人工流量分析辅助脚本

用法：python run_pcap.py

具体要在run_pcap.py改流量包存放路径
干活的时候就把bat放到计划任务每3小时跑一次

分析层面
1.基于流量数据协议
2.基于IP端点对话
3.基于数据内容

1.基于流量数据协议
我们主要对以下协议进行重点统计分析：

1. HTTP：查看是否存在攻击流量，攻击是否有效，是否存在弱口令。
2. TCP: 查看是否开放高危端口，如139，445，2181，3306，3389等，是否存在扫描行为。
3. POP: 查看是否存在钓鱼邮件收发。
4. SMB：是否访问共享文件、是否存在SCF（Shell Command File）攻击。
5. SSH: 是否存在暴力破解行为，是否暴力破解成功，连接ip是否异常。
6. FTP: 查看是否存在弱密码，若存在exe文件则从流量中提去文件出来检测是否安全
7. DNS: 检查流量数量是否符合常规数量，超过常规数值有可能是攻击者使用了dns隧道进行渗透。
8. SMTP: 查看是否存在钓鱼邮件收发
9. ICMP: 检查流量数量是否符合常规数量，超过常规数值有可能是攻击者使用了icmp隧道进行渗透。

2.基于流量数据协议
我们主要对以下条件进行重点统计分析：

1. ip是否属于信任资产
2. ip访问端口是否可疑
3. ip访问量是否正常

3.基于数据内容

1. 基于所有协议数据包内容进行内容正则爬取url，查看url是否可疑。
2. 基于所有协议数据包内容进行内容正则爬取邮箱，统计出现次数，与可疑邮箱。
3. 基于HTTP协议进行特定关键字进行检测，方便快速分析是否存在攻击流量。