neatlabs-ai/packet-capture-analyzer
GitHub: neatlabs-ai/packet-capture-analyzer
一款基于纯 Python 的网络流量取证与威胁检测平台,专注于深度包检测、流量重建与风险评分。
Stars: 52 | Forks: 15
# 📡 NeatLabs™ 数据包捕获分析器
### 深度数据包检查 • 流量取证 • 网络威胁检测
**NeatLabs™ — 为混沌带来上下文**
## 概述
**NeatLabs™ 数据包捕获分析器** 是一个企业级网络取证和流量分析平台,专为网络安全专业人员、事件响应者、威胁猎手和数字取证团队设计。
该系统从 PCAP 和 PCAPNG 捕获文件中执行深度数据包检查、协议解析、会话重建、异常检测和威胁评分。
采用纯 Python 构建,核心分析无需任何外部依赖,该平台提供完整的流量情报、IOC 提取以及专业的取证报告。
## 🚀 核心能力
### 📦 本地捕获分析
- PCAP 和 PCAPNG 解析
- Gzip 压缩捕获支持
- 纯 Python 解析器(无需 Scapy 或 dpkt)
- 高性能数据包处理
### 🌐 协议解析
- 以太网
- IPv4 / IPv6
- TCP / UDP
- ICMP
- ARP
- DNS
- HTTP
- TLS
- VLAN 处理
- 应用层识别
### 🔁 流与会话重建
- TCP 会话跟踪
- UDP 流量分析
- 流量时间线重建
- 源/目标映射
- 带宽分析
- 顶级通信方识别
### 🔍 威胁检测引擎
#### 网络攻击检测
- 端口扫描检测
- 命令与控制信标检测
- 数据外泄检测
- DNS 隧道检测
- ARP 欺骗/缓存中毒检测
- 可疑端口使用检测
- 明文凭证传输检测
#### 加密分析
- TLS 握手检查
- 已弃用的 SSL/TLS 检测
- 密码套件分析
- SNI 提取
### 🧠 流量情报
- IOC 提取(IP、域名、URL)
- DNS 查询分析
- HTTP 请求分析
- 用户代理分析
- 外部与内部 IP 分类
- 协议分布指标
- TTL 分布分析
### 🎯 风险评估
- 综合威胁评分引擎(0–100)
- 基于严重程度的异常分类
- 风险等级评估
- 证据导向的发现
### 📊 报告与导出
- 独立的 HTML 取证报告
- JSON 导出
- 调查摘要仪表板
- 流量统计
- IOC 列表
- 时间线可视化
## 🖥 界面选项
### 图形界面
- 交互式分析仪表板
- 实时数据包检查
- 威胁可视化
- 调查工作流 UI
### 命令行界面
- 自动化分析流水线
- 批量处理
- 报告生成
- 可脚本化的工作流
## 📦 安装
### 要求
- Python 3.9+
- 核心功能无需外部依赖
克隆仓库:
```
git clone https://github.com/neatlabs-ai/packet-capture-analyzer
cd packet-capture-analyzer
```
## ⚡ 用法
### 启动图形界面
```
python packet_capture_analyzer.py
```
### 分析 PCAP 文件
```
python packet_capture_analyzer.py capture.pcap
```
### 分析 PCAPNG 文件
```
python packet_capture_analyzer.py capture.pcapng
```
### 生成 HTML 报告
```
python packet_capture_analyzer.py capture.pcap -r report.html
```
### JSON 输出
```
python packet_capture_analyzer.py capture.pcap --json
```
### 生成演示捕获数据集
创建一个真实的样本捕获,包含:
- HTTPS 流量
- DNS 查询
- HTTP 请求
- C2 信标行为
- DNS 隧道模式
- ARP 欺骗尝试
- 可疑流量模式
```
python packet_capture_analyzer.py --demo
```
## 🧠 架构
```
Capture Parser
↓
Protocol Dissector
↓
Flow Reconstruction Engine
↓
Traffic Analyzer
↓
Threat Detection Engine
↓
Risk Scoring Engine
↓
Report Generator
```
## 🎯 使用场景
- 事件响应调查
- 网络取证
- 恶意流量分析
- 威胁猎捕
- SOC 调查
- 数据外泄检测
- 入侵检测验证
- DFIR 工作流
- 安全研究
## 🔐 安全须知
该工具执行自动化分析,不应替代专家验证。
始终:
- 独立验证发现
- 在受控环境中执行
- 将捕获数据视为敏感信息
## 🗺 路线图
- PCAP 实时捕获模式
- SIEM 集成
- 机器学习异常检测
- 分布式分析引擎
- 威胁情报源集成
- 交互式时间线可视化
## 👤 作者
NeatLabs™
https://neatlabs.ai
服务禁用退伍军人拥有的小型企业
## 📜 许可证
MIT
## ⭐ 关于 NeatLabs™
NeatLabs 开发先进的网络安全、人工智能和信息完整性平台,提供深度技术洞察、自动化分析和可操作的智能,应对复杂数字环境中的挑战。
标签:ARP欺骗检测, C2通信检测, CISA项目, DInvoke, DNS 反向解析, DNS 解析, DNS隧道检测, Google搜索, Go语言工具, HTTP分析, HTTP工具, IOC提取, IP 地址批量处理, PCAPNG解析, PCAP分析, PE 加载器, Python解析, StruQ, TLS分析, Top Talker识别, Web报告查看器, XXE攻击, 企业级取证, 会话重建, 后渗透, 威胁评分, 子域名变形, 安全情报, 带宽分析, 开源软件, 异常检测, 插件系统, 搜索语句(dork), 数字取证, 数据包嗅探, 数据外泄检测, 数据泄露, 文档安全, 无依赖核心分析, 无线安全, 本体建模, 流量取证, 流量可视化, 流量嗅探, 深度包检测, 用户代理分析, 知识库安全, 端口扫描检测, 网络信息收集, 网络威胁检测, 网络安全, 网络安全分析, 网络安全审计, 自动化脚本, 逆向工具, 速率限制, 防御绕过, 隐私保护