aiagentmackenzie-lang/GHOSTWIRE
GitHub: aiagentmackenzie-lang/GHOSTWIRE
Stars: 0 | Forks: 0
# GHOSTWIRE — 网络取证引擎
GHOSTWIRE 是一个由开发者构建的网络取证引擎,结合了 C2 信标检测、JA4+ 指纹识别和会话重建,集成到一个专注的狩猎工具中。它不是企业级 SIEM,而是分析师使用的武器。
## 功能特性
- **PCAP/PCAPNG 导入** — 加载并解析任意捕获文件(dpkt + scapy)
- **协议解码** — HTTP、DNS、TLS(SNI 提取)、SSH、ICMP 隧道检测
- **TCP 会话重建** — 流重组、乱序处理、状态跟踪
- **JA4+ 指纹识别** — TLS、HTTP 和 SSH 客户端指纹识别(带 JA3 回退)
- **C2 信标检测** — 统计抖动分析、流量不对称性、熵评分
- **DNS 威胁检测** — DGA 检测、DNS 隧道、可疑查询模式
- **C2 工具匹配** — Cobalt Strike、Metasploit、Sliver、Havoc、Brute Ratel、Covenant 指纹数据库
- **复合威胁评分** — 基于所有检测信号的加权评分
- **丰富的 CLI 输出** — 深色主题终端仪表板,支持表格和高亮
- **JSON 导出** — 机器可读输出,便于自动化和流水线处理
## 快速开始
```
# 安装
git clone https://github.com/aiagentmackenzie-lang/GHOSTWIRE.git
cd GHOSTWIRE
python3 -m venv .venv
source .venv/bin/activate
pip install -e .
# 分析 PCAP
ghostwire analyze capture.pcap
# 用于自动化的 JSON 输出
ghostwire analyze capture.pcap --output json
# 调整灵敏度
ghostwire analyze capture.pcap --min-score 0.1 --min-packets 5
# 使用特定解析器
ghostwire analyze capture.pcap --parser scapy
```
## 工作原理
```
PCAP File → Parser → Protocol Decoder → Session Reconstructor
↓
JA4+ Fingerprinting ←→ C2 Database
↓
C2 Beacon Detector
DNS Threat Detector
↓
Composite Threat Scorer
↓
CLI Dashboard / JSON
```
### C2 信标检测算法
1. **抖动分析** — 计算报文到达时间间隔(IAT)的抖动比率(标准差/均值)。信标具有固定间隔 → 抖动 < 0.1 = 95% 置信度
2. **流量不对称性** — C2 流量通常不对称(小请求、可变响应)
3. **连接规律性** — 长时间、低速率会话持续存在
4. **熵评分** — 加密的 C2 通道显示高香农熵(>7.5)
### JA4+ 指纹识别
使用官方 `ja4plus` 库进行现代 TLS/TCP/HTTP/SSH 指纹识别:
- **JA4** — TLS 客户端指纹(JA3 的后继)
- **JA4S** — TLS 服务器指纹
- **JA4H** — HTTP 客户端指纹
- **JA4SSH** — SSH 客户端指纹
- **JA4X** — X.509 证书指纹
匹配已知 C2 工具指纹,包括 Cobalt Strike、Sliver、Metasploit 等。
## 架构
| 模块 | 用途 |
|------|------|
| `engine/parser/` | PCAP 加载、协议解码、会话重建 |
| `engine/fingerprint/` | JA4+ 指纹识别、C2 工具匹配 |
| `engine/detection/` | 信标检测、DNS 威胁、复合评分 |
| `engine/cli.py` | CLI 接口(click + rich) |
## 为何选择 GHOSTWIRE?
| 功能特性 | RITA | Malcolm | Arkime | GHOSTWIRE |
|----------|------|---------|--------|-----------|
| C2 信标检测 | ✅ | ❌ | ❌ | ✅ |
| JA4+ 指纹识别 | ❌ | ❌ | ❌ | ✅ |
| 单一开发者构建 | ❌ | ❌ | ❌ | ✅ |
| 无需基础设施 | ❌ | ❌ | ❌ | ✅ |
| PCAP 级分析 | ❌ | ✅ | ✅ | ✅ |
| DNS 威胁检测 | ❌ | ❌ | ❌ | ✅ |
## 路线图
- [x] 阶段 1:PCAP 解析器 + 协议解码器 + JA4+ 指纹识别 + C2 匹配
- [x] 阶段 2:C2 信标检测器 + DNS 威胁 + 复合评分
- [ ] 阶段 3:React 仪表板(时间线、信标图表、网络图、地理地图)
- [ ] 阶段 4:STIX 2.1 导出 + MITRE ATT&CK 映射 + 报告生成器
## 许可证
MIT
*由 Raphael Main + Agent Mackenzie 设计。为从事狩猎工作的分析师构建。
标签:API安全, C2信标检测, C2工具匹配, DGA检测, DNS威胁检测, DNS隧道, dpkt, HTTP指纹, JA4指纹识别, JSON输出, MITRE ATT&CK映射, PCAP分析, Python网络取证, Radare2, scapy, SSH指纹, STIX导出, TCP会话重组, TLS指纹, 不对称流量分析, 会话状态跟踪, 协议解码, 命令行取证, 复合威胁评分, 安全数据导出, 开发者取证工具, 开源取证, 数据包解析, 日志与事件分析, 深度包检测, 熵评分, 统计抖动分析, 网络威胁情报, 网络安全分析, 网络安全监控, 网络流量取证, 网络狩猎, 自动化导出, 逆向工具, 驱动开发