返回 登录
1

Flare:奇妙的网络分析框架

原文:flare

作者:austin-taylor
翻译:Vincent



Flare是一个为数据科学家、安全研究人员和网络专业人员设计的网络分析框架。它是用Python编写的,设计的目的是为了进行快速原型设计和开发行为分析,以及尽可能简单地在网络中识别恶意行为。

开始

目前支持python 2.7版本。

sudo pip install -r requirements.txt
python setup.py install

核心功能

  • 命令及控制分析
    • 在环境中识别信号(使用Suricata输出和ElasticSearch)
  • 特征提取
    • 辅助功能用来滤除噪声
  • Alexa,Umbrella和Majestic Million(即将推出)
  • 支持WHOIS IP 查找
  • 预建机器学习分类器
  • 还有很多其它的功能……

分析

信号

ElasticBeacon专为ElasticSearch和Suricata设计,将连接到ElasticSearch服务器,检索所有的IP地址,并识别周期性的活动。

你可能需要使用ssh -NfL 9200:localhost:9200 user@x.x.x.x将9200端口转发到本地主机:

from flare.analytics.command_control import elasticBeacon

eb = elasticBeacon(es_host='localhost')
beacons = eb.find_beacons(group=True, focus_outbound=True)

也可在命令行:

flare_beacon --whois --focus_outbound -mo=100 --csv_out=beacon_results.csv

or

flare_beacon --group --whois --focus_outbound -c configs/elasticsearch.ini -html beacons.html

域名功能

Alexa

from flare.utils.alexa import Alexa
alexa = Alexa(limit=1000000)

print alexa.domain_in_alexa('google.com') # Returns True
print alexa.subdomain_in_alexa('www') # Returns True

print alexa.DOMAINS_TOP1M #Displays domains (in this case top 100)

IP Utilities

flare.tools.iputils
  • 将Hex转换为IP,反之亦然
  • 检查专用,多播或保留的域
  • 识别公共IP地址的所有者

Data Science Features

from flare.utils.alexa import dga_classification

dga_c = dga_classification()

print dga_c.predict('facebook')
Legit

print dga_c.predict('39al31ak3')
dga


from flare.utils.alexa import data_features
ds_f = data_features()

print ds_f.entropy('akd93ka8a91a')
2.58496250072

ds_f.ip_matcher('8.8.8.8')
True

ds_f.ip_matcher('39.993.9.1')
False

还有更多的数据提取功能……

评论