本地恶意流量分析引擎（一）

文章源自【字节脉搏社区】-字节脉搏实验室

作者-m9kj

构建背景：

之前有写过本地恶意代码查杀工具，但是如果规则太过严格会出现误报，如果规则太过松散又无法识别恶意代码，这就诞生了许多引擎，其中最著名的就是语义分析引擎和流量分析引擎，当然流量分析引擎需要人工智能算法解码，而咱们今天实现的仅仅是简单的抓取本地的测试流量。

Scapy框架的作用：

关于Scapy Scapy的是一个强大的交互式数据包处理程序（使用python编写）。它能够伪造或者解码大量的网络协议数据包，能够发送、捕捉、匹配请求和回复包等等。它可以很容易地处理一些典型操作，比如端口扫描，tracerouting，探测，单元测试，攻击或网络发现（可替代hping，NMAP，arpspoof，ARP-SK，arping，tcpdump，tethereal，P0F等）。最重要的他还有很多更优秀的特性——发送无效数据帧、注入修改的802.11数据帧、在WEP上解码加密通道（VOIP）、ARP缓存攻击（VLAN）等，这也是其他工具无法处理完成的，下图是scapy框架的文件构造。

模仿burp监听http：

流量包咱们这篇文章主要是讲模仿burp监听本地http包的内容，主要实现思路，将Scapy数据包中的数据包，通过sprintf来整理匹配数据格式，最后导出咱们想要的结果。

代码如下：

下面是运行截图：

下篇文章内容预告：

通过框架实现 出入IP分析

通过框架实现 https流量分析

通过框架实现 恶意流量告警(IDS)