RetalA1/Hybrid-Anomaly-Framework

GitHub: RetalA1/Hybrid-Anomaly-Framework

将 Snort 传统特征检测与自定义神经网络相结合的混合入侵检测实验框架,用于发现传统规则无法覆盖的无特征异常行为。

Stars: 1 | Forks: 0

# 混合异常检测框架 ## 系统架构与概述: 在这个自定义实验环境中,由于 Snort 和传统入侵检测系统依赖于预定义的特征规则和已知的恶意字符串,因此我们将自定义神经网络与传统基于特征的检测相结合。从 Wireshark 获取并通过 Scapy 解析为行为特征的原始网络数据包,会交由神经网络进行评估,以捕获无特征的异常行为。 ## 技术栈: **工具**:Python(NumPy、Pandas)、Scapy、Snort、Wireshark、Nmap、Medusa、Netcat。 **环境**:Metasploitable 2(目标主机)、Ubuntu(IDS 传感器部署)、Kali Linux(攻击机)。 **框架**:Metasploit Framework。 ## 侦察与基线特征获取: 从 Kali Linux 执行了全面的 nmap 扫描,以识别易受攻击的端口和攻击面,从而建立训练异常检测模型所需的网络属性。 nmap -sV 图 1:全面的 Nmap 扫描及结果 ## 利用与数据集生成: 针对目标主机执行了多种渗透测试措施,提供了行为变异以测试模型的边界。 privilege escalation 图 2:从普通用户成功本地提权至 root。 medusa exploit 图 3:模拟高频噪声的 SSH 凭据暴力破解。 RCE exploit 图 4:通过 Apache Tomcat 管理器执行 RCE 生成 web payload 流量。 VSFTPD exploit 图 5:在 21 端口上利用 vsftpd 2.3.4 后门。 telnet port 1524 图 6:通过 telnet bind shell 利用远程命令 shell。 ## 防御与传统告警: 捕获原始网络活动,以记录和分析传统特征规则在进行特征提取之前的登记情况。 medusa logs 图 7:通过运行 Medusa 利用捕获到的特征告警,用于初始威胁验证(高频噪声)。 nc port 6200 nc 6200 logs 图 8:Netcat 命令执行与传统特征告警映射。 wireshark logs 图 9:在物理接口上跟踪原始数据包的分析,验证特征解析。 ## AI 异常检测与模型验证: 将结构化的行为特征输入到自定义网络层中,以勾勒出绕过特征检测的隐藏异常。 model accuracy 图 10:自定义神经网络优化展示了训练指标和损失最小化。验证准确率达到了 92.74%,决策率为 100%,结果为 10 个 True positives 和 0 个 False negatives,这证明了基于 NumPy 矩阵运算构建的前向和反向传播的数学稳定性,能够通过添加分层划分(stratified split)以确保适当的训练测试集比例,从而检测出所有被传统基于特征检测遗漏的攻击。 stealth packets 图 11:使用通过激活层和训练权重的网络矩阵,由自定义 Python 检测对 Scapy 解析的特征数据集进行评估,标记出在传统日志中未留下任何痕迹的行为异常。 ## 事件与检测分析: 通过将基于特征的检测与异常行为检测相结合,采用这种针对传统检测的混合方法,该框架利用基于 NumPy 矩阵的神经网络,降低了传统检测系统的局限性。
标签:CTI, Python, Web报告查看器, 异常检测, 无后门, 神经网络, 网络安全, 逆向工具, 隐私保护