joshuaguda281-stack/network-monitor

GitHub: joshuaguda281-stack/network-monitor

一款基于 Python 的实时网络流量监控与入侵检测系统，解决本地网络威胁的快速识别与告警问题。

Stars: 0 | Forks: 0

# 网络监控 - 实时流量分析与入侵检测系统 [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Python 3.6+](https://img.shields.io/badge/python-3.6+-blue.svg)](https://www.python.org/downloads/) [![Platform](https://img.shields.io/badge/platform-Linux-blue)](https://www.kernel.org/) 一个强大的实时网络流量监控与入侵检测系统，能够检测端口扫描、DDoS 攻击、可疑端口和恶意 IP。 ## 🚀 功能特性 - **实时数据包捕获** - 任意网络接口的实时流量分析 - **端口扫描检测** - 识别侦察活动 - **DDoS 攻击检测** - 监控数据包速率异常 - **可疑端口监控** - 对已知后门/C2 端口（4444、1337、31337 等）发出告警 - **IP 黑名单** - 内置可自定义的恶意 IP 数据库 - **SYN 洪水检测** - 识别潜在 DDoS 攻击 - **ICMP 流量分析** - 检测潜在隧道 - **JSON 报告** - 全面的监控报告 - **彩色编码告警** - 基于严重程度的视觉告警 ## 📋 检测能力 | 威胁类型 | 检测方法 | 严重等级 | |----------|----------|----------| | 端口扫描 | 单个 IP 每分钟 >50 次连接 | 高 | | DDoS 攻击 | 每秒 >1000 个数据包 | 严重 | | SYN 洪水 | 每秒 >100 个 SYN 数据包 | 严重 | | 后门端口 | 连接到可疑端口（4444、1337 等） | 严重 | | 恶意 IP | 黑名单匹配 | 高 | | ICMP 隧道 | 每分钟 >50 个 ICMP 数据包 | 中 | ## 🔧 安装 ``` # 克隆仓库 git clone https://github.com/joshuaguda281-stack/network-monitor.git cd network-monitor # 无需外部依赖！ # 仅使用 Python 标准库 Usage Requires Root previleges # 监控 eth0 接口（最常见） sudo python3 network_monitor.py eth0 # 监控无线接口 sudo python3 network_monitor.py wlan0 # 监控回环接口（用于测试） sudo python3 network_monitor.py lo 🎯 Use Cases SOC Analyst - Real-time threat monitoring Network Administrator - Detect reconnaissance activities Security Researcher - Analyze network traffic patterns Home User - Monitor for suspicious outbound connections ⚙️ Configuration Edit thresholds in the __init__ method: self.port_scan_threshold = 50 # connections per minute self.ddos_threshold = 1000 # packets per second self.syn_flood_threshold = 100 # SYN packets per second # 添加自定义可疑端口 self.suspicious_ports[9999] = "Custom backdoor" # 加入黑名单 self.blacklist["1.2.3.4"] = "Description" 📊 Requirements Python 3.6+ (no external dependencies) Root privileges (for packet capture) Linux operating system (for raw socket access) 🐛 Troubleshooting Issue Solution Permission denied Run with sudo No such device Check interface name with ip link show Address family not supported Use Linux (not WSL1) 📝 License MIT License - See LICENSE file for details. 👤 Author Joshua Guda GitHub: @joshuaguda281-stack LinkedIn: Joshua Guda ⭐ Support If this tool helped you, please star the repository! ```

标签：AMSI绕过, DDoS攻击检测, ICMP隧道检测, IP 地址批量处理, JSON报告, Linux平台, PB级数据处理, Python网络编程, SYN洪水检测, T1040, T1059, T1065, T1071, T1503, T1598, TTP, 入侵检测系统, 可疑端口监控, 威胁检测, 安全数据湖, 安全运维, 实时流量分析, 恶意IP黑名单, 无外部依赖, 标准库, 端口扫描检测, 网络安全, 逆向工具, 防御绕过, 隐私保护, 颜色告警