AbWebDev29/Malware-traffic-analysis

# 恶意流量分析 🦠🕵️‍♂️ 本仓库包含一个基于 Jupyter Notebook 的数字取证与事件响应（DFIR）工具。它对网络捕获文件（`.pcap`）进行深度包检测（DPI），以提取、分析并可视化恶意网络行为，例如命令与控制（C2）信标和域名生成算法（DGA）查询。 ## 🚀 功能特性 * **深度取证提取：** 扫描 PCAP 文件以查找特定恶意签名，包括可疑 URI（`.exe`、`.php`、`/gate/`）以及与 DGA 相关的顶级域名（`.xyz`、`.win`、`.top`）。 * **去重旁路：** 捕获原始数据包量而非仅唯一指标，以证明自动化恶意信标的频率与时间性。 * **每文件处理限制：** 每个 PCAP 文件智能提取最多 20 个恶意数据包，确保在多个捕获文件之间实现均衡的取证采样。 * **弹性执行：** 包含自定义的 `asyncio` 错误处理机制，可在 PyShark 文件关闭操作期间优雅地绕过 Python 3.14 的严格超时错误。 * **自动化威胁情报可视化：** 将提取的数据解析为 Pandas 数据帧，并使用 Matplotlib/Seaborn 生成三份独立的可视化情报报告。 ## 📂 仓库内容 * `da3.ipynb`：包含提取引擎与可视化脚本的核心 Jupyter Notebook。 * `exercise1.pcap` & `exercise2.pcap`：示例恶意网络流量捕获文件。 * `forensic_graph1_top_ips.png`：标识最常联系的 C2 服务器 IP 的柱状图。 * `forensic_graph2_activity_pie.png`：展示恶意行为分布（如下载与 DNS 回退查询）的饼图。 * `forensic_graph3_top_domains.png`：突出恶意软件所针对的精确硬编码域名/主机的柱状图。 ## 🛠️ 前置条件 要在本地运行此 Notebook，请确保已安装以下组件： 1. **TShark（Wireshark）：** PyShark 是 tshark 的封装器，必须在系统上安装 Wireshark/tshark。 2. **Python 3.x：**（脚本包含专门针对 Python 3.14 严格环境规则的补丁）。 3. **所需 Python 库：** pip install pyshark pandas matplotlib seaborn nest_asyncio

标签：asyncio, ATT&CK 框架, AWS, C2服务器, C2通信, DGA, DPI, Matplotlib, NoSQL, PCAP分析, PyShark, Python, Python 3.14, Seaborn, TLD xyz win top, TShark, URI路径/gate, Wireshark, 句柄查看, 命令与控制, 域名生成算法, 威胁情报, 开发者工具, 异步IO, 恶意域名, 恶意流量分析, 攻击面映射, 数字取证, 文件类型exe, 无后门, 时间序列分析, 机器学习特征, 样本流量, 流量特征提取, 深度包检测, 网络取证可视化, 网络取证工具, 网络安全, 网络安全分析, 自动化脚本, 计算机取证, 逆向工具, 采样限制, 错误处理, 隐私保护, 频率分析