Keerthana-sys-nfsu/ssh-honeypot

# SSH蜜罐 SSH Honeypot威胁情报分析与自动化法医报告平台 **机构：** 国家法医学大学（NFSU） **类型：** 小型项目 | 独立项目 **领域：** 数字取证 | 网络安全 | 威胁情报 ## 概述 该项目是一个从头开始构建的端到端SSH Honeypot部署和威胁情报平台，完全作为一个独立项目。它不仅部署了诱饵，还结合了实时攻击捕获、威胁情报丰富化、可视化分析和自动化法医报告生成，形成一个单一的集成管道。 ## 目标 1. 部署一个功能性的Cowrie SSH Honeypot以捕获真实世界的攻击数据 2. 建立实时网络仪表板以进行实时攻击可视化 3. 集成AbuseIPDB威胁情报API进行攻击者IP声誉分析 4. 自动生成专业的PDF法医报告 5. 分析攻击模式和攻击者行为 6. 提取可操作的威胁指标（IoC） ## 技术栈 | 组件 | 技术 | |----------------------|------------| | 诱饵引擎 | Cowrie | | 后端 | Python, Flask | | 仪表板 | HTML, Flask, render_template_string | | 数据处理 | Pandas | | 威胁情报 | AbuseIPDB API | | 报告生成 | ReportLab (PDF) | | 数据格式 | JSON, CSV | ## 系统架构 该平台作为一个完整的管道运行： Cowrie 诱饵 → 日志捕获 → Flask 后端 → 实时仪表板 ↓ AbuseIPDB 威胁情报 ↓ 自动化PDF法医报告 每个组件都输入到下一个组件中——Cowrie捕获的攻击日志由Flask后端处理，通过AbuseIPDB丰富威胁情报，在仪表板上可视化，并自动编译成可下载的法医报告。 ## 关键特性 - **实时仪表板** — 实时可视化攻击日志，攻击模式的图形表示，自动刷新功能 - **威胁情报集成** — 自动将顶级攻击IP与AbuseIPDB进行交叉引用以获取滥用置信度分数、国家、ISP和Tor节点识别 - **自动化法医报告生成** — 使用ReportLab一键生成PDF报告，具有专业格式，结构化为正式的法医文件 - **IoC提取** — 从捕获的攻击数据中自动识别威胁指标 - **攻击模式分析** — 尝试的用户名/密码组合，攻击者的地理分布，时间攻击模式 ## 真实世界发现 在部署期间，诱饵捕获了大量的真实世界攻击流量。对顶级20个攻击IP的威胁情报分析揭示了： - **2个确认的Tor出口节点**在顶级攻击者中 - IP `185.220.101.47`（德国，Tor出口流量网络）——100%滥用置信度分数，负责420次登录尝试 - IP `193.32.162.157`（罗马尼亚，Unmanaged Ltd）——100%滥用分数，有17,552个之前的全球报告，表明这是一个长期存在的恶意行为者 - 攻击IP来自德国、罗马尼亚、瑞士、美国和俄罗斯等地 - 多个IP被标记为具有高滥用置信度分数，表明是专业威胁行为者而不是机会主义扫描器 ## 我学到的 - 端到端系统设计——将多个组件集成到单个工作管道中 - 与真实攻击数据工作并理解攻击者行为 - 威胁情报丰富的API集成 - 自动化法医报告生成 - Flask网络应用程序开发用于安全工具 - 实际理解SSH暴力破解攻击模式和IoC ## 项目状态 作为小型项目完成——NFSU 欢迎扩展和合作 ## 作者 **Keerthana** 数字取证和信息安全硕士 国家法医学大学（NFSU）

标签：AbuseIPDB, Flask框架, HTML开发, IoC指标提取, Pandas数据处理, PDF报告生成, Python开发, SSH蜜罐, 多模态安全, 威胁情报, 学术项目, 开发者工具, 攻击模式分析, 数字取证, 独立项目, 网络安全, 自动化报告, 自动化脚本, 蜜网部署, 进程注入, 逆向工具, 隐私保护