naufal0505/netlog

## NetLog Analyzer **NetLog Analyzer** 是一个基于 Python 的网络分析工具包，旨在帮助自动化进行来自各种数据源（如 PCAP 文件、Nmap 和系统日志）的*网络威胁狩猎*（network threat hunting）过程。 该工具能够对网络流量进行深入分析，并生成如下安全洞察： * 网络异常检测 * 扫描活动识别 * 像信标（beaconing）这类命令与控制（*command and control, C2*）迹象的检测 * 主机风险分类 * 映射至 MITRE ATT&CK 框架 NetLog Analyzer 非常适合以下人员使用： * 网络安全学生 * 网络分析师 * 蓝队 / SOC 分析师 * 数字取证与事件响应人员 ## ✨ 主要功能 * 🔍 PCAP 文件分析（流量检查） * 📊 完整的网络统计（协议、端口、主机等） * 🚨 自动威胁检测： * 端口扫描 * 信标活动（C2 通信） * 可疑流量 * 🧠 风险评分与严重性分类 * 🗺️ MITRE ATT&CK 映射 * 📈 攻击时间线 * 📁 JSON 格式的输出报告 ## 📊 分析结果示例 该工具能够生成以下洞察： * 事件总数：**1991** * 风险级别：**HIGH** * 检测： * 来自内部主机的端口扫描 * 具有稳定间隔的信标活动（C2 迹象） * 高风险主机 Top： * `10.11.9.20`（高风险） * MITRE 映射： * T1046（网络扫描） * T1071（应用层协议） ## ⚙️ 安装 ``` git clone https://github.com/username/netlog-analyzer.git cd netlog-analyzer pip install -r requirements.txt ``` ## ▶️ 运行方法 运行主程序： ``` python -m app.main ``` ## 🧪 使用方法 1. 运行应用程序 2. 选择输入类型： 1. Nmap 文件 2. PCAP 文件 3. 服务器系统日志文件 3. 输入文件路径，例如： D:\path\to\file.pcapng 4. 等待分析过程完成 5. 结果将显示在终端并保存为 JSON ## 📁 输出 分析结果将保存在： ``` reports/pcap_report.json ``` 包含： * 网络概览 * 热门主机和端口 * 威胁检测 * 攻击时间线 * 风险分类 ## 🧠 简要工作原理 1. 解析输入文件（PCAP/Nmap/日志） 2. 提取网络元数据 3. 流量行为分析： * 频率分析 * 连接模式 4. 异常与威胁模式检测 5. 风险评分 6. 映射至 MITRE ATT&CK 7. 生成报告 ## ⚠️ 威胁分类 该工具可以识别以下威胁类别： * 侦察（扫描） * 命令与控制（信标） * 可疑内部移动 示例：

标签：C2通信, Cloudflare, Command and Control, IP 地址批量处理, MITRE ATT&CK, MITRE映射, Nmap, PCAP分析, Python, Python安全工具, Threat Hunting, 信标检测, 安全分析器, 库, 应急响应, 异常检测, 插件系统, 攻击时间线, 数字取证, 数据统计, 无后门, 端口扫描, 网络安全, 自动化分析, 自动化脚本, 虚拟驱动器, 跨站脚本, 逆向工具, 隐私保护, 风险评分