Imteyaz-git/malware-c2-traffic-classifier
GitHub: Imteyaz-git/malware-c2-traffic-classifier
一款基于网络元数据和信标分析的恶意软件 C2 流量检测工具,通过 TLS 指纹、DNS 熵和通信时序特征在加密流量中识别恶意行为。
Stars: 0 | Forks: 0
# 恶意软件 C2 流量分类器
🚧 **状态:开发中** — 阶段 1(Wireshark/PCAP 熟悉)进行中
## 概述
一款用于检测网络流量中命令与控制 (C2) 信标行为的工具,
基于 malware-traffic-analysis.net 的真实恶意软件 PCAP 样本构建。
目标是提取网络层特征(JA3/JA3S TLS 指纹、DNS 查询熵、信标间隔时间),并利用基于规则和基于 ML 的检测方法,在正常流量中标记出恶意流。
## 为什么开发此项目
如今大多数恶意软件使用加密 (TLS) 流量与其 C2 基础设施通信,因此仅靠 payload 检查是不够的。本项目专注于通过元数据和流量模式来检测恶意行为,即使内容被加密也能识别——这也是真实 SOC/检测团队所采用的方法。
## 技术栈
- Python (pyshark, pandas, numpy, scikit-learn)
- Wireshark / tshark
- Jupyter(用于探索性分析)
## 路线图
- [x] 阶段 0-1:网络基础 + Wireshark 熟悉
- [ ] 阶段 2:C2/信标概念研究
- [ ] 阶段 3:特征提取脚本(JA3、DNS 熵、信标时间)
- [ ] 阶段 4:检测逻辑(基于规则 -> ML 分类器)
- [ ] 阶段 5:针对各恶意软件家族的调查报告
## 项目结构
\\\
pcaps/malicious/ - 恶意流量样本(未提交,见说明)
pcaps/benign/ - 用于比较的干净/正常流量样本
notes/ - 学习笔记和术语表
scripts/ - 特征提取和检测脚本
reports/ - 针对所调查的每个 PCAP/恶意软件家族的报告
\\\
## 数据来源
恶意 PCAP 样本来源于 [malware-traffic-analysis.net](https://www.malware-traffic-analysis.net),
这是一个广泛使用的真实恶意流量来源,用于安全研究和培训。
原始 PCAP 文件未提交到此仓库;请参阅 \ eports/\ 以获取引用了特定使用样本的报告。
## 免责声明
本项目仅用于教育和作品集展示目的。所有恶意样本均在隔离的分析环境中处理,不会被执行。
标签:Apex, C2通信检测, IP 地址批量处理, Python, 无后门, 机器学习, 网络安全, 逆向工具, 隐私保护