Harr1er-sec/honeypot-intel
GitHub: Harr1er-sec/honeypot-intel
这是一个用于提取蜜罐日志 IoC 并关联威胁情报源的工具,旨在帮助用户识别攻击者身份、恶意软件家族及攻击原因。
Stars: 0 | Forks: 0
# honeypot-intel
**关联蜜罐日志与威胁情报源。了解谁在攻击你以及原因。**
[](https://pypi.org/project/honeypot-intel/)
[](https://opensource.org/licenses/MIT)
[](https://www.python.org/downloads/)
`honeypot-intel` 获取你的蜜罐日志(Cowrie,更多支持即将推出),将每个攻击者 IP、下载的文件哈希和命令与实时威胁情报源(abuse.ch ThreatFox, Feodo Tracker, URLhaus, MalwareBazaar)进行交叉比对,并告诉你:
- 哪些攻击者是 **已知的 C2 服务器**或僵尸网络运营商
- 哪些下载的文件是 **已知的恶意软件样本**
- 哪种 **恶意软件家族** 正在针对你的基础设施
- 基于攻击者行为 + 威胁情报可信度的 **严重性评分**
## 安装
```
pip install honeypot-intel
```
## 快速开始
```
# 扫描 Cowrie JSON 日志与所有威胁源
hpi scan /var/log/cowrie/cowrie.json
# 从 Docker 容器扫描
hpi scan --docker cowrie
# 生成 markdown 报告
hpi report /var/log/cowrie/cowrie.json -o report.md
# 检查当前威胁源统计
hpi feeds
```
## 示例输出
```
┌────────────────────────────────────────────────────────────────┐
│ Correlations Found: 3 │
├──────────────┬──────────┬──────────┬──────────┬───────────────┤
│ IP / Hash │ Threat │ Malware │ Source │ Severity │
├──────────────┼──────────┼──────────┼──────────┼───────────────┤
│ 185.220.xx │ botnet │ Mirai │ feodo │ critical │
│ 45.148.xx │ c2 │ Cobalt │ threatfox│ high │
│ a3f2e8... │ payload │ Mozi │ bazaar │ critical │
└──────────────┴──────────┴──────────┴──────────┴───────────────┘
Critical: 2 | High: 1
```
## 支持的蜜罐
| Honeypot | Format | Status |
|----------|--------|--------|
| Cowrie | JSON 日志 (`cowrie.json`) | 已支持 |
| Cowrie | Docker 日志 | 已支持 |
| Dionaea | SQLite / JSON | 计划中 |
| T-Pot | ELK / JSON | 计划中 |
## 威胁情报源
所有情报源均为 **免费且无需 API 密钥**:
| Feed | Type | What it provides |
|------|------|-----------------|
| [ThreatFox](https://threatfox.abuse.ch) | IoCs | 按恶意软件家族标记的 IP、域名、URL、哈希 |
| [Feodo Tracker](https://feodotracker.abuse.ch) | C2 | 活跃的僵尸网络命令与控制服务器 |
| [URLhaus](https://urlhaus.abuse.ch) | URLs | 带有载荷信息的恶意 URL |
| [MalwareBazaar](https://bazaar.abuse.ch) | Samples | 带有标签和签名的恶意软件哈希 |
## 作为库使用
```
from honeypot_intel.parsers.cowrie import parse_json_log
from honeypot_intel.feeds.abusech import fetch_all
from honeypot_intel.correlator.engine import correlate
# 解析 honeypot 日志
sessions = list(parse_json_log("/var/log/cowrie/cowrie.json"))
# 获取 threat intel
indicators = fetch_all(days=1)
# 关联
report = correlate(sessions, indicators)
for c in report.correlations:
print(f"{c.severity}: {c.summary}")
# 生成 markdown 报告
print(report.to_markdown())
```
## 路线图
- [ ] Dionaea 解析器
- [ ] T-Pot / ELK 集成
- [ ] MISP 导出 (`pip install honeypot-intel[misp]`)
- [ ] 下载样本的 YARA 规则匹配
- [ ] VirusTotal 信息丰富
- [ ] 攻击者 IP 的 Shodan 上下文
- [ ] 自动化博客文章生成
- [ ] 攻击者 GeoIP 映射
## 构建者
**Harr1er** & **Qu4ntum** — [harr1er.github.io](https://harr1er.github.io)
## License
MIT
标签:Feodo Tracker, IOC, Malware, MalwareBazaar, Python, ThreatFox, URLhaus, 僵尸网络, 关联分析, 失陷指标, 威胁情报, 安全运营, 开发者工具, 开源安全工具, 恶意软件, 扫描框架, 无后门, 溯源分析, 网络安全, 蜜罐, 证书利用, 逆向工具, 逆向工程平台, 防御加固, 隐私保护