cakwnwongpusat/cakwn-network-forensics

# Cakwn AI 网络取证 CLI **智能网络调查与威胁狩猎框架** Cakwn 网络取证是一个现代化的、基于终端的 DFIR（数字取证与事件响应）和威胁狩猎平台。该框架结合了 TShark、Zeek、NetworkMiner 和 Suricata 等工具的实用性，并利用人工智能（LangChain/Ollama）和机器学习（Isolation Forest/XGBoost）提供了高级分析能力。 ## 🚀 核心特性 - **数据包分析与会话重建：** 快速解析 PCAP 数据并重建连接会话。 - **DNS 历史与文件提取：** 自动分析 DNS 隧道，并从网络流量中提取文件（exe、pdf 等）并计算其哈希值。 - **威胁狩猎与异常检测：** 使用机器学习模型（XGBoost/LightGBM）检测数据外泄、信标活动和端口扫描。 - **YARA 与 Sigma 集成：** 利用自定义威胁规则检测妥协指标（IOC）。 - **MITRE ATT&CK 映射：** 根据 MITRE 安全框架对威胁和对手行为进行分类。 - **AI 取证助手：** 针对已分析的网络流量进行自然语言查询（ChatGPT 风格）。 - **模块化报告：** 将调查证据导出为多种格式，包括 PDF、CSV、JSON 或 HTML。 ## 📦 安装说明 1. **克隆此仓库** git clone https://github.com/wongpusatbolo/cakwn-network-forensics.git cd cakwn-network-forensics 2. **创建虚拟环境** python3 -m venv venv source venv/bin/activate 3. **安装依赖** pip install -r requirements.txt ## 🛠️ 使用说明 (CLI) 使用 `python3 main.py` 命令并 followed by 特定的子命令： ``` # 从接口执行实时数据包捕获 python3 main.py capture --interface eth0 --count 500 # 显示一般分析和统计 python3 main.py analyze capture.pcap python3 main.py stats capture.pcap # 使用 AI 检测网络异常 python3 main.py anomaly capture.pcap # 与 AI 助手交互以获取调查解释 python3 main.py ai ask "Why is this traffic suspicious?" ```

标签：AI风险缓解, Cloudflare, IP 地址批量处理, Metaprompt, MITRE ATT&CK, 异常检测, 网络流量取证, 逆向工具, 防御绕过