mhmistry/Network-Intrusion-Forensics-Tool
GitHub: mhmistry/Network-Intrusion-Forensics-Tool
一款基于 Web 的网络入侵取证分析工具,通过解析 PCAP 流量文件自动识别 DNS 异常、C2 通信及横向移动等威胁指标,并生成映射攻击杀伤链的取证报告。
Stars: 0 | Forks: 2
# 网络入侵取证工具
这是一款基于 Web 的 PCAP 取证分析工具,用于从数据包捕获文件中检测可疑网络活动、入侵指标和攻击模式。
该工具对网络流量执行自动化取证分析,以识别:
- DNS 异常
- 恶意基础设施通信
- Beaconing 行为
- 横向移动指标
- 威胁情报匹配
- 入侵 kill chain 阶段
本项目专为网络安全学习、数字取证、应急响应和威胁狩猎用例而设计。
## 功能
### 流量分析
- PCAP / PCAPNG / CAP 文件分析
- 数据包元数据提取
- 网络行为画像
### DNS 分析
- 可疑域名检测
- 类 DGA 子域熵值分析
- Beaconing / 周期性 DNS 时间异常检测
- 从编码的 DNS 模式中解码受害者标识符
### 威胁检测
- 已知恶意 IP 交叉比对
- 威胁情报匹配
- HTTP 伪装检测
- 命令与控制(C2)通信识别
### 横向移动检测
- SMB 活动检测
- RDP 连接分析
- WMI 行为指标
- 端口扫描检测
### 取证报告
- 按时间顺序排列的攻击时间线
- Kill chain 阶段映射
- 风险评分生成
- 结论分类:
- 安全 (Clean)
- 可疑 (Suspicious)
- 极可能已遭入侵 (Likely Compromised)
## 检测能力
该工具融合了受真实世界攻击模式启发的检测逻辑,包括:
- SolarWinds / SUNBURST
- DNS beaconing 恶意软件
- C2 基础设施通信
- 内部横向移动行为
威胁情报来源包括来自以下机构的公开 IoC(入侵指标)和安全通告:
- Microsoft Security Response Center
- FireEye / Mandiant
- CISA
- CrowdStrike
## 技术栈
- Python
- Flask
- Scapy / 数据包分析库
- HTML / CSS / JavaScript
## 项目结构
```
network-intrusion-forensics-tool/
│
├── app.py
├── requirements.txt
├── README.md
│
├── modules/
│ ├── analyser.py
│ ├── dns_analyser.py
│ ├── network_analyser.py
│ └── threat_intel.py
│
└── templates/
└── index.html
```
## 设置
### 克隆仓库
```
git clone https://github.com/your-username/network-intrusion-forensics-tool.git
cd network-intrusion-forensics-tool
```
### 安装依赖
```
pip install -r requirements.txt
```
### 运行应用
```
python app.py
```
在浏览器中打开:
```
http://localhost:5000
```
## 使用方法
1. 启动应用
2. 上传 `.pcap`、`.pcapng` 或 `.cap` 文件
3. 开始分析
4. 查看生成的取证报告
报告包含:
- 可疑指标
- 威胁匹配
- 时间线
- Kill chain 映射
- 最终风险结论
## 示例 PCAP 来源
您可以使用以下来源的公开数据包捕获文件来测试该工具:
- Malware Traffic Analysis
- Wireshark Sample Captures
- NETRESEC Public PCAP Repository
推荐:
- 与 SUNBURST 相关的 DNS 流量
- 恶意软件 beaconing 流量
- 横向移动流量样本
## 学术背景
本项目作为数字取证与网络安全项目而构建,旨在演示应急响应和威胁狩猎中使用的实用网络取证分析技术。
## 未来改进
- 基于 ML 的异常检测
- MITRE ATT&CK 映射
- SIEM 集成
- 导出 PDF 取证报告
- 实时数据包捕获支持
标签:Flask, IP 地址批量处理, PE 加载器, Python, 多模态安全, 威胁情报, 开发者工具, 插件系统, 数字取证, 数据可视化, 无后门, 网络安全, 自动化脚本, 逆向工具, 隐私保护