tracebit-com/awesome-deception

# 🥷 极佳的欺骗技术 [](https://awesome.re) ## 目录 - [文章](#articles) - [研究](#research) - [指南](#guides) - [演讲](#talks) - [播客](#podcasts) - [会议](#conferences) - [社区](#communities) - [框架](#frameworks) ## 文章 - 用五岁小孩能听懂的话解释：[毒化记录](https://hackernoon.com/poison-records-acra-eli5-d78250ef94f) (2018)（用于数据库表的蜜罐）。（代码）[Acra Poison Records](https://github.com/cossacklabs/acra-poison-records-demo)。 - 欺骗工程：探索使用 [Windows Service Canaries](https://www.nccgroup.com/us/research-blog/deception-engineering-exploring-the-use-of-windows-service-canaries-against-ransomware/) (2021) 对抗勒索软件。（代码）[KilledProcessCanary](https://github.com/nccgroup/KilledProcessCanary)。 - Valve 使用[秘密内存访问“蜜罐”](https://arstechnica.com/gaming/2023/02/valve-used-secret-memory-access-honeypot-to-detect-40k-dota-2-cheaters/) (2023) 检测到了 4 万名 Dota 2 作弊者；请参阅关于潜在实现技术的 [Hacker News 讨论](https://news.ycombinator.com/item?id=34909218)。 - 介绍 HASH：用于创建 HTTP 低交互蜜罐的 HTTP 不可知软件[蜜罐框架](https://securitylabs.datadoghq.com/articles/hash-honeypot-framework/) (2023)。（代码）[HASH](https://github.com/DataDog/hash)。 - 云端[主动防御](https://www.helpnetsecurity.com/2024/04/02/cloud-active-defense-open-source-cloud-protection/) (2024)：开源的云保护技术。（代码）[Cloud Active Defense](https://github.com/SAP/cloud-active-defense)。 - Thinkst 的“它回来了……”[信用卡 Canarytokens](https://blog.thinkst.com/2024/12/its-baaack-credit-card-canarytokens-are-now-on-your-consoles.html) (2024) 现在已登陆您的控制台。 - 英国国家网络安全中心 (NCSC) 关于[建立国家级证据库](https://www.ncsc.gov.uk/blog-post/building-a-nation-scale-evidence-base-for-cyber-deception) (2024) 的文章概述了英国大规模部署欺骗技术的目标。 - [LLM Agent 蜜罐](https://ai-honeypot.palisaderesearch.org/) (2024-2025) - 一项追踪野外 AI 辅助攻击活动的实时实验。 - Wiz 的 [HoneyBee 威胁研究](https://www.wiz.io/blog/honeybee-threat-research) (2025) 涵盖了他们用于检测错误配置和漏洞利用的开源蜜罐部署工具。 - GreyNoise 关于[部署 MCP 蜜罐](https://www.greynoise.io/blog/deploying-mcp-honeypots) (2025) 的文章分享了观察 MCP 漏洞利用尝试的结果。 - [构建军用蜜罐](https://www.psu.edu/news/engineering/story/building-honeypot-fake-cameras-networks-deceive-military-adversaries) (2025) - 宾夕法尼亚州立大学为军事用途构建欺骗性摄像头和网络环境的努力。 - [Deel/Rippling 诉讼案](https://www.rippling.com/blog/lawsuit-alleges-12-billion-unicorn-deel-cultivated-spy-orchestrated-long-running-trade-secret-theft-corporate-espionage-against-competitor) (2025) - 一起通过蜜罐 Slack 频道检测到内部人员的公开案件。 - Grafana 关于 [GitHub workflow 问题的安全更新](https://grafana.com/blog/2025/04/27/grafana-security-update-no-customer-impact-from-github-workflow-vulnerability/) (2025) 包含了部署数千个 canary 的记录。 - AWS 关于[改进主动防御以赋能客户](https://aws.amazon.com/blogs/security/how-aws-improves-active-defense-to-empower-customers/) (2025) 的文章涵盖了其大规模蜜罐系统。 - Grafana 关于 [canary tokens “无名英雄”的文章](https://grafana.com/blog/2025/08/25/canary-tokens-learn-all-about-the-unsung-heroes-of-security-at-grafana-labs/) (2025) 分享了投资回报率和经验教训。 - watchTowr Labs 关于[野外 Canary Credentials](https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/) (2025) 的文章重点指出了通过在线工具导致的凭据泄露。 - 英国国家网络安全中心关于[网络欺骗试验](https://www.ncsc.gov.uk/blog-post/cyber-deception-trials-what-weve-learned-so-far) (2025) 的文章分享了英国范围内产品测试的初步发现。 - SpecterOps 关于[使用 BloodHound OpenGraph 映射欺骗](https://specterops.io/blog/2025/12/23/mapping-deception-with-bloodhound-opengraph/) (2025) 的文章详细介绍了如何在 BloodHound 中对欺骗覆盖率进行建模。 - Resecurity 关于[用于网络欺骗和蜜罐的合成数据](https://www.resecurity.com/es/blog/article/synthetic-data-a-new-frontier-for-cyber-deception-and-honeypots) (2025) 的文章探讨了如何利用合成数据提高蜜罐的真实性。 - Forescout 关于[针对 OT/ICS 的黑客活动分子攻击](https://www.forescout.com/blog/anatomy-of-a-hacktivist-attack-russian-aligned-group-targets-otics/) (2025) 的文章分析了该事件，包括蜜罐的使用和防御启示。 - UpGuard 关于[使用 honeytokens 防止供应链攻击](https://www.upguard.com/blog/prevent-supply-chain-attacks-with-honeytokens) (2025) 的文章。 - Ars Technica 关于[加拿大选民名单 canary trap](https://arstechnica.com/tech-policy/2026/05/in-canada-a-canary-trap-springs-shut-and-ids-election-database-leak/) (2026) 的文章涵盖了加盐条目如何识别选民数据库泄露源的故事。 - Wiz 的[实用软件包安全：非官方指南](https://www.wiz.io/blog/practical-package-security-the-unofficial-guide) (2026) 重点介绍了用于高信噪比检测的 CI/CD honeytokens，并引用了在一次 GitHub Action 遭入侵事件中 Grafana 的 AWS canary 密钥告警。 ## 研究 ### 论文 - [揭秘欺骗技术：一项综述](https://arxiv.org/abs/1804.06196) (2018) - 关于欺骗分类学、部署模型和评估空白的调查。 - [计算机安全中的欺骗技术：研究视角](https://dl.acm.org/doi/abs/10.1145/3214305) (2019) - 对欺骗方法和研究方向进行广泛调查。 - [Tularosa 研究：量化网络欺骗有效性的实验设计与实现](https://scholarspace.manoa.hawaii.edu/items/f05182cc-6460-410e-a750-e7c17f674be1) (2019) - 一项有 130 多名红队成员参与的 HICSS 研究，在操控欺骗的存在与意识的同时，追踪认知和生理反应。 - [当宣布使用欺骗技术可以改变攻击者决策时](https://scholarspace.manoa.hawaii.edu/server/api/core/bitstreams/6c188375-03f6-4d66-afee-296308c9f2c0/content) (2024) - 关于公开欺骗技术如何影响攻击者行为的研究。 - [基于前景理论假设检验的网络欺骗](https://ieeexplore.ieee.org/abstract/document/11206237) (2025) - 关于在侦察阶段使用前景理论构建欺骗的研究。 - [迈向仿生网络欺骗：SSH 和 Telnet 蜜罐案例研究](https://backend.orbit.dtu.dk/ws/portalfiles/portal/398564454/ADND_Workshop_2025_Towards_bio_inspired_cyber_deception.pdf) (2025) - 评估 Cowrie SSH/Telnet 蜜罐中的仿生欺骗策略。 - [Koney：面向 Kubernetes 的网络欺骗编排框架](https://arxiv.org/pdf/2504.02431) (2025) - 在 Kubernetes 集群中编排欺骗资产。 - [将博弈论应用于欺骗](https://arxiv.org/pdf/2505.21244) (2025) - 使用博弈论方法对攻击者与防御者的动态进行建模。 - [使用大语言模型进行数据库欺骗](https://faculty.nps.edu/ncrowe/WAITI_Data_based_deception_paper.pdf) (2025) - 应用 LLM 创建欺骗性的数据库工件。 - [网络欺骗中攻击者决策建模的描述性模型](https://arxiv.org/abs/2512.03641) (2025) - 提出一种在欺骗线索下攻击者交战决策的模型。 - [用于网络弹性的智能体 AI：一种新的安全范式及其系统理论基础](https://arxiv.org/abs/2512.22883) (2025) - 以网络欺骗为案例研究，主张采用基于智能体（agentic）的弹性防御。 - [SoK：蜜罐与 LLM，不仅仅是强强联手？](https://arxiv.org/abs/2510.25939) (2025) - 系统化梳理基于 LLM 的蜜罐研究及评估趋势。 - [HoneyTrap：利用具有弹性的多智能体防御将大语言模型攻击者诱骗至蜜罐陷阱](https://arxiv.org/abs/2601.04034) (2026) - 提出一个具有多智能体协调能力的欺骗性 LLM 防御框架，并包含一个渐进式越狱数据集和用于衡量误导效果与攻击者成本的新指标。 - [衡量网络欺骗的有效性](https://www.techrxiv.org/doi/full/10.36227/techrxiv.176834017.70221537) (2026) - 探讨如何通过回顾现有的评估方法，并提议新的指标和框架来衡量现代 AI 增强威胁环境中的欺骗战术，进而评估网络欺骗的有效性。 - [Q-Cowrie：用于自适应蜜罐欺骗的强化学习](https://link.springer.com/article/10.1007/s10207-026-01221-5) (2026) - 提出了“Q-Cowrie”，一种通过强化学习增强的 Cowrie 蜜罐，它使用 MDP 对攻击者的决策进行建模，并在攻击者交互期间自适应调整响应。 - [欺骗与检测：为什么人工智能在网络防御中比进攻更能赋能](https://direct.mit.edu/isec/article/50/3/86/135683/Deception-and-Detection-Why-Artificial) (2026) - 论证 AI 自动化对网络防御的益处大于进攻，随着风险的提高，进一步拉大了攻防自动化能力的差距。 - [检测攻击性网络智能体：一种纵深检测方法](https://www.iaps.ai/research/detecting-offensive-cyber-agents) (2026) - 提出针对攻击性网络智能体的纵深检测方法，建议使用智能体蜜罐来揭露自主攻击者的手段，并呼吁现有的蜜罐运营者增加针对智能体活动的收集。 ### 代码仓库 - [通过网络攻击模拟评估欺骗与移动目标防御](https://github.com/dfki-in-sec/NASIM-MTD) - [Honeyquest](https://github.com/dynatrace-oss/honeyquest) - [敲响管理员的大门：使用欺骗技术保护关键 Web 应用程序](https://github.com/BillyPragSec/pageknocking) - [SCANTRAP：利用网络欺骗与混淆保护内容管理系统免受漏洞扫描器侵害](https://github.com/dfki-in-sec/SCANTRAP) ## 指南 - [观鸟指南 - 经济实惠地检测攻击者](http://canary-content.s3-website-us-east-1.amazonaws.com/documents/birding-guide.pdf) - [分类学与术语表](https://bluepillsecurity.com/blog/001_terms/) - 网络欺骗的术语和定义。 - [“AI 漏洞风暴”：构建“为神话做好准备”的安全计划](https://labs.cloudsecurityalliance.org/wp-content/uploads/2026/04/mythosreadyv95.pdf) (2026) - CSA 的战略简报，将欺骗技术列为 AI 驱动的漏洞发现和响应计划中的优先事项。 ## 演讲 - [欺骗与运营规划框架](https://www.youtube.com/watch?v=yIutY_X2FcU) (2025) - 关于物理欺骗操作的 ShmooCon 演讲。 - [将欺骗应用于攻击生命周期](https://www.youtube.com/watch?v=vEHg9hRyJ9c) (2025) - Tim Pappa 和 Skylar Simmons（来自 Walmart）讲述如何在攻击者的整个生命周期中使用欺骗技术。 - [甜蜜的欺骗：掌握 AWS Honey Tokens 以检测并智取攻击者](https://www.youtube.com/watch?v=R75ZTBnUwXk) (2025) - Nick Frichette。 - [持续集成 / 持续欺骗：作为恶意维护者碰碰运气](https://www.youtube.com/watch?v=ehmAy320R4A) (2025) - Benedikt Haußner。 - [扭转局势：使用网络欺骗大规模猎捕钓鱼攻击者](https://www.youtube.com/watch?v=78qnM_ZzpNc) (2024) - BSides Exeter。 - [反欺骗：在充满谎言的世界中保护自己](https://www.youtube.com/watch?v=gHqDEMrqTjE) (2024) - DEF CON 32，Tom Cross 和 Greg Conti。 - [Mirage：对抗自主网络攻击的网络欺骗](https://www.youtube.com/watch?v=S0ioMe-g0vk) (2024) - Black Hat USA 2024，Ron Alford 和 Michael Kouremetis。 ## 播客 - [第281期：与 Kevin Conley 一起进行大规模欺骗对手](https://open.spotify.com/episode/2Ac5LRaC2fduw9B9S2A2WK) (2026) - Google 云安全播客探讨在 Riot Games 大规模扩展欺骗技术的经验。 ## 会议 - [主动防御与欺骗 (AD&D)](https://adnd.work/) - 活跃的会议，最近一次活动于 2026 年举行。 - [Honeynet 研讨会](https://www.honeynet.org/workshops/) - 活跃的会议，最近一次活动于 2025 年举行。 ## 框架 - [MITRE Engage™](https://engage.mitre.org/) - 对手交战框架，包含一个[数据仓库](https://github.com/mitre/engage/tree/main)。 - [MITRE D3FEND™](https://d3fend.mitre.org/) - 防御性网络安全对策知识图谱，包含[软件代码库](https://github.com/d3fend)。 - [欺骗即检测](https://github.com/0x4D31/deception-as-detection) - 映射到 MITRE ATT&CK 矩阵的欺骗计划。 ## 脚注 本仓库最初是 [emilyanncr/awesome-deception](https://github.com/emilyanncr/awesome-deception) 的一个分支，而后者本身是从 [tolgadevsec/Awesome-Deception](https://github.com/tolgadevsec/Awesome-Deception) 分支出来的；它旨在成为一个更新更频繁的极佳欺骗技术列表。

标签：AMSI绕过, 内核模块, 威胁检测, 安全资源, 实时处理, 蜜罐技术, 配置审计, 防御加固, 防御对抗