jitenhudda/Botnet-Threat-Intelligence-System-Using-Machine-Learning-and-State-Machine
GitHub: jitenhudda/Botnet-Threat-Intelligence-System-Using-Machine-Learning-and-State-Machine
融合机器学习分类、风险评分和状态机行为分析的僵尸网络流量威胁检测原型系统。
Stars: 0 | Forks: 0
# 基于机器学习和状态机的僵尸网络威胁情报系统
## 概述
Botnet Threat Intelligence System(僵尸网络威胁情报系统)是一个混合网络安全框架,旨在利用机器学习、风险评分和基于状态机的行为分析来检测和分析恶意网络活动。
该系统对网络流量模式进行分类,并识别潜在威胁,例如僵尸网络通信、分布式拒绝服务 (DDoS) 攻击、命令与控制 (C2) 活动以及可疑的流量异常。
本项目集成了:
- 机器学习分类
- 行为状态分析
- 威胁风险评分
- 基于 AI 的威胁解释
- 使用 Gradio 的交互式 Web 界面
## 功能特性
- 实时网络流量分析
- 基于机器学习的威胁分类
- 风险评分生成
- 有状态僵尸网络行为检测
- AI 生成的威胁解释
- 交互式 Gradio 仪表盘
- 混合检测架构
## 系统架构
本项目结合了三个主要的检测组件:
### 1. 机器学习层
Random Forest(随机森林)分类器在网络流量特征上进行训练,以对恶意和良性流量模式进行分类。
### 2. 风险评分引擎
系统使用以下指标计算动态威胁风险评分:
- 流持续时间
- 数据包速率
- 吞吐量
- 转发数据包计数
### 3. 状态机引擎
通过预定义的状态监控行为转换:
```
NORMAL → SUSPICIOUS → INFECTED → C2 → ATTACK
```
状态机提高了对多阶段网络攻击和僵尸网络演进的检测能力。
## 数据集要求
数据集必须包含以下列:
| 列名 | 描述 |
|-------------|-------------|
| Flow Duration | 网络流持续时间 |
| Total Fwd Packets | 转发数据包总数 |
| Flow Bytes/s | 每秒传输字节数 |
| Flow Packets/s | 每秒传输数据包数 |
| Label | 流量分类标签 |
## 特征工程
系统生成了额外的智能特征以提高检测性能:
```
Bytes_per_Packet
Packets_per_Duration
Burst_Intensity
PPS_Log
BPS_Log
```
这些特征有助于更有效地识别异常流量行为模式。
## 使用的技术
- Python
- Pandas
- NumPy
- Scikit-learn
- Gradio
## 安装说明
### 克隆仓库
```
git clone https://github.com/your-username/botnet-threat-intelligence-system.git
cd botnet-threat-intelligence-system
```
### 安装依赖
```
pip install gradio pandas scikit-learn numpy
```
## 运行项目
使用以下命令执行应用程序:
```
python app.py
```
执行后,Gradio 将生成一个本地 URL 用于访问 Web 界面。
## 威胁检测逻辑
系统使用行为指标识别可疑活动:
| 条件 | 潜在威胁 |
|------------|----------------|
| 每秒高数据包数 | DDoS 活动 |
| 每秒高字节数 | 数据渗出 |
| 长持续时间伴随低数据包数 | 命令与控制 (C2) 通信 |
| 高数据包总量伴随低速率 | 隐蔽传输活动 |
## 用户界面
基于 Gradio 的仪表盘允许用户:
- 输入网络流量参数
- 实时分析流量行为
- 查看机器学习预测结果
- 监控风险评分
- 阅读 AI 生成的威胁解释
## 示例输出
```
Threat Status: ATTACK
Risk Score: 84.7%
Machine Learning Prediction:
Botnet Traffic
Confidence:
97.3%
AI Threat Analysis:
- Extremely high packet rate detected
- Traffic flooding behavior consistent with DDoS attacks
- Possible command-and-control communication identified
```
## 应用场景
本项目可应用于:
- 入侵检测系统 (IDS)
- 僵尸网络检测系统
- 网络威胁情报平台
- 学术研究
- 网络安全监控
- 安全分析解决方案
## 未来增强
未来的改进可能包括:
- 深度学习集成
- 实时数据包嗅探
- SIEM 集成
- 云部署
- 威胁可视化仪表盘
- 实时网络监控
## 作者
Jiten Hudda
## 致谢
本项目是为网络安全和机器学习领域的教育和研究目的而开发的。
标签:AMSI绕过, Apex, C2通信, DDoS攻击, GitHub, Gradio, IP 地址批量处理, Python, 人工智能, 僵尸网络检测, 入侵检测系统, 多阶段攻击防御, 威胁情报, 威胁检测, 安全数据湖, 密码管理, 开发者工具, 无后门, 智能安全系统, 机器学习, 流量异常检测, 混合检测架构, 状态机, 用户模式Hook绕过, 网络信息收集, 网络安全, 网络安全可视化, 网络流量分析, 逆向工具, 配置审计, 随机森林, 隐私保护, 风险评分