpenSearch Dashboards，一个灵活的数据可视化插件，拥有数十个预构建的仪表板，可一目了然地概览网络协议；以及 Arkime，一个强大的工具，用于查找和识别构成疑似安全事件的网络会话。 * **简化的部署** – Malcolm 作为软件容器集群运行——每个容器都是服务于系统特定功能的隔离沙箱。这种基于容器的部署模式，结合一些用于设置和运行时管理的简单脚本，使 Malcolm 能够快速部署在各种平台和用例中；无论是在安全运营中心 (SOC) 的 Linux 服务器上长期部署，还是在 Macbook 上为个人项目进行事件响应。 * **安全的通信** – 与 Malcolm 的所有通信，无论是来自用户界面还是来自远程日志转发器，都通过行业标准加密协议进行保护。 * **宽松的许可证** – Malcolm 由几个广泛使用的开源工具组成，使其成为需要付费许可证的安全解决方案的有吸引力的替代品。 * **扩展控制系统可视性** – 虽然 Malcolm 非常适合通用网络流量分析，但其创建者在社区中看到了特别需要提供对工业控制系统 (ICS) 环境所用协议洞察的工具。Malcolm 的持续开发将旨在为常见的 ICS 协议提供额外的解析器。 虽然构成 Malcolm 的所有开源工具已经可用且被广泛使用，但 Malcolm 提供了一个互联互通的框架，使其功能比各部分的总和更强大。 简而言之，Malcolm 为网络安全监控提供了一个易于部署的流量分析工具套件。 ## 文档 请参阅 [**Malcolm 文档**](docs/README.md)。 ## 分享您的反馈 您可以通过分享您的想法和反馈来帮助指导 Malcolm 的开发。请花几分钟时间完成 [此调查 ↪](https://forms.gle/JYt9QwA5C4SYX8My6)（托管在 Google Forms 上），以便我们了解 Malcolm 社区的成员及其对该工具的使用案例。 ## 版权和许可 Malcolm 版权所有 2026 Battelle Energy Alliance, LLC。 Malcolm 根据 Apache 许可证 2.0 版获得许可。有关其发布条款，请参阅 `LICENSE.txt`。 ## 作者联系方式： [malcolm@inl.gov](mailto:malcolm@inl.gov?subject=Malcolm)

标签：AMSI绕过, Arkime, DAST, Docker, Elasticsearch, HTTP/HTTPS抓包, HTTP工具, ICS, IP 地址批量处理, Metaprompt, NTLM Relay, PB级数据处理, PCAP分析, PKINIT, Rootkit, Suricata, WSL, Zeek, 全流量捕获, 威胁检测, 安全运维, 安全防御评估, 容器化部署, 工控安全, 开源安全工具, 态势感知, 恶意软件分析, 流量监控, 现代安全运营, 网络安全, 网络流量分析, 蜜罐, 证书利用, 请求拦截, 逆向工程平台, 防御绕过, 隐私保护