YGDMM/Network-Threat-Hunting-Lab

# 网络威胁狩猎实验室 正在开发中 ## 概述 本项目重点在于使用 Python 和网络分析工具进行防御性网络安全分析。 其目标是通过分析网络流量、识别可疑行为并将活动映射到防御性安全概念，来模拟基础的威胁狩猎和 SOC 风格的调查工作流。 本项目结合了： - Python 脚本编写 - 网络侦察 - 数据包分析 - 日志分析 - 威胁检测 - 基础 MITRE ATT&CK 映射 ## 项目目标 本项目的主要目标是： - 了解网络侦察的工作原理 - 分析数据包级别的网络活动 - 检测可疑的通信模式 - 模拟防御性网络安全工作流 - 培养网络调查的实用 Python 技能 ## 计划项目阶段 ### 阶段 1 — 网络侦察 使用 Python 工具进行基础的网络发现和枚举。 计划主题： - 主机发现 - 端口扫描 - 服务识别 - 网络映射 工具： - Scapy - socket - python-nmap ### 阶段 2 — 数据包流量分析 捕获并分析网络流量以理解通信模式。 计划主题： - DNS 流量 - HTTP 请求 - ICMP 分析 - ARP 流量 - 数据包检查 工具： - Wireshark - Scapy - Python ### 阶段 3 — 可疑活动检测 识别潜在的恶意或异常网络行为。 计划主题： - 端口扫描检测 - 重复连接尝试 - 异常流量模式 - 可疑 DNS 活动 - 流量异常 ### 阶段 4 — 日志分析 分析由网络活动和检测脚本生成的日志。 计划主题： - 事件关联 - 可疑指标 - 行为分析 - 检测逻辑 ### 阶段 5 — MITRE ATT&CK 映射 将观察到的行为与常见的 ATT&CK 技术相关联。 示例可能包括： - 主动扫描 (Active Scanning) - 网络服务发现 (Network Service Discovery) - 协议滥用 (Protocol Abuse) - 发现技术 (Discovery Techniques) ## 技术 - Python - Scapy - Wireshark - Nmap - pandas - matplotlib ## 状态 此仓库目前正在积极开发中。

标签：AMSI绕过, ARP分析, Cloudflare, CTI, DNS分析, Facebook API, HTTP分析, ICMP分析, MITRE ATT&CK, PB级数据处理, Python, python-nmap, Qt框架, Scapy, SOC分析, Wireshark, 事件关联, 信安竞赛, 协议分析, 句柄查看, 威胁检测, 安全实验室, 安全脚本, 安全运维, 安全运营, 实时处理, 密码管理, 异常流量检测, 扫描框架, 插件系统, 数据统计, 无后门, 服务识别, 权限提升, 端口扫描, 网络安全, 网络安全审计, 逆向工具, 防御性安全, 防御绕过, 隐私保护