恶意软件整体数据流向

ETL入库：恶意车联网模块配置文件：vehicle_57census_text.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/des_57/insert

APP脱壳

32960协议提取数据脚本：gbt32960.sh配置文件：gbt32960.confoutput_dir:/data/input/caiot_vehicle_gb_t_32960

ETL入库：车联网32960协议模块配置文件：etl-gbt32960.configinput_dir:/data/input/caiot_vehicle_gb_t_32960

ETL入库：恶意样本话单配置文件：cm_sample_log.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/sample/insert

文件服务(ftp，minio)

Portaloutput1:/data/evercm/toApp（离线样本描述txt话单目录）output2:/data/evercm/ftp4app( 离线样本上传及研判报告导出使用的FTP信息)

restore.yaml——样本还原- file-restore:  enable: yes  period: 150  compress: no  writer: flowlog@restore  restore-format: 5  max-dedup: 10000

newiup(output2)

restore.yaml——监测事件- events:  enable: yes  version: comm-v2  writer: translog@events57

ETL入库：车联网808协议模块配置文件：etl-t808.configinput_dir:/data/input/caiot_vehicle_t_808

restore.yaml——处置事件- events:  enable: yes  version: comm-v2  writer: translog@evt57

基础研判

研判结果数据库Mongodb集群

dex研判

NTA-P7

API、病毒、关键字、元数据

AI

newiup

样本解析：配置文件：application.propertiesinput：/data/parsenodeftp 1 2 3output1：/data/parsenodeftp/evercm/EventsParse/etl/sample/insert（datafilepath：命中任意特征库（恶意样本，黑灰白等任何一个）的输出完整话单，入大数据）output2：/home/data/toApp(sampleresource：未命中任何特征库库的样本，输出待研判文件，传给app进行研判)output3：/home/data/harmFile（harmSamplePath：msg-type=1输出恶意样本数据，后续环节上报）output4：/home/data/maliceFile（datafiletarpath：msg-type=2输出指令恶意样本，后续环节上报指令结果）output5：/home/data/unjudgedsamlemd5/（dastatistics：未命中任何库的样本，临时输出不完全话单（不含研判结果）使用的目录，数据入了mysql）

自动化研判

905协议提取数据脚本：jtt905.sh配置文件：jtt905.confoutput_dir:/data/input/caiot_vehicle_jtt_905

消息中间件(kafka)

人工研判

ETL入库：恶意处置模块配置文件：etl-czsj.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/jcsj/insert

newiup（output）

ETL入库：车联网905协议模块配置文件：etl-jtt905.configinput_dir:/data/input/caiot_vehicle_jtt_905

808协议提取数据脚本：t808.sh配置文件：t808.confoutput_dir:/data/input/caiot_vehicle_t_808

APP样本收集：app-dispatch-serviceinput: /home/cmDa（mongodb初始化指定path，为sca话单（APP样本收集）txt的文件目录）

DA：配置文件：configinput:/home/da/source/output:/home/da/edb

clickhouse集群

中间件服务

ETL入库：恶意监测模块配置文件：etl-jcsj.jsoninput:/data/parsenodeftp/evercm/EventsParse/etl/jcsj/insert

动态引擎

静态引擎

任务下发状态回填

newiup（output1）

研判调度output：/home/evercm/unjudge/(portal系统管理的unjudgesavefilepath一致)

样本文件获取研判结果返回结果文件存储任务下发、特征库更新