Maltrail 是一個惡意流量檢測系統，利用公開可用的（黑）名單，其中包含惡意和/或一般可疑的線索，以及從各種AV報告和自定義用戶定義的名單中編制的靜態線索，其中線索可以是任何域名（如zvpprsensinaix for Banjori malware）。 g. zvpprsensinaix.com用于Banjori惡意軟件），URL（如hXXp:/109.162.38.120/harsh02.exe用于已知的惡意可執行文件），IP地址（如185.130.5.231用于已知的攻擊者）或HTTP用戶代理標頭值（如sqlmap用于自動SQL注入和數據庫接管工具）。此外，它還使用（可選）先進的啟發式機制，可以幫助發現未知威脅（如新的惡意軟件）。

Maltrail是基于流量->傳感器<->服務器<->客戶端架構。傳感器是一個獨立的組件，運行在監控節點上（如Linux平臺被動地連接到SPAN/鏡像端口，或在Linux橋上透明地內聯）或在獨立的機器上（如Honeypot），它 "監測 "通過的流量的黑名單項目/跟蹤（即域名、URL和/或IP）。如果是積極的匹配，它將事件的細節發送到（中央）服務器，它們被存儲在適當的日志目錄（即配置部分中描述的LOG_DIR）中。如果傳感器與服務器在同一臺機器上運行（默認配置），日志將直接存儲到本地日志目錄中。否則，它們將通過UDP消息被發送到遠程服務器（即配置部分中描述的LOG_SERVER）。

?

服務器的主要作用是存儲事件細節，并為報告網絡應用程序提供后端支持。在默認配置中，服務器和傳感器將在同一臺機器上運行。因此，為了防止傳感器活動的潛在中斷，前端報告部分是基于 "胖客戶端 "架構的（即所有的數據后處理是在客戶端的網絡瀏覽器實例內完成的）。選擇的（24小時）期間的事件（即日志條目）被傳輸到客戶端，在那里報告的網絡應用程序只負責展示部分。數據以壓縮塊的形式發送到客戶端，在那里按順序進行處理。最終的報告是以高度濃縮的形式創建的，實際上允許展示幾乎無限數量的事件。

Note：可以完全跳過服務器組件，而只使用獨立的傳感器。在這種情況下，所有的事件將被存儲在本地日志目錄中，而日志條目可以通過手動或一些CSV讀取應用程序來檢查。