dycus-j/dns-threat-hunter

DNS Threat Hunter v3.1 🛡️🐍 一款高性能、并行化的安全自动化工具，旨在主动识别企业 DNS 和防火墙日志导出中的隐蔽网络威胁、学生主导的代理网络、“影子 IT (Shadow IT)”以及僵尸网络信标。 该工具最初是为保护 K-12 校园网络（Parkhurst Academy）而开发的，专门用于识别广泛的代理绕过尝试和网络流量中的“长尾 (Long Tail)”；即那些标准的基于签名的防火墙经常遗漏的罕见、高熵异常。 📌 问题所在：“Living off the Land”与学生规避行为 现代隐蔽威胁和技术精湛的学生不再依赖“已知恶意”域名。相反，他们利用 Living off the Land (LotL) 策略： - 代理网络： 在合法的云平台（Vercel, Replit, Cloudflare Pages）上托管代理镜像，以绕过静态类别过滤器。 - DGA 信标： 使用域名生成算法 (DGA) 创建高熵子域名，用于短暂的 C2 通信。 - 身份伪装： 利用通用的“云托管”或“机器人”服务，这些服务提供了一层合法性的外衣，以逃避标准防火墙规则。 💡 解决方案：启发式审计 DNS Threat Hunter 不依赖静态黑名单，而是将安全视为一种数学概率。它摄取大量的 .csv 日志导出（Meraki, Mosyle 等），并通过分层严重性引擎运行允许的流量。 高级检测引擎： - Shannon 熵建模：通过数学方式计算 URL 的随机性，以识别机器生成的 DGA 域名。 - 递归允许列表验证：通过递归验证父域名完整性来防止“子域名伪装”。 - 行为覆盖：即使在托管于“受信任”的云基础设施上，也会自动标记高置信度关键词（例如 proxy, unblock, pish, stay）。 🚀 技术特性 - 并行处理： 利用 Python 的 concurrent.futures.ProcessPoolExecutor 绕过全局解释器锁 (GIL)。分布式分析使该工具能够在 0.6 秒内处理 150,000+ 条日志。 - 内存效率： 使用 Python 生成器 和 itertools 来保持近乎平坦的内存占用。 - 风险加权（严重性引擎）： 根据多个风险向量（例如 云主机 + 高风险 TLD + 关键词 = 严重优先级）为域名分配累积分数。 📊 专业报告框架 该工具生成标准化的审计员报告，分为三个层级，以将大容量的“噪音”与隐蔽威胁区分开来： - 🚨 第 1 部分：优先行动列表： 需要立即手动缓解或防火墙阻断的严重和高严重性威胁。 - 📊 第 2 部分：复发性异常： 学生主导的代理环和未授权游戏镜像的主要检测区域。这些是在网络中多次出现的中/低优先级模式。 - 🔍 第 3 部分：长尾（零号病人）： 孤立的、单次命中的异常。这是在升级之前识别隐蔽、低速慢速 (low-and-slow) C2 信标和一次性钓鱼企图的地方。 🛠️ 用法 - 将您的 DNS/防火墙日志导出为 .csv。 - 将文件放在项目目录中（默认：DNS_threat_hunter_test.csv）。 - 运行 hunter： - 查看生成的 threat_report_[timestamp].txt 以获取可执行的情报。 🗺️ 未来路线图 v4.0： - 与 Cisco Meraki Dashboard API 集成，以自动将“严重”域名直接推送到防火墙阻止列表。 - API 富化： + 通过 AbuseIPDB 和 AlienVault OTX 进行动态威胁评分富化。 IT 运维与网络工程

标签：C2通信检测, DGA检测, DNS日志分析, IP 地址批量处理, K-12教育安全, Meraki, Mosyle, Python, 代理绕过检测, 信标检测, 命令控制, 域名生成算法, 并行处理, 异常检测, 影子IT, 数据采集, 无后门, 校园网安全, 白名单验证, 网络安全, 自动化安全工具, 逆向工具, 防火墙日志, 隐私保护, 香农熵