Imteyaz-git/malware-c2-traffic-classifier

GitHub: Imteyaz-git/malware-c2-traffic-classifier

一款基于网络元数据和信标分析的恶意软件 C2 流量检测工具,通过 TLS 指纹、DNS 熵和通信时序特征在加密流量中识别恶意行为。

Stars: 0 | Forks: 0

# 恶意软件 C2 流量分类器 🚧 **状态:开发中** — 阶段 1(Wireshark/PCAP 熟悉)进行中 ## 概述 一款用于检测网络流量中命令与控制 (C2) 信标行为的工具, 基于 malware-traffic-analysis.net 的真实恶意软件 PCAP 样本构建。 目标是提取网络层特征(JA3/JA3S TLS 指纹、DNS 查询熵、信标间隔时间),并利用基于规则和基于 ML 的检测方法,在正常流量中标记出恶意流。 ## 为什么开发此项目 如今大多数恶意软件使用加密 (TLS) 流量与其 C2 基础设施通信,因此仅靠 payload 检查是不够的。本项目专注于通过元数据和流量模式来检测恶意行为,即使内容被加密也能识别——这也是真实 SOC/检测团队所采用的方法。 ## 技术栈 - Python (pyshark, pandas, numpy, scikit-learn) - Wireshark / tshark - Jupyter(用于探索性分析) ## 路线图 - [x] 阶段 0-1:网络基础 + Wireshark 熟悉 - [ ] 阶段 2:C2/信标概念研究 - [ ] 阶段 3:特征提取脚本(JA3、DNS 熵、信标时间) - [ ] 阶段 4:检测逻辑(基于规则 -> ML 分类器) - [ ] 阶段 5:针对各恶意软件家族的调查报告 ## 项目结构 \\\ pcaps/malicious/ - 恶意流量样本(未提交,见说明) pcaps/benign/ - 用于比较的干净/正常流量样本 notes/ - 学习笔记和术语表 scripts/ - 特征提取和检测脚本 reports/ - 针对所调查的每个 PCAP/恶意软件家族的报告 \\\ ## 数据来源 恶意 PCAP 样本来源于 [malware-traffic-analysis.net](https://www.malware-traffic-analysis.net), 这是一个广泛使用的真实恶意流量来源,用于安全研究和培训。 原始 PCAP 文件未提交到此仓库;请参阅 \ eports/\ 以获取引用了特定使用样本的报告。 ## 免责声明 本项目仅用于教育和作品集展示目的。所有恶意样本均在隔离的分析环境中处理,不会被执行。
标签:Apex, C2通信检测, IP 地址批量处理, Python, 无后门, 机器学习, 网络安全, 逆向工具, 隐私保护