Aaditya-Mohanty/Deception-Based-Security-Mechanism.

# HoneyOps — 实时蜜罐欺骗平台 ## 概述 HoneyOps 是一个实时蜜罐系统，旨在通过部署高度逼真的虚假企业登录门户来检测和分析恶意活动。 该平台采用以欺骗为核心的安全策略。它不是阻止攻击者，而是捕获、监控并实时分析它们。任何与系统的交互都被视为可疑行为，从而实现高可靠性检测，几乎没有误报。 ## 功能特性 - 部署三个逼真的虚假企业门户（`/login`、`/admin`、`/dashboard`） - 实时攻击检测与告警生成 - 凭证捕获用于威胁分析 - 带有地理映射的 IP 追踪 - 实时监控仪表板与告警流 - 基于严重程度的分类（中等 / 高危） - 基于 JSON 的持久化告警存储 - 威胁的交互式过滤与可视化 ## 工作原理 ### 核心概念 该系统托管模拟真实企业系统的虚假登录和管理门户。 由于任何合法用户都不应访问这些门户： - 任何访问都被视为可疑活动 - 任何凭证提交都被视为已确认的攻击尝试 ### 检测逻辑 #### 1. 侦察检测（中危） - 记录所有对虚假端点的 GET 请求 - 表示扫描或探测活动 #### 2. 攻击检测（高危） - 捕获所有提交的凭证 - 记录为活跃的入侵尝试 ### 记录数据 每次交互都会记录以下信息： - 时间戳 - 源 IP 地址 - 用户代理（User-Agent） - 访问的端点（触发的陷阱） - 提交的凭证（如有） - 严重程度级别 ### 实时监控 - 告警实时流式传输到仪表板 - 操作员可以即时监控攻击者活动 - 检测与可见性之间无延迟 ## 仪表板功能 - 实时更新的实时告警订阅源 - 基于严重程度的过滤（中危 / 高危） - 凭证捕获显示 - 带交互地图的 IP 地理定位 - 按活动排名的顶级攻击 IP - 可点击的指标用于快速过滤 ## 核心洞察 传统安全系统常常难以处理误报。 蜜罐消除了这一问题： - 不期望任何合法流量 - 每次交互都可疑 - 无需调整 这实现了高置信度的威胁检测，噪音极低。 ## 技术栈 - Python + Flask — 仪表板 API - Python `http.server` — 蜜罐监听器（端口 8080） - 多线程 — 双服务并发执行 - 原生 JavaScript — 前端仪表板 - JSON — 持久化告警存储 - ip-api.com + OpenStreetMap — IP 地理定位与地图 ## 说明 - 系统部署后自动开始记录交互 - 无需手动设置即可生成日志 - 每当攻击者与蜜罐交互时，动态创建告警 ## 结论 HoneyOps 展示了如何将欺骗作为一种有效的网络安全策略。通过主动暴露攻击者行为而不仅仅是防御系统，它提供了对现实世界威胁和攻击模式的宝贵洞察。

标签：DNS 反向解析, Homebrew安装, HTTP工具, IP 地址批量处理, IP追踪, JSON存储, Mutation, 交互式过滤, 仪表盘, 企业门户, 侦察探测, 凭证捕获, 可视化, 后渗透, 告警流, 地理定位, 威胁情报, 实时检测, 开发者工具, 攻击模拟, 数据可视化, 欺骗安全, 登录欺骗, 网络安全审计, 蜜罐, 证书利用, 逆向工具, 驱动签名利用