cognis-digital/honeypot-mil

GitHub: cognis-digital/honeypot-mil

面向军事与情报场景的蜜罐事件富化工具，支持自动归因、IOC 提取与 STIX/TAXII 导出，内置 NIST、STIG、ATT&CK 合规映射。

Stars: 0 | Forks: 0

# honeypot-mil — H蜜罐事件富化 + IOC 导出 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d4c6a76b78125727.svg)](https://github.com/cognis-digital/honeypot-mil/actions) [![Classification](https://img.shields.io/badge/classification-UNCLASSIFIED-green.svg)](./UPSTREAM.md) ## 用法 — 分步说明 `honeypot-mil` 用于富化蜜罐事件日志（归因 + IOC 提取），并以兼容 TAXII 的格式导出指标。 1. **安装：** pip install cognis-honeypot-mil # 或：pip install -e . honeypot-mil --version 2. **扫描**蜜罐事件 — 提供一个包含 JSONL 的目录，且至少包含 `ts, src_ip, dst_port, protocol, payload`（`target` 默认为 `.`）： honeypot-mil ./events --format console 3. **输出 JSON** 并保存（格式包括：`console`, `json`, `markdown`, `sarif`, `oscal`）： honeypot-mil ./events --format json --out honeypot-findings.json 4. **查看结果** — 扫描结果包含 bogon 源（`HP-BOGON-*`）、端口扫描（`HP-PORTSCAN-*`）以及已知工具指纹（`HP-TOOL-*`）： jq '.findings[] | {id, severity, message}' honeypot-findings.json 5. **在 CI 中设置门禁** — 当富化出严重级别为高的攻击者活动时发出警报（非零退出码）： honeypot-mil ./events --format sarif --out honeypot.sarif --fail-on high ## 上游 Fork/封装自 **https://github.com/telekom-security/tpotce**。有关许可声明、支持的提交以及如何升级，请参阅 [`UPSTREAM.md`](./UPSTREAM.md)。 ## 针对军事 / IC（情报机构）用途的新增功能 - 端口扫描检测器 - 常用工具指纹库 - Bogon 源 IP 检测器 - STIX 2.1 + CISA AIS 导出器 ## 安装 ``` # 共享库（整个 ecosystem 仅需一次）： pip install -e ../../shared # 此工具： pip install -e . ``` ## 演示 ``` honeypot-mil demos/events.jsonl ``` 提供五种格式的输出 — 它们均会遵循操作员提供的涉密标记（通过 `--classification` 传递）： ``` honeypot-mil --format=console # default honeypot-mil --format=json honeypot-mil --format=sarif # for code-scanning pipelines honeypot-mil --format=markdown # for PRs / briefings honeypot-mil --format=oscal # OSCAL Assessment Results skeleton ``` ## 涉密标记所有输出均由操作员提供的涉密标记包装。 **默认**：`UNCLASSIFIED//FOR PUBLIC RELEASE`。 ## 合规性映射（内置）每个发现都可包含以下引用： - **NIST 800-53 Rev 5** 控制项（例如 `AC-2(1)`） - **DISA STIG** 规则 ID（例如 `V-242414`） - **MITRE ATT&CK** 技术 ID（例如 `T1078`） - **CCI**（控制关联标识符）这些内容会输出至 JSON、SARIF 和 OSCAL 骨架中。 ## CI / RMF 集成 ``` - name: honeypot-mil scan run: | pip install cognis-honeypot-mil honeypot-mil . --format=oscal --out=assessment-results.json --fail-on=high - name: Upload to eMASS/Xacta run: cognis-rmf-package import assessment-results.json ``` ## Cognis Digital 军事 / IC 生态系统的一部分包含 12 个代码库。均采用 MIT/Apache-2.0/GPL-3 许可（根据上游）。除非另有说明，Cognis 的新增内容均采用 Apache-2.0 许可。请参阅[主索引](../../MASTER-INDEX.md)。 ## 互操作性 `honeypot-mil` 可与包含 300 多个工具的 Cognis 套件组合使用 — 支持 JSON 输入/输出以及共享的 OpenAI 兼容 `/v1` 骨干网络。有关套件图谱、组合模式和参考技术栈，请参阅 **[INTEROP.md](INTEROP.md)**。 ## 集成通过 [`cognis-connect`](https://github.com/cognis-digital/cognis-connect) 将 `honeypot-mil` 的发现转发至 STIX/MISP/Sigma/Splunk/Elastic/Slack/webhooks。请参阅 **[INTEGRATIONS.md](INTEGRATIONS.md)**。

标签：STIX/TAXII, 威胁情报, 安全事件富化, 实时处理, 密码管理, 开发者工具, 插件系统, 蜜罐, 证书利用, 逆向工具