black0utzy/Hunter-Flash

# ⚡ Hunter Flash: 高速行为威胁猎手     **Hunter Flash** 是一个攻防安全流水线，旨在以极高的速度提取、分类和检测海量日志文件中的异常。 它结合了两者的优势：**C 语言的原始性能**（利用直接内存映射和并行计算）和 **Python 的灵活性**，用于应用复杂的网络安全启发式算法。 ## 🚀 问题与解决方案 在事件响应（IR）期间，使用解释型语言构建的传统工具在处理千兆字节的日志时往往会崩溃。**Hunter Flash** 通过将阻塞 I/O 和排序操作委托给原生 C DLL 来解决这一瓶颈，使 Python 能够专注于检测算法。 **经过验证的性能：** 能够在大约 **130 毫秒内** 解析、排序并全面分析 **1,000,000 条日志事件**（端到端流水线执行）。 ## 🧠 混合架构 1. **原生核心（C + OpenMP）：** - 利用 Windows API 通过 **内存映射文件（`mmap`）** 实现 *零拷贝* 读取。 - 超高速字符串解析，通过位运算将 IPv4 地址映射为 `uint32_t`。 - 高级排序算法（通过 `#pragma omp task` 实现 **并行内省排序**），并通过 HeapSort 回退机制提供 $O(N \log N)$ 最坏情况保证。 2. **桥接层（CTypes）：** 内存安全接口，确保零泄漏（通过 Python 中的 `try...finally` 块处理手动垃圾回收）。 3. **行为引擎（Python）：** 计算基于时间的标准差（差值）和每秒请求数（RPS）速率，以识别非人类流量模式。终端 UI 通过 `Rich` 库渲染。 ## 🛡️ 检测的攻击向量 启发式引擎不依赖静态“特征码”。相反，它分析流量行为： * 💥 **L7 API 洪水攻击（DDoS）：** 巨大的瞬时请求量。 * 🌊 **脉冲攻击：** 通过间歇性爆发和暂停规避速率限制。 * 🐢 **低频慢速攻击（Slowloris）：** 通过有节奏的延迟连接缓慢耗尽服务器套接字。 * 🤖 **C2 信标：** 具有数学周期性间隔的恶意软件通信。 * 🕵️ **自动化模糊测试与扫描：** 具有一致时间偏差的高速目录映射。 * 🔑 **暴力破解：** 针对同一端点的重复身份验证尝试。 * 🕷️ **数据抓取：** 系统且持续的数据提取。 ## 🧪 测试工程（合成数据） 此仓库包含一个混沌生成器（`gerador.py`）。它不是模拟简单的随机数据，而是确定性地将上述 7 种攻击模式注入到数百万行“干净的背景噪声”中。这允许对猎手启发式规则进行严格的数学验证。 ## 🛠️ 如何运行 ### 1. 安装依赖 安装所需的 Python 包（例如用于终端 UI 的 `rich` 库）： ``` pip install -r requirements.txt ``` ### 2. 编译核心 DLL（需要带有 OpenMP 的 GCC） 将 C 引擎编译为独立的动态库。这将生成 Python 将使用的 `core.dll` 文件： ``` gcc -O3 -march=native -fopenmp -shared -static -o core.dll main.c ``` ### 3. 生成合成测试数据集 运行混沌生成器以创建包含注入威胁的 1,000,000 行日志文件（`teste.log`）： ``` python gerador.py ``` ### 4. 运行 Hunter Flash 执行主流水线以实时解析、排序并检测威胁： ``` python hunter_flash.py ``` *专注于软件工程、高性能计算和信息安全的开发。*

标签：API Flood, BurpSuite集成, C2 Beaconing, L7攻击, OpenMP, Python, Slowloris, 内存映射, 命令与控制, 威胁情报, 并行计算, 开发者工具, 异常检测, 无后门, 混合编程, 终端UI, 网络安全, 逆向工具, 隐私保护, 高性能计算