tanhiowyatt/cyanide-honeypot

GitHub: tanhiowyatt/cyanide-honeypot

一款内置机器学习引擎的中交互 SSH/Telnet 蜜罐，专注于攻击行为分析与 IOC 自动提取，支持 SIEM 集成和实时告警。

Stars: 20 | Forks: 0

[![Stars](https://img.shields.io/github/stars/tanhiowyatt/cyanide-honeypot?style=flat&logo=GitHub&color=yellow)](https://github.com/tanhiowyatt/cyanide-honeypot/stargazers) [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/655d67337a201250.svg)](https://github.com/tanhiowyatt/cyanide-honeypot/actions/workflows/ci.yml) [![Security Scan](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/81024f960d201251.svg)](https://github.com/tanhiowyatt/cyanide-honeypot/actions/workflows/security_scan.yml) [![Quality gate](https://sonarcloud.io/api/project_badges/measure?project=tanhiowyatt_cyanide_honeypot&metric=alert_status)](https://sonarcloud.io/dashboard?id=tanhiowyatt_cyanide_honeypot) [![Coverage](https://sonarcloud.io/api/project_badges/measure?project=tanhiowyatt_cyanide_honeypot&metric=coverage)](https://sonarcloud.io/component_measures/metric/coverage/list?id=tanhiowyatt_cyanide_honeypot) [![License: MIT](https://img.shields.io/badge/License-MIT-blue.svg)](https://opensource.org/licenses/MIT) [![Ask DeepWiki](https://deepwiki.com/badge.svg)](https://deepwiki.com/)

RU | PL

Cyanide

# Cyanide – 中交互 SSH 和 Telnet 蜜罐 **Cyanide** 是一个中交互 SSH 和 Telnet 蜜罐，旨在欺骗攻击者并深入分析其行为。它结合了逼真的 Linux 文件系统模拟、高级命令模拟（支持管道和重定向）、强大的反检测机制以及用于异常检测的混合 ML 引擎。 ### 功能特性 #### 1) 用于自动化攻击分类和 IOC 提取的机器学习 - 系统根据会话行为和 payload 特征，自动将网络活动分类为攻击类型（暴力破解、撞库、侦察、漏洞利用尝试）。 - 事件通过提取威胁指标 (IOC) 进行规范化，包括 IP 地址、端口、凭据、用户代理/标示、命令、URL、工件哈希以及攻击者频率字典。 - 生成会话摘要，详细说明攻击意图、与基线规范的偏差，以及建议阻断或集成到检测规则中的 IOC。 #### 2) 增强的真实感以规避蜜罐检测 - 逼真的时序和响应可变性（错误、延迟、消息格式）增加了自动化蜜罐检测器的误分类率。 - 动态环境配置文件：服务标示、版本和运行叙述自然演变，避免使用静态模板。 - 类人界面行为：合理的约束、错误消息以及生产系统特有的细微不一致性。 #### 3) 高级 SOC 和分析集成 - 具有标准化事件模式的结构化 JSON 日志，便于关联和搜索。 - 事件导出到外部系统：SIEM/日志堆栈 (ELK/Splunk)，用于实时通知的 webhook 告警 (Slack/Discord/Telegram)。 - 针对关键模式告警的可配置触发器和规则（例如，异常的暴力破解速度、dropper 上传、可疑命令/payload）。 ### 快速开始 ``` 1. Clone the repository git clone https://github.com/tanhiowyatt/cyanide-honeypot.git 2. Go in docker folder cd cyanide-honeypot 3. Launch the environment docker-compose up -d 4. Connect via SSH, Telnet or SFTP ssh root@localhost -p 2222 or telnet localhost -p 2222 or sftp root@localhost -p 2222 * With Local Changes docker-compose up -d --build ``` ### 通过 PyPI 快速开始 ``` 1. Install the package pip install cyanide-honeypot 2. Run the honeypot cyanide-honeypot ``` ### 蜜罐工作原理 Cyanide 蜜罐部署一个**诱饵服务**，并引导攻击者通过一个**受控场景**：它模拟逼真的服务，但不授予实际的主机访问权限。 #### YAML Profiles (行为基础) 服务行为通过 **YAML profiles** 定义： - 模拟功能（标示/版本、错误、约束）； - 响应逻辑（规则/模板、分支）； - 会话状态（认证、上下文、计数器）； - 真实感因子（延迟/抖动、随机化）。 #### SQLite (快速运行时) YAML 作为“源代码”，被编译/缓存到 **SQLite** (`.compiled.db`) 用于生产环境： - 比 YAML/JSON 加载/解码更快； - 占用空间更小，更易于缓存/分发； - 高负载性能更稳定。 #### 会话流程 1. 传入事件（登录/命令/payload） 2. 状态更新 3. 应用 Profile 规则 (YAML/SQLite) 4. 响应生成（具有逼真的时序） 5. 日志记录 + IOC 提取 #### 日志和 IOC 捕获结构化事件：IP/会话 ID、登录尝试、命令/payload、时序和结果。由此提取 **IOC**，对攻击进行分类，并将告警/数据导出到 SOC 系统。 ### 创作者该蜜罐由 **tanhiowyatt** 和 **koshanzov** 创建。我们在高级蜜罐原型上的初步合作演变成了当前的开源网络安全项目，专注于逼真的威胁模拟、ML 驱动的攻击分类以及无缝的 SOC 集成。 ### 免责声明本软件仅供教育和研究目的使用。运行蜜罐涉及重大风险。作者不对任何损害或滥用承担责任。

标签：Apex, BOF, DAST, Linux仿真, PFX证书, Python安全开发, SSH蜜罐, T1021, T1059, T1059.001, T1059.004, T1078, T1082, T1083, Telnet蜜罐, 中交互蜜罐, 免杀, 内存分配, 反检测, 威胁情报, 安全技术, 开发者工具, 开源安全工具, 恶意软件分析, 攻击检测, 攻击者诱捕, 文件系统仿真, 无控制台执行, 机器学习, 欺骗防御, 网络安全, 蜜罐框架, 请求拦截, 进程注入, 逆向工具, 逆向工程平台, 隐私保护