网络安全调查也能可视化？Flowsint 让分析师像查地图一样追踪威胁

做安全分析的朋友应该都懂一个痛点：证据散落在十几处，脑子里要同时记着 IP、域名、用户行为、时间线，稍微一走神就断了线索。

我之前用过不少安全调查工具，大多是一张张表格、一页页日志。有效，但累。看到 reconurge/flowsint 的时候，它的 slogan 吸引了我——「visual, flexible, and extensible graph-based investigations」。图形化、灵活、可扩展。说白了，就是把调查过程变成一张可以交互的地图。

项目背景

Flowsint 的定位很垂直：给网络安全分析师和调查人员用的。它不是那种大而全的 SIEM（安全信息和事件管理系统），而是专攻「调查」这一环。当你已经发现可疑迹象，需要深挖的时候，Flowsint 登场。

项目是 TypeScript 写的，前端界面看着很现代。代码结构清晰，模块化程度不错，这说明作者是真的想让人二次开发的。

核心功能：把线索连成网

我花了一个下午搭了本地环境，导了几条测试数据进去。几个功能让我印象很深：

图形化画布，拖拽即调查

主界面就是一个大白板。你从左侧把线索拖进来——一个 IP 地址、一个域名、一个用户账号——它们会变成节点。然后你手动或自动连线，建立关联。整个调查过程就像在白板上做推理，特别直观。

比如我发现一个可疑 IP，把它拖进来，Flowsint 自动帮我关联到它解析过的域名、注册信息、历史解析记录。原本需要切三个工具查的信息，现在一张图就齐了。

灵活的数据源接入

它支持自定义数据源。你可以接 VirusTotal、Shodan、内部的日志系统，甚至自己写的脚本。每个数据源变成一个「节点类型」，在画布上呈现不同的颜色和图标。我接了一个 whois 查询接口，大概写了二十行配置就生效了。

可扩展的调查逻辑

Flowsint 不只是展示，它还支持自定义调查规则。你可以写简单的逻辑：「如果 IP 出现在黑名单里，标红」「如果域名注册时间小于 7 天，打警告标签」。这些规则会实时反映在画布上，帮你快速聚焦重点。

协作与快照

调查到一半可以保存快照，生成一个分享链接给同事。对方打开后能看到你整理好的整张图，不用从头再来。这对团队协作来说太实用了——安全事件往往是多人跟进的，每个人补充一点线索，图就越画越完整。

实际使用场景

我模拟了一个场景：收到告警，某内网 IP 在凌晨向外网发了大量数据。我把这个 IP 拖进 Flowsint，关联出它访问过的域名、对应的 CDN 节点、以及历史上哪些其他 IP 也访问过同一个域名。顺着线一路追，最后发现这是一个被控主机，背后的 C2 基础设施也一并浮出水面。

整个过程大概十五分钟。如果用传统方式，我估计至少要在四个工具之间切来切去，花一个小时以上。

快速上手

安装需要 Node.js 环境：

git clone https://github.com/reconurge/flowsint.git
cd flowsint
npm install
npm run dev

默认跑在 localhost:3000。数据源配置在 config/sources.yaml 里，模板已经给了几个常见接口的示例。我照着改了一下 whois 的配置，十分钟就通了。

优缺点

优点非常突出：可视化调查的体验远超表格和日志；扩展性很好，自定义数据源和规则都不难；协作功能让团队效率提升明显。

缺点也实在。它只解决「调查」这一个环节，不覆盖告警、响应、报告生成等流程。如果你期望一个 All-in-One 的安全平台，那它不够。另外，当节点数量超过几百个时，画布会有点卡，性能优化还有空间。

还有一个门槛：你得有一定的安全分析基础，知道要查什么、怎么查。Flowsint 是把查的过程变简单了，但不会替你决定查什么。

跟竞品比

Maltego 是老牌的商业化图形调查工具，功能强大但价格感人，而且闭源。Yeti 是开源的威胁情报平台，偏重数据聚合，可视化体验一般。Flowsint 的优势在于「轻量 + 开源 + 现代 UI」。它不是要替代 Maltego，而是给中小团队一个用得起的选项。

适合谁用

安全分析师、威胁狩猎团队、应急响应人员，以及任何需要把碎片线索拼成完整图景的人。如果你还在用 Excel 整理 IOC（失陷指标），强烈建议试试这个。

说实话，这类工具的核心竞争力不是功能多全，而是能不能让你在调查时少动脑、少动手。Flowsint 在这两点上都做得不错。

---

关于作者

柳钉鱼，全栈开发者，GitHub 重度用户。过去 3 年 Star 了 900+ 仓库，这里只写我真正用过或深度调研过的工具。

📧 发现好工具想推荐？发邮件到 [email protected]