SNF

SNF（Shadow Network Fingerprinting）是一款专为气隙网络设计的被动网络检测与响应引擎，采用 Rust 语言编写，适用于国防网络、核设施、工业控制系统（ICS）以及机密安全运营中心（SOC）等高度隔离的环境。它通过 JA3/JA4 技术对 TLS 通信进行指纹识别，能够有效检测 C2 信标、DGA 域名、DNS 隧道以及完整的 ICS/SCADA 协议滥用行为。SNF 的核心设计理念是零网络调用——这不是一个可配置的选项，而是其架构的固有特性，确保了在隔离环境中的绝对安全。

核心功能

SNF 提供全面的被动网络检测能力，包括：

• TLS 指纹识别：基于 JA3/JA4 技术，精准识别加密流量中的异常行为。
• C2 信标检测：发现命令与控制服务器的通信模式。
• DGA 域名识别：检测由算法生成的恶意域名。
• DNS 隧道分析：识别通过 DNS 协议进行的隐蔽数据传输。
• ICS/SCADA 协议监控：深度解析工业控制系统协议，防范针对性攻击。

主要特性

• 零网络调用：完全被动监听，不主动发起任何网络连接，确保气隙环境的隔离性。
• 确定性输出：生成 NDJSON 格式的检测结果，并附带 SHA-256 哈希验证，确保数据完整性。
• 法庭可采纳证据：输出包含完整的证据链，符合法律标准，可用于事后审计和取证。
• 高性能 Rust 实现：利用 Rust 的内存安全和并发优势，提供高效、稳定的检测性能。
• 开源核心：核心层采用 Apache 2.0 开源协议，完整智能引擎为专有组件。

适用场景

SNF 特别适用于以下高安全需求环境：

• 国防与政府网络：处理机密信息，需要严格隔离的网络安全监控。
• 核设施与关键基础设施：保护工业控制系统免受网络攻击。
• 机密 SOC：在无法连接外部网络的情况下，实现内部威胁检测。
• 合规审计：需要生成不可篡改的检测日志以满足监管要求。