Chetanareddy18/HoneyCloud-X

## 🧠 什么是 HoneyCloud？ **HoneyCloud** 是一个生产级网络安全平台，结合了**蜜罐欺骗技术**与 **AI 驱动的事件响应引擎**。它监控恶意活动，使用机器学习模型对威胁进行分类，并在一个流畅的实时仪表盘中引导安全分析师完成完整的 PICERL 事件生命周期。 无论你是 SOC 分析师、研究人员，还是正在研究对抗行为的学生，HoneyCloud 都能为你提供深入**检测、遏制和理解攻击**的工具。 ## ✨ 核心功能 | 功能 | 描述 | |--------|-------------| | 🎯 **蜜罐集成** | 实时接收并解析 Cowrie SSH/Telnet 蜜罐日志 | | 🤖 **AI 威胁引擎** | 基于机器学习的分类、异常检测与行为分析 | | 🔥 **事件响应** | 完整的 PICERL 生命周期（检测 → 遏制 → 根除 → 恢复 → 总结 → 预防） | | 📡 **实时 SOC 仪表盘** | 实时攻击地图、威胁信息流和 KPI 面板 | | 🗺️ **Geo-IP 攻击地图** | 使用 Leaflet 的交互式地图，精确定位全球攻击者来源 | | 📊 **数据故事化** | 使用 Recharts 和动态洞察的可视化分析仪表盘 | | 🔔 **智能告警** | 具有严重性评分和自动分诊的上下文感知告警 | | 🧬 **行为指纹识别** | 识别攻击者模式、TTPs 和命令序列 | ## 🏗️ 系统架构 ``` HoneyCloudfinal/ │ ├── HoneyCloud/ │ ├── honeycloud-frontend/ # React 18 SOC Dashboard (CRA) │ │ ├── src/ │ │ │ ├── components/ # UI components (Dashboard, Map, Panels...) │ │ │ ├── pages/ # Route-level pages │ │ │ └── utils/ │ │ │ └── IncidentEngine.js # 🔥 Core incident lifecycle engine │ │ └── public/ │ │ │ ├── honeycloud-backend/ # Node.js + Express REST API │ │ ├── routes/ # API route handlers │ │ ├── models/ # Mongoose schemas (Attack, Incident...) │ │ ├── config/ # DB & server configuration │ │ └── server.js # Entry point │ │ │ ├── ai/ # Python AI/ML pipeline │ │ ├── main_ai_pipeline.py # Orchestrates full analysis pipeline │ │ ├── feature_extractor.py # Extracts features from raw log data │ │ ├── behavior_analyzer.py # Behavioral sequence analysis │ │ ├── classifier.py # Threat classification model │ │ ├── anomaly_detector.py # Isolation forest / statistical anomalies │ │ ├── threat_score.py # Risk scoring engine │ │ ├── pattern_detector.py # TTP & pattern matching │ │ └── predictor.py # Predictive threat intelligence │ │ │ └── storytelling/ # React data storytelling dashboard │ └── src/ # Animated analytics & visual reports │ └── .gitignore ``` ## 🚀 快速开始 ### 前置条件 - **Node.js** ≥ 18.x - **Python** ≥ 3.10 - **MongoDB** (本地或 Atlas) - **npm** 或 **yarn** ### 1️⃣ 克隆仓库 ``` git clone https://github.com/Chetanareddy18/HoneyCloud.git cd HoneyCloud ``` ### 2️⃣ 后端设置 ``` cd HoneyCloud/honeycloud-backend # 安装依赖 npm install # 创建您的环境文件 cp .env.example .env # 使用您的 MongoDB URI 和设置编辑 .env # 启动服务器 node server.js ``` API 将运行在 **`http://localhost:5000`** ### 3️⃣ 前端设置 ``` cd HoneyCloud/honeycloud-frontend # 安装依赖 npm install # 启动开发服务器 npm start ``` 仪表盘将在 **`http://localhost:3000`** 打开 ### 4️⃣ AI 流水线设置 ``` cd HoneyCloud/ai # 创建并激活虚拟环境 python -m venv hvenv source hvenv/bin/activate # Linux/Mac hvenv\Scripts\activate # Windows # 安装 Python 依赖 pip install -r requirements.txt # 运行 AI pipeline python main_ai_pipeline.py ``` ### 5️⃣ 数据故事化仪表盘（可选） ``` cd HoneyCloud/storytelling npm install npm start ``` ## ⚙️ 环境变量 在 `honeycloud-backend/` 目录下基于 `.env.example` 创建一个 `.env` 文件： ``` MONGO_URI=mongodb://127.0.0.1:27017/honeycloud PORT=5000 NODE_ENV=development ``` ## 🤖 AI/ML 流水线 — 工作原理 ``` Raw Cowrie Logs (JSON) │ ▼ Feature Extraction ──→ behavior_analyzer.py ──→ Pattern Detection │ ▼ Threat Classifier ──→ Anomaly Detector ──→ Threat Scoring │ ▼ Incident Engine (Frontend) ──→ PICERL Lifecycle ──→ SOC Dashboard ``` 1. **数据接入** — 解析并标准化原始 Cowrie SSH 蜜罐日志 2. **特征提取** — 提取 IP 元数据、会话时长、命令序列 3. **行为分析** — 攻击者指纹识别与 TTP 确认 4. **分类** — ML 模型评估威胁严重性 (低 / 中 / 高 / 严重) 5. **事件创建** — 自动创建的事件流入 React 事件引擎 6. **PICERL 工作流** — 分析师在引导式操作下完成响应阶段 ## 🛡️ 事件响应引擎 (PICERL) `IncidentEngine.js` 驱动完整的事件生命周期： | 阶段 | 描述 | |-------|-------------| | 🔍 **检测** | 通过 AI 评分或规则匹配触发告警 | | 🔒 **遏制** | 隔离受影响的系统，拦截恶意 IP | | 🧹 **根除** | 移除恶意软件，关闭攻击途径 | | 🔄 **恢复** | 恢复系统，验证完整性 | | 📋 **总结** | 事件后分析与经验教训 | | 🛡️ **预防** | 更新规则，修补已知漏洞 | ## 技术栈 **前端** - React 18 · React Router v6 · Framer Motion - Recharts · React Leaflet · Lucide Icons - React Hot Toast · PapaParse · Axios **后端** - Node.js · Express 5 · Mongoose - MongoDB · dotenv · CORS **AI / ML (Python)** - scikit-learn · pandas · numpy - 自定义特征工程与评分流水线

标签：AI安全, Apex, BOF, Chat Copilot, Express, GNU通用公共许可证, IP 地址批量处理, MITM代理, MongoDB, Node.js, PICERL, Python, React, SSH蜜罐, Syscalls, 仪表盘, 威胁分类, 威胁情报, 安全运营中心, 库, 应急响应, 开发者工具, 异常检测, 插件系统, 攻击溯源, 无后门, 机器学习, 欺骗防御, 网络安全, 网络映射, 自定义脚本, 蜜罐, 证书利用, 进程注入, 逆向工具, 隐私保护