mplsllc/honeypot-field-study-2026-04

# 蜜罐实地研究 **作者：** MPLS LLC (`mp.ls`) **研究周期：** 2026-03-29 — 2026-04-18（21 天） **传感器：** 部署在生产 Web 应用程序后面的单主机 HTTP 蜜罐 **仓库状态：** 收集的遥测数据、行动者档案和方法论的公开发布 ## 什么是这项研究 一项为期二十一天的观察研究，针对小型公共 Web 主机上的自动化和半自动化攻击。该主机运行合法服务，为真实用户提供服务，同时配备一个基于 Go 的陷阱层，用于捕获、分析并报告滥用活动。 本仓库包含： - **[EXECUTIVE_SUMMARY.md](EXECUTIVE_SUMMARY.md)** — 核心数据与主要发现 - **[METHODOLOGY.md](METHODOLOGY.md)** — 蜜罐的功能、采集内容与限制 - **[LESSONS.md](LESSONS.md)** — 运行良好的部分、问题与改进建议 - **[TIMELINE.md](TIMELINE.md)** — 关键事件的逐日日志 - **[actors/](actors/)** — 我们识别出的操作者个体档案 - **[iocs/](iocs/)** — 机器可读的指标（CSV 与每行一个的纯文本格式） - **[data/](data/)** — 蜜罐数据库的原始 CSV 导出 - **[tools/](tools/)** — 我们构建的传感器架构说明，以及从攻击者上传中恢复的工具记录 ## 范围与主张 本仓库中的所有内容均反映在研究期间 **单个传感器上观察到的结果**。归因基于网络遥测、捕获的有效载荷和公开上下文；未得到执法部门或行动者本人的确认。在置信度中等或较低的情况下，已明确标注。 我们**不主张**： - 这些行动者仅针对本主机；大多数捕获内容是随机会机扫描， - 记录的 IP 地址是任何个人的真实物理位置——代理、VPN 和移动 IPv6 分配使这成为一个独立问题， - 我们已识别出任何行动者的完整工具链——仅包含上传至我们陷阱端点的部分。 有效载荷哈希值已公开；**不包含**原始有效载荷二进制文件。需要样本的研究人员可联系我们。 ## 许可证 - 文本与分析：CC-BY-4.0 - CSV 数据与 IOC 馈送：CC0（公共领域奉献——可自由用于黑名单和检测规则） ## 联系 安全报告、样本请求与更正请联系：`hello@mp.ls`

标签：21天研究, CSV数据集, Go语言, HTTP蜜罐, IOC, mp.ls, MPLS LLC, SEO: 21天, SEO: 攻击者分析, SEO: 蜜罐研究, 云存储安全, 公开数据发布, 半自动化攻击, 单主机传感器, 威胁情报, 工具恢复, 底层分析, 开发者工具, 探针, 攻击者画像, 数据导出, 方法论, 日志审计, 滥用监测, 生产环境旁挂, 程序破解, 经验教训, 网络扫描, 网络观测, 自动化攻击, 蜜罐, 证书利用, 遥测收集