niha-v/Malware-network-traffic-analysis
GitHub: niha-v/Malware-network-traffic-analysis
一套面向 SOC 分析师的 Python 工具,可将恶意软件 PCAP 自动化解析、IOC 提取、情报富化并生成完整的事件报告。
Stars: 0 | Forks: 0
# 恶意软件流量分析器
一个端到端的 Python 工具,用于恶意软件 PCAP 自动化分析、IOC 提取、威胁情报富化以及事件报告生成 —— 专为 SOC 分析师工作流构建。
  
## 项目功能
当安全团队怀疑某台机器遭到入侵时,他们会捕获网络流量并将 PCAP 文件交给分析师。手动审查数千个数据包以查找恶意活动可能需要数小时。本工具将整个过程自动化 —— 从原始数据包数据到生成完整的事件报告。
## 真实案例研究
本工具使用了来自 [Malware-Traffic-Analysis.net](https://malware-traffic-analysis.net) 的真实恶意软件感染捕获数据进行测试
1. [PikaBOT 感染链](https://medium.com/@niharika.umrani/case-study-the-pikabot-infection-chain-8a5411be5025)
## 工具与技术
| 类别 | 工具 |
|---|---|
| 语言 | Python 3.10+ |
| 数据包分析 | PyShark, Scapy |
| 威胁情报 | VirusTotal API, AbuseIPDB API |
| 报告生成 | fpdf2, Rich |
| 网络分析 | Wireshark, tshark |
| 操作系统 | Kali Linux (VMware) |
## 设置与安装
**前置条件:**
- Kali Linux(推荐)或任何 Linux 发行版
- Python 3.10+
- 已安装 tshark (`sudo apt install tshark -y`)
- DejaVu 字体 (`sudo apt install fonts-dejavu -y`)
**安装:**
```
git clone https://github.com/yourusername/malware-traffic-analyzer.git
cd malware-traffic-analyzer
python3 -m venv venv
source venv/bin/activate
pip install scapy pyshark requests rich fpdf2
```
**API 密钥:**
创建一个 `config.py` 文件(切勿提交到 GitHub):
```
VIRUSTOTAL_API_KEY = "your_key_here"
ABUSEIPDB_API_KEY = "your_key_here"
```
从以下位置获取免费 API 密钥:
- VirusTotal: [virustotal.com](https://virustotal.com) → Profile → API Key
- AbuseIPDB: [abuseipdb.com](https://abuseipdb.com) → Account → API
## 用法
**1. 将你的 PCAP 文件添加到 samples 文件夹:**
```
cp your_sample.pcap samples/
```
**2. 运行完整流程:**
```
python3 parser.py
```
**3. 从结果生成 Wireshark 过滤器:**
```
python3 wireshark_filter.py
```
**4. 打开你的报告:**
```
xdg-open threat_report.pdf
```
**5. 在 Wireshark 中使用生成的过滤器:**
```
cat wireshark_filter.txt
```
## 我学到了什么
- 使用 PyShark 和 Scapy 以编程方式解析和分析真实的恶意软件 PCAP 文件
- 从原始网络流量模式中识别 C2 beaconing 行为
- 将威胁情报 API (VirusTotal, AbuseIPDB) 集成到自动化流水线中
- 将观察到的攻击者行为映射到 MITRE ATT&CK 战术和技术
- 制作专业的事件报告作为 SOC 分析师的交付成果
## 重要说明
- **切勿执行提取的文件。** 本工具仅读取和分析数据包数据 —— 它不会运行任何恶意软件
- 在分析新样本之前 **保持你的 VM 快照**
- **切勿提交 `config.py`** —— 将其添加到 `.gitignore` 以保护你的 API 密钥
- 本仓库不包含 PCAP 样本 —— 请从 [Malware-Traffic-Analysis.net](https://malware-traffic-analysis.net) 下载
## PCAP 样本来源
- [Malware-Traffic-Analysis.net](https://malware-traffic-analysis.net) — 包含分析报告的真实恶意软件捕获
- [PacketTotal](https://packettotal.com) — 社区 PCAP 共享
- [Netresec](https://netresec.com) — 精选 PCAP 集合
## 作者
Niharika Umrani | *网络安全分析师*
#### 🔐 *本家庭实验室仅供教育和道德网络安全实践使用。*
## 项目功能
当安全团队怀疑某台机器遭到入侵时,他们会捕获网络流量并将 PCAP 文件交给分析师。手动审查数千个数据包以查找恶意活动可能需要数小时。本工具将整个过程自动化 —— 从原始数据包数据到生成完整的事件报告。
## 真实案例研究
本工具使用了来自 [Malware-Traffic-Analysis.net](https://malware-traffic-analysis.net) 的真实恶意软件感染捕获数据进行测试
1. [PikaBOT 感染链](https://medium.com/@niharika.umrani/case-study-the-pikabot-infection-chain-8a5411be5025)
## 工具与技术
| 类别 | 工具 |
|---|---|
| 语言 | Python 3.10+ |
| 数据包分析 | PyShark, Scapy |
| 威胁情报 | VirusTotal API, AbuseIPDB API |
| 报告生成 | fpdf2, Rich |
| 网络分析 | Wireshark, tshark |
| 操作系统 | Kali Linux (VMware) |
## 设置与安装
**前置条件:**
- Kali Linux(推荐)或任何 Linux 发行版
- Python 3.10+
- 已安装 tshark (`sudo apt install tshark -y`)
- DejaVu 字体 (`sudo apt install fonts-dejavu -y`)
**安装:**
```
git clone https://github.com/yourusername/malware-traffic-analyzer.git
cd malware-traffic-analyzer
python3 -m venv venv
source venv/bin/activate
pip install scapy pyshark requests rich fpdf2
```
**API 密钥:**
创建一个 `config.py` 文件(切勿提交到 GitHub):
```
VIRUSTOTAL_API_KEY = "your_key_here"
ABUSEIPDB_API_KEY = "your_key_here"
```
从以下位置获取免费 API 密钥:
- VirusTotal: [virustotal.com](https://virustotal.com) → Profile → API Key
- AbuseIPDB: [abuseipdb.com](https://abuseipdb.com) → Account → API
## 用法
**1. 将你的 PCAP 文件添加到 samples 文件夹:**
```
cp your_sample.pcap samples/
```
**2. 运行完整流程:**
```
python3 parser.py
```
**3. 从结果生成 Wireshark 过滤器:**
```
python3 wireshark_filter.py
```
**4. 打开你的报告:**
```
xdg-open threat_report.pdf
```
**5. 在 Wireshark 中使用生成的过滤器:**
```
cat wireshark_filter.txt
```
## 我学到了什么
- 使用 PyShark 和 Scapy 以编程方式解析和分析真实的恶意软件 PCAP 文件
- 从原始网络流量模式中识别 C2 beaconing 行为
- 将威胁情报 API (VirusTotal, AbuseIPDB) 集成到自动化流水线中
- 将观察到的攻击者行为映射到 MITRE ATT&CK 战术和技术
- 制作专业的事件报告作为 SOC 分析师的交付成果
## 重要说明
- **切勿执行提取的文件。** 本工具仅读取和分析数据包数据 —— 它不会运行任何恶意软件
- 在分析新样本之前 **保持你的 VM 快照**
- **切勿提交 `config.py`** —— 将其添加到 `.gitignore` 以保护你的 API 密钥
- 本仓库不包含 PCAP 样本 —— 请从 [Malware-Traffic-Analysis.net](https://malware-traffic-analysis.net) 下载
## PCAP 样本来源
- [Malware-Traffic-Analysis.net](https://malware-traffic-analysis.net) — 包含分析报告的真实恶意软件捕获
- [PacketTotal](https://packettotal.com) — 社区 PCAP 共享
- [Netresec](https://netresec.com) — 精选 PCAP 集合
## 作者
Niharika Umrani | *网络安全分析师*
#### 🔐 *本家庭实验室仅供教育和道德网络安全实践使用。*标签:AbuseIPDB, Ask搜索, DAST, IOC提取, IP 地址批量处理, PB级数据处理, PCAP分析, PyShark, Python, Scapy, SOC工具, Tshark, VirusTotal, Wireshark, 信安, 包捕获, 句柄查看, 威胁情报, 安全运维, 库, 应急响应, 开发者工具, 恶意软件分析, 无后门, 漏洞发现, 网络安全, 自动化报告, 逆向工具, 隐私保护