HsenR/enterprise-honeypot-platform
GitHub: HsenR/enterprise-honeypot-platform
一个基于 AWS 和 T-Pot 构建的企业级云原生蜜罐平台,集成了自动化威胁情报分析与 MITRE ATT&CK 映射功能。
Stars: 1 | Forks: 0
# 🛡️ 企业级蜜罐平台 v2.0
### 云原生威胁情报与检测系统
**作者:** Loki | **平台:** AWS eu-central-1 | **版本:** T-Pot 24.04.1
## 📊 实时统计
- 🍯 **38 个活跃蜜罐** 同时运行
- 🌍 **全球攻击覆盖** 跨所有协议
- 🤖 **自动化威胁情报** pipeline
- 📱 **实时 Telegram 告警** 针对严重威胁
- 📄 **每日 PDF 报告** 自动生成
## 🏗️ 架构
```
Internet (Attackers)
│
▼
┌─────────────────────────────────┐
│ AWS EC2 (DMZ) │
│ ┌─────────────────────────┐ │
│ │ T-Pot v24.04.1 │ │
│ │ 38 Honeypot Containers │ │
│ │ Cowrie │ Dionaea │ ... │ │
│ └──────────┬──────────────┘ │
│ │ │
│ ┌──────────▼──────────────┐ │
│ │ Suricata IDS/IPS │ │
│ └──────────┬──────────────┘ │
│ │ │
│ ┌──────────▼──────────────┐ │
│ │ Logstash → Elasticsearch│ │
│ │ Kibana Dashboard │ │
│ └──────────┬──────────────┘ │
│ │ │
│ ┌──────────▼──────────────┐ │
│ │ Intelligence Pipeline │ │
│ │ VirusTotal │ AbuseIPDB │ │
│ │ MITRE ATT&CK Tagger │ │
│ │ PDF Report Generator │ │
│ │ Telegram Alerting │ │
│ └─────────────────────────┘ │
└─────────────────────────────────┘
```
## 🍯 蜜罐服务
| Service | Protocol | Purpose |
|---------|----------|---------|
| Cowrie | SSH/Telnet | 凭据捕获与命令记录 |
| Dionaea | SMB/HTTP/FTP | 恶意软件捕获 |
| Elasticpot | HTTP/9200 | 伪装 Elasticsearch |
| Redishoneypot | Redis/6379 | Redis 攻击捕获 |
| Wordpot | HTTP | 伪装 WordPress |
| Mailoney | SMTP | 邮件攻击捕获 |
| Medpot | DICOM | 医疗设备模拟 |
| CiscoASA | HTTPS | 伪装 Cisco 防火墙 |
| Conpot | ICS/SCADA | 工业控制系统 |
| Heralding | Multi | 凭据捕获 |
| Honeytrap | Any | 未知协议捕获 |
| +27 更多 | Various | 全协议覆盖 |
## 🧠 情报 Pipeline
### 1. 攻击者富化 (`enrichment.py`)
- 查询 **VirusTotal API** 获取恶意软件检测结果
- 查询 **AbuseIPDB API** 获取滥用历史
- 计算 **威胁评分 0-100**
- 分类为 LOW / MEDIUM / HIGH / CRITICAL
- 将配置文件存储在 Elasticsearch 中
### 2. MITRE ATT&CK 标记器 (`mitre_tagger.py`)
- 将每个攻击事件映射到 MITRE ATT&CK 框架
- 覆盖所有战术中的 20 多种技术
- 支持攻击模式的热力图可视化
- 框架版本:ATT&CK v14
### 3. 实时告警 (`alerting.py`)
- 针对 HIGH 和 CRITICAL 威胁的 Telegram 告警
- 每小时攻击摘要报告
- TOR 出口节点检测
- ISP 和地理位置上下文
### 4. PDF 报告生成器 (`report_generator.py`)
- 专业的威胁情报报告
- 每 24 小时自动生成
- 通过 Telegram 交付
- 涵盖:威胁行为体、MITRE 战术、地理分布
## 🛠️ 技术栈
| Category | Technology |
|----------|-----------|
| Cloud | AWS EC2 |
| OS | Ubuntu Server 22.04 |
| Honeypot Platform | T-Pot 24.04.1 |
| IDS | Suricata 7.x |
| SIEM | Elasticsearch 9.x + Kibana |
| Log Pipeline | Logstash + Filebeat |
| Threat Intel | VirusTotal + AbuseIPDB APIs |
| Framework | MITRE ATT&CK v14 |
| Automation | Python 3.x + systemd |
| Alerting | Telegram Bot API |
| Reporting | ReportLab PDF |
| IaC | Terraform |
## 📁 项目结构
```
├── scripts/
│ ├── enrichment.py # Attacker profiling pipeline
│ ├── alerting.py # Telegram alert system
│ ├── mitre_tagger.py # MITRE ATT&CK auto-tagger
│ └── report_generator.py # PDF report generator
├── docs/
│ └── architecture.md # Detailed architecture docs
├── systemd/
│ ├── tpot-enrichment.service
│ ├── tpot-alerting.service
│ ├── tpot-mitre.service
│ └── tpot-reports.service
└── README.md
```
## 🚀 部署
### 前置条件
- AWS 账户
- Ubuntu Server 22.04
- 最低 8GB RAM
- VirusTotal API 密钥 (免费)
- AbuseIPDB API 密钥 (免费)
- Telegram Bot token (免费)
### 快速开始
```
# 克隆 T-Pot
git clone https://github.com/telekom-security/tpotce
cd tpotce
sudo ./install.sh
# Clone this repo
git clone https://github.com/YOUR_USERNAME/enterprise-honeypot
cd enterprise-honeypot
# 配置 API keys
cp .env.example .env
nano .env
# 安装 dependencies
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
# 部署 services
sudo systemctl enable tpot-enrichment tpot-alerting tpot-mitre tpot-reports
sudo systemctl start tpot-enrichment tpot-alerting tpot-mitre tpot-reports
```
## 📊 示例发现
基于 24 小时的部署数据:
- **主要攻击国家:** 美国、中国、俄罗斯、荷兰
- **最受针对的服务:** SSH (Cowrie) — 占所有攻击的 60% 以上
- **主要 MITRE 战术:** Credential Access (T1110)
- **平均威胁评分:** 45/100
- **检测到的严重威胁:** 多个已知僵尸网络 IP
## ⚠️ 法律与道德声明
此平台部署仅用于**防御性安全研究**。
收集的所有数据仅用于威胁情报和学术目的。
蜜罐部署符合 AWS 可接受使用政策。
## 📬 联系方式
- **LinkedIn:** linkedin.com/in/hsen-reslan-ba4284314/
- **Portfolio:** hsenr.github.io
- **GitHub:** github.com/hsenr
标签:AWS, Beacon Object File, CISA项目, Cloudflare, DAST, Dionaea, DPI, Elasticsearch, HTTP/HTTPS抓包, Metaprompt, MITRE ATT&CK, OISF, PE 加载器, Python, Shellcode执行, Suricata, Telegram 机器人, 云计算, 企业安全, 内容过滤, 威胁情报, 开发者工具, 态势感知, 恶意软件分析, 插件系统, 攻击分析, 攻防研究, 无后门, 日志管理, 漏洞利用检测, 现代安全运营, 端点威胁检测, 网络安全, 网络资产管理, 自动化报告, 蜜罐系统, 规则引擎, 请求拦截, 越狱测试, 逆向工具, 隐私保护