Zoye-J/Protocol-Decoder-Ring

GitHub: Zoye-J/Protocol-Decoder-Ring

一款用于恶意软件通信分析的网络协议沙箱，能够识别隐蔽通道并自动生成多格式威胁检测规则。

Stars: 0 | Forks: 0

# Protocol Decoder Ring ### *用于恶意软件通信分析的网络协议沙箱* ![Python](https://img.shields.io/badge/Python-3.8%2B-blue?style=for-the-badge&logo=python) ![Scapy](https://img.shields.io/badge/Scapy-2.5.0-green?style=for-the-badge) ![License](https://img.shields.io/badge/License-MIT-yellow?style=for-the-badge) ![Status](https://img.shields.io/badge/Status-Development-orange?style=for-the-badge) [![GitHub](https://img.shields.io/badge/GitHub-Zoye--J-181717?style=for-the-badge&logo=github)](https://github.com/Zoye-J)

## **什么是 Protocol Decoder Ring？** **Protocol Decoder Ring** 是一个高级网络协议沙箱，用于分析**恶意软件如何通信**。它不仅仅是检测“这是恶意的”，还能揭示： - **自定义协议** - 识别未知/模糊的网络协议 - **隐蔽通道** - 检测 DNS 隧道、HTTP 走私和数据隐藏 - **C2 模式** - 发现命令与控制（C2）通信模式 - **数据渗出** - 实时追踪离开沙箱的数据 - **防御生成** - 自动创建 Snort/Suricata 规则 ## **6 个模块 - 完整流程**

模块 1：沙箱环境

已完成

隔离进程执行
临时目录创建
资源监控（CPU/内存）
自动清理
可配置超时

模块 2：数据包捕获引擎

进行中

实时流量嗅探
PCAP 文件分析
流量过滤 (BPF)
带宽追踪
连接重构

模块 3：协议分析

计划中

基于熵的加密检测
DNS 隧道检测
C2 模式识别
协议指纹识别
行为分析

模块 4：数据渗出检测

计划中

数据泄露追踪
隐写术检测
基于时间的隐蔽通道
数据包大小分析
异常数据流检测

模块 5：签名生成器

计划中

Snort 规则 - IPS/IDS 签名
Suricata 规则 - 兼容格式
YARA 规则 - 用于恶意软件搜寻
Sigma 规则 - SIEM 集成
自定义 JSON - 威胁情报源

模块 6：Web 仪表板

计划中

实时可视化
交互式图表
报告生成
时间线分析
API 端点

## **快速开始** ### **前置条件** ``` # Windows 10/11 需求 - Python 3.8 or higher - Npcap (Download from https://npcap.com) - Wireshark (for tshark - Download from https://wireshark.org) ```

标签：C2检测, DAST, DNS隧道, IP 地址批量处理, PCAP分析, Python, Scapy, Suricata, 协议分析, 命令与控制, 威胁情报, 开发者工具, 异常检测, 恶意软件分析, 报告生成, 数据渗出检测, 无后门, 权限提升, 沙箱, 流量解码, 现代安全运营, 网络安全, 规则生成, 逆向工具, 隐私保护, 隐蔽信道