Mormukut976/chameleon-cyber-deception

# 🦎 Chameleon — 高级网络欺骗框架 ## 🚀 功能特性 ### 🤖 机器学习威胁情报 - **实时攻击分类** 使用基于 2000+ 攻击模式训练的 `RandomForestClassifier` - **异常检测** 使用 `IsolationForest` 进行零日威胁识别 - **行为画像** — 攻击者技能评估与下一步攻击预测 - **自动重训练** 基于新攻击数据持续改进模型 ### 🗺️ MITRE ATT&CK 框架映射 - 将所有检测到的攻击映射到跨 **9 种战术** 的 **14+ 种 ATT&CK 技术** - 杀伤链进展跟踪 (侦察 → 数据窃取) - **ATT&CK Navigator JSON 导出** 用于威胁情报共享 - 技术覆盖范围热力图可视化 ### ⛓️ 区块链证据链 - **不可篡改的攻击证据** 存储在本地区块链中 - SHA-256 哈希链及完整性验证 - 具备法庭可采性的数字取证能力 - 证据防篡改检测 ### 🎭 高级蜜罐网络 - **SSH 蜜罐** — 凭证捕获与逼真的 OpenSSH 模拟 - **HTTP 蜜罐** — SQL 注入、XSS、路径遍历、命令注入检测 - **动态特征切换** — 模拟 Windows Server、Ubuntu、IoT 设备 - **分布式多节点** 架构 (本地、云端、DMZ) ### 📊 高级实时控制台 - 令人惊叹的赛博朋克主题 UI 与毛玻璃设计 - **实时攻击时间轴** — 实时频率图表 - **全球攻击地图** — 攻击来源的地理位置可视化 - **MITRE ATT&CK 热力图** — 技术覆盖范围展示 - **威胁等级仪表盘** — 动态威胁评估计 - 移动端响应式设计 ### 🛡️ 企业级集成 - **SIEM 集成** — 兼容 Elasticsearch、Splunk、Syslog - **REST API** — 支持分页和过滤的完整编程接口访问 - **自动化响应** — AI 驱动的 IP 封禁、速率限制、网络隔离 - **告警系统** — Email、SMS (Twilio)、Webhook 通知 - **Docker 部署** — 生产级容器化 ## 📐 系统架构 ``` graph TB subgraph Honeypots["🎭 Honeypot Layer"] SSH["SSH :2222"] HTTP1["HTTP :8081"] HTTP2["HTTP :8082"] HTTP3["HTTP :8083"] end subgraph Pipeline["⚡ Processing Pipeline"] LOG["Attack Logger"] ML["🤖 ML Classifier
RandomForest"] MITRE["🗺️ MITRE Mapper
ATT&CK Framework"] ANOMALY["🔍 Anomaly Detector
IsolationForest"] BC["⛓️ Blockchain
Evidence Chain"] SIEM["🔗 SIEM Forward"] RESPONSE["🛡️ Auto Response"] end subgraph Output["📊 Output Layer"] DASH["Premium Dashboard :8050"] API["REST API :8055"] ALERTS["Alert System"] end SSH --> LOG HTTP1 --> LOG HTTP2 --> LOG HTTP3 --> LOG LOG --> ML ML --> MITRE MITRE --> ANOMALY ANOMALY --> BC BC --> SIEM SIEM --> RESPONSE LOG --> DASH LOG --> API RESPONSE --> ALERTS ``` ## ⚡ 快速开始 ### 选项 1: 直接运行 ``` # Clone repository git clone https://github.com/yourusername/chameleon-cyber-deception.git cd chameleon-cyber-deception # 创建虚拟环境 python3 -m venv venv source venv/bin/activate # 安装依赖 pip install -r requirements.txt # 运行框架 python3 main.py ``` ### 选项 2: Docker ``` # 使用 Docker Compose 构建并运行 docker-compose up -d # 查看日志 docker-compose logs -f chameleon ``` ### 访问入口 | 服务 | URL | 描述 | |---------|-----|-------------| | 📊 控制台 | http://localhost:8050 | 高级实时控制台 | | 📡 REST API | http://localhost:8055/api/v1/stats | API 端点 | | 🔐 SSH 蜜罐 | `ssh root@localhost -p 2222` | SSH 蜜罐 | | 🌐 HTTP 蜜罐 | http://localhost:8081-8083 | HTTP 蜜罐 | ## 🎯 使用与测试 ### 攻击模拟 ``` # SSH Brute Force 模拟 ssh root@localhost -p 2222 # SQL Injection 尝试 curl "http://localhost:8081/login.php' OR '1'='1'--" # XSS 攻击 curl "http://localhost:8082/" # Path Traversal curl "http://localhost:8083/../../etc/passwd" # Command Injection curl "http://localhost:8081/exec.php?cmd=whoami" # Reconnaissance curl http://localhost:8082/.env curl http://localhost:8081/robots.txt ``` ## 📡 API 参考 ### 获取系统统计信息 ``` GET /api/v1/stats ``` ``` { "total_attacks": 150, "unique_ips": 15, "blockchain_blocks": 30, "blockchain_valid": true, "ml_accuracy": 87.5, "mitre_techniques": 12, "siem_events": 150, "nodes": 3 } ``` ### 获取攻击记录 (分页) ``` GET /api/v1/attacks?page=1&per_page=20&type=SQL_INJECTION ``` ### 获取 MITRE ATT&CK 覆盖范围 ``` GET /api/v1/mitre ``` ### 导出 ATT&CK Navigator JSON ``` GET /api/v1/mitre/navigator ``` ### 获取 ML 模型统计信息 ``` GET /api/v1/ml/stats ``` ### 获取区块链状态 ``` GET /api/v1/blockchain ``` ## 🗺️ MITRE ATT&CK 覆盖范围 | 战术 | 技术 ID | 技术名称 | 检测 | |--------|-------------|----------------|-----------| | 侦察 | T1595 | 主动扫描 | ✅ 端口扫描检测 | | 侦察 | T1592 | 收集受害者主机信息 | ✅ 操作系统指纹识别 | | 初始访问 | T1110 | 暴力破解 | ✅ SSH/HTTP 暴力破解 | | 初始访问 | T1190 | 利用面向公众的应用 | ✅ SQLi、XSS、RCE | | 初始访问 | T1078 | 有效账户 | ✅ 凭证捕获 | | 执行 | T1059 | 命令和脚本解释器 | ✅ 命令注入 | | 发现 | T1046 | 网络服务发现 | ✅ 端口扫描 | | 发现 | T1082 | 系统信息发现 | ✅ 指纹识别 | | 横向移动 | T1021 | 远程服务 | ✅ SSH 监控 | | 收集 | T1005 | 来自本地系统的数据 | ✅ 路径遍历 | | 数据窃取 | T1041 | 通过 C2 通道窃取 | ✅ 数据传输监控 | | 影响 | T1499 | 端点拒绝服务 | ✅ 泛洪攻击检测 | ## 🧪 测试 ``` # 运行所有测试 pytest tests/ -v # Run with coverage pytest tests/ -v --cov=modules --cov-report=term-missing # 运行特定 test suite pytest tests/test_attack_classifier.py -v pytest tests/test_mitre_mapping.py -v pytest tests/test_blockchain.py -v ``` ## 📦 项目结构 ``` chameleon-cyber-deception/ ├── main.py # Main orchestrator ├── requirements.txt # Python dependencies ├── Dockerfile # Container build ├── docker-compose.yml # Full stack deployment ├── README.md # This file │ ├── modules/ │ ├── ai/ │ │ ├── attack_classifier.py # ML attack classification (RandomForest) │ │ ├── anomaly_detector.py # Anomaly detection (IsolationForest) │ │ ├── mitre_mapping.py # MITRE ATT&CK framework mapping │ │ ├── threat_analyzer.py # Threat analysis engine │ │ └── demo_data.py # Realistic demo data generator │ ├── deception/ │ │ ├── ssh_emulator.py # Advanced SSH honeypot │ │ └── http_emulator.py # Advanced HTTP honeypot │ ├── defense/ │ │ └── auto_blocker.py # Automated IP blocking │ ├── evidence/ │ │ └── blockchain_store.py # Blockchain evidence storage │ └── notifications/ │ └── alert_system.py # Multi-channel alerts │ ├── web/ │ └── dashboard_premium.py # Premium Plotly/Dash dashboard │ ├── core/ │ ├── engines/ │ │ └── deception_engine.py # Core deception engine │ └── distributed_node.py # Distributed network node │ ├── config/ │ └── config.yaml # Framework configuration │ ├── data/ │ └── logs/ # Attack logs │ ├── tests/ │ ├── test_attack_classifier.py # ML classifier tests │ ├── test_mitre_mapping.py # MITRE mapping tests │ └── test_blockchain.py # Blockchain tests │ └── deployment/ ├── install.sh # Installation script └── quick_install.sh # Quick setup ``` ## 🤝 参与贡献 1. Fork 本仓库 2. 创建您的特性分支 (`git checkout -b feature/amazing-feature`) 3. 提交您的更改 (`git commit -m 'Add amazing feature'`) 4. 推送到分支 (`git push origin feature/amazing-feature`) 5. 发起 Pull Request ## ⚠️ 法律免责声明 ## 📄 许可证 本项目基于 MIT 许可证授权 — 详见 [LICENSE](LICENSE) 文件。

标签：AI威胁情报, Apex, Cloudflare, Docker, DOE合作, HTTP蜜罐, MITRE ATT&CK, Python, Scikit-learn, SHA-256, SSH蜜罐, 仪表盘, 企业级安全, 区块链, 哈希链, 子域名变形, 孤立森林, 安全可视化, 安全防御评估, 密码管理, 异常检测, 插件系统, 攻击者画像, 数字取证, 无后门, 无线安全, 服务模拟, 机器学习, 杀伤链, 欺骗防御框架, 网络安全, 网络安全审计, 网络安全架构, 网络诱饵, 自动化脚本, 蜜罐, 证书利用, 证据存储, 请求拦截, 进程注入, 逆向工具, 随机森林, 隐私保护, 零日威胁检测