shravanisgh/Malware-Behavior-Analysis-IOC-Dashboard
GitHub: shravanisgh/Malware-Behavior-Analysis-IOC-Dashboard
一款纯 Python 实现的离线恶意软件行为日志分析器,通过解析静态遥测日志自动提取 IOC、映射 MITRE ATT&CK 技术并生成加权威胁评分。
Stars: 0 | Forks: 0
# 恶意软件行为分析与 IOC 仪表板
一款安全、**离线**的行为日志分析器,用于恶意软件分诊和事件响应实践。它解析静态遥测日志(由 EDR、沙箱、Procmon 捕获或 SOC 导出产生的那种),重建攻击者行为,提取危害指标 (IOC),将观察到的活动映射到 **MITRE ATT&CK** 技术,并生成威胁评分、风险等级和书面调查报告。
## 为什么开发这个项目
作为个人作品集在网络和威胁情报工具方向上的进阶项目而构建,旨在培养与 **DFSL**、**Police Cyber Cell** 以及 **CyberNX** 风格分析师工作相关的实用技能:
| 项目 | 领域 |
|---------------------------------|----------------------------------|
| Advanced Network Scanner | 网络侦查 |
| Subdomain Enumeration | 攻击面映射 |
| Threat Intel Feed Parser | 威胁情报 |
| Keylogging Threat Analysis | 威胁狩猎 |
| **恶意软件行为分析与 IOC 仪表板** | **恶意软件分析 + 事件响应** |
## 工作流
```
Sample Malware Log
|
v
Log Parser
|
v
Behavior Detection
|
v
IOC Extraction
|
v
Threat Scoring
|
v
Dashboard Report
```
## 功能
- **进程监控** — 标记 LOLBin 滥用(`powershell.exe`、`cmd.exe`、`rundll32.exe`、`mshta.exe`、`certutil.exe`、`schtasks.exe` 等)并跟踪父/子进程关系。
- **文件活动分析** — 检测暂存目录(`Temp`、`AppData`)中的 payload 投放以及安全工具的删除行为。
- **注册表活动检测** — 标记通过 `Run` / `RunOnce` 注册表键实现的持久化。
- **网络连接分析** — 提取出站 IP/端口,过滤已知的良性解析器(例如 `8.8.8.8`)以减少噪音。
- **DNS 查询分析** — 标记在恶意基础设施中常见的可疑/免费 TLD(`.xyz`、`.top`、`.club` 等)。
- **IOC 提取** — 去重后的 IP、域名、文件路径和注册表键,可导出为 JSON 以便接入 SIEM 或 TIP。
- **MITRE ATT&CK 映射** — 将检测到的行为映射到技术 ID(T1059、T1105、T1547.001、T1071、T1053.005、T1218、T1070、T1568)。
- **威胁评分与风险等级** — 采用加权评分模型生成 0–100 的分数,以及 LOW / MEDIUM / HIGH / CRITICAL 评级。
- **调查报告** — 人类可读的 `.txt` 报告,适合作为案件档案或分析报告的附件。
## 项目结构
```
Malware-Behavior-Analysis-Dashboard/
├── malware_dashboard.py # Main analyzer (parser, detection, scoring, reporting)
├── sample_malware_log.txt # Simulated behavioral telemetry (safe, static, offline)
├── requirements.txt # No third-party deps — stdlib only
├── README.md
├── .gitignore
├── ULTRA_NOTES.md # Deep-dive design & viva/interview prep notes
└── assets/ # Screenshots / diagrams for the repo (optional)
```
## 用法
```
# 针对 bundled sample log 运行
python malware_dashboard.py sample_malware_log.txt
# 选择自定义 report 输出路径
python malware_dashboard.py sample_malware_log.txt --out case_2026_07_04.txt
# 同时将提取的 IOC 导出为 JSON
python malware_dashboard.py sample_malware_log.txt --json ioc_export.json
```
### 示例日志格式
```
[2026-07-04 10:15:22] Process Started: powershell.exe (PID 4521, Parent: winword.exe)
[2026-07-04 10:15:26] Child Process: cmd.exe (PID 4522, Parent: powershell.exe)
[2026-07-04 10:15:29] File Created: C:\Users\User\AppData\Local\Temp\payload.exe
[2026-07-04 10:15:31] Registry Modified: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Update -> C:\Users\User\AppData\Local\Temp\payload.exe
[2026-07-04 10:15:33] Network Connection: 185.220.101.5:443 (TCP)
[2026-07-04 10:15:34] DNS Query: malicious-domain.xyz
[2026-07-04 10:15:30] File Deleted: C:\Program Files\Windows Defender\WindowsDefender.exe
```
### 示例输出
```
==============================================================
MALWARE BEHAVIOR ANALYSIS REPORT
==============================================================
Processes Analyzed : 10
Suspicious Processes : 6
Files Created : 5
Registry Changes : 2
Network Connections : 4
DNS Queries : 4
IOCs Extracted : 15
--------------------------------------------------------------
Threat Score : 100/100
Risk Level : CRITICAL
==============================================================
MITRE ATT&CK TECHNIQUES OBSERVED
--------------------------------------------------------------
T1059 Command and Scripting Interpreter
T1105 Ingress Tool Transfer
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys
T1071 Application Layer Protocol (C2)
T1053.005 Scheduled Task/Job: Scheduled Task
T1218 System Binary Proxy Execution
T1070 Indicator Removal
```
## 扩展项目
如果您想在面试中继续基于此项目进行开发,以下是一些关于 v2 版本的想法:
- 摄入真实的沙箱输出格式(Cuckoo/CAPE JSON、Procmon CSV)。
- 添加 `--csv` IOC 导出功能,以便直接导入 MISP/OpenCTI。
- 添加 `--stix` 导出功能,生成一个基础的 STIX 2.1 bundle。
- 在相同的分析引擎之上添加一个简单的 Flask/Streamlit 前端。
- 添加 YARA 风格的规则文件,这样检测规则就不必硬编码在 Python 中。
## 免责声明
本项目出于教育/作品集目的而构建。示例日志和 IOC 均为虚构/模拟,仅用于演示——本工具不会引用或连接任何真实的恶意基础设施。
标签:DAST, Python, 威胁情报, 子域名变形, 库, 应急响应, 开发者工具, 恶意软件分析, 无后门, 知识库安全, 网络信息收集, 逆向工具