TanushriKhatri/Zombie-API-Detection-System

# 🧟‍♂️ Zombie API 检测系统 (AETHER Sentinel) ## 这是一个由 AI 驱动的端到端网络安全解决方案，能够处理超过 200 万条网络记录，利用行为特征工程和机器学习（Isolation Forest 和 Random Forest）来检测 Zombie API，对攻击进行分类，生成可解释的威胁情报，并通过人脸认证保护仪表板的访问安全。 ## 🚀 项目概述 Zombie API 是隐藏或遭到破坏的 endpoint，它们表现出异常的流量模式，可能会被用于 DDoS、扫描和 bot 活动等攻击。 本项目专注于： - 📊 理解网络数据 - ⚙️ 构建有意义的特征工程 - 📈 可视化行为模式 - 🤖 应用 ML 进行检测 - 🔐 使用人脸认证保障访问安全 ## 🧠 核心亮点 - ⭐ 高度聚焦特征工程 - 📊 深度的数据可视化与洞察 - 🤖 混合机器学习方案（异常检测 + 分类） - 📈 可解释的输出（风险评分 + 行为标签） - 🔐 基于人脸认证的安全仪表板 ## 📁 项目结构 ``` Python_Zombie_Api/ │ ├── auth/ # Face authentication (FaceNet, OpenCV) ├── ZombieApi/ │ ├── artifacts/ # Saved models, scaler, encoders │ ├── dashboard/ # FastAPI backend + frontend UI │ ├── data/ # Processed datasets (train/test) │ ├── data_prep/ # Data cleaning scripts │ ├── feature_engineering/ # Feature engineering pipeline │ │ └── feature_engineering_ml.py │ ├── models/ # ML training & prediction │ ├── requirements.txt └── .gitignore ``` ## ⚙️ 核心组件 ### 🔹 1. 数据处理 - 清洗了大型数据集（约 200 万+ 行） - 移除了 NaN 和无限值 - 选择了数值型特征 - 使用采样进行性能优化 ### 🔹 2. 特征工程（核心优势 ⭐） 将原始网络流量转换为基于行为的特征。 #### 📡 流量特征 - `packets_per_second` → 流量速度 - `bytes_per_packet` → 平均数据包大小 #### ⚖️ 行为特征 - `packet_ratio` → 不平衡检测 - `forward_dominance` → 单向流量识别 #### 🚨 攻击指标 - `flag_ratio` → SYN flood 检测 - `reset_rate` → 异常连接重置 #### ⏱️ 时间特征 - `time_between_requests` - `iat_variability` #### 🔁 模式特征 - `burstiness` → 突发流量激增 - `traffic_imbalance` - `repeat_call_ratio` → 类 bot 行为检测 #### 🌐 网络行为特征 - `endpoint_diversity` → 端口扫描检测 ### 🔹 3. 数据预处理 - 对偏态特征进行对数转换 - 使用 StandardScaler 进行归一化 - 基于相关性的特征移除 - 基于 Random Forest 的特征重要性分析 ### 🔹 4. 数据可视化 📊 使用多种可视化方法来理解流量行为： - 散点图 → 行为分离 - 箱线图 → 分布对比 - KDE 图 → 时间模式分析 - 直方图 → 特征分布范围 - 热力图 → 相关性分析 **优势：** - 理解攻击流量与正常流量 - 发现隐藏模式 - 改善特征选择 ### 🔹 5. 机器学习 🤖 #### Isolation Forest - 检测异常流量模式 - 识别以前未见的攻击 #### Random Forest - 对攻击类别进行分类 - 提供预测置信度 #### 洞察层 生成： - `risk_score` - `risk_level` (High / Medium / Low) - `behavior_tag` ### 🔹 6. 人脸认证 🔐 使用以下技术保障系统的访问安全： - OpenCV → 图像捕获 - MTCNN → 人脸检测 - FaceNet → 人脸嵌入 - 余弦相似度 → 用户验证 ✅ 只有授权用户才能访问仪表板。 ### 🔹 7. 后端 (FastAPI) 可用的 API： | Endpoint | 描述 | |-----------|-------------| | `/face-login` | 用户认证 | | `/upload-data` | 执行检测 pipeline | | `/results` | 获取检测洞察 | ### 🔹 8. 前端 仪表板功能： - 安全的人脸登录 - 可视化分析仪表板 - 动态检测结果 - 风险分析展示 ## 🔁 系统工作流 ``` Face Login ↓ Upload Data ↓ Feature Engineering ↓ Visualization ↓ Machine Learning ↓ Risk Analysis & Insights ``` ## ⚙️ 安装 ``` git clone https://github.com//ZombieApi.git cd Python_Zombie_Api python -m venv venv # Windows venv\Scripts\activate pip install -r requirements.txt ``` ## ▶️ 运行项目 ### 训练模型 ``` python ZombieApi/models/train.py ``` ### 启动 FastAPI 服务器 ``` cd ZombieApi/dashboard uvicorn main:app --reload ``` ### 在浏览器中打开 ``` http://127.0.0.1:8000 ``` ## 📊 输出 系统提供： - 异常检测结果 - 攻击分类 - 风险评分 - 风险等级 - 行为洞察 - 可解释的安全告警 ## 🔮 未来展望 - 实时流量监控 - 基于图论的异常检测 - 云部署 - 集成 SIEM 和安全工具 - 高级威胁情报支持 ## 📌 结论 AETHER Sentinel 专注于理解网络行为，而不是仅仅依赖预测。 通过将原始网络流量转化为可操作、可解释且聚焦安全的洞察，该系统提升了入侵检测能力，同时为安全分析师保持了透明度和可解释性。

标签：AMSI绕过, Apex, AV绕过, FastAPI, IP 地址批量处理, 人脸认证, 威胁检测, 异常检测, 机器学习, 网络安全, 逆向工具, 隐私保护