Fausto-404/AlterHive
GitHub: Fausto-404/AlterHive
面向红蓝对抗和安全研究的高交互智能蜜罐平台,通过多 Agent 动态构建虚拟拓扑欺骗环境,帮助防守方观察攻击意图并保护真实资产。
Stars: 37 | Forks: 2
AlterHive 幻巢智能欺骗蜜罐平台
AlterHive(幻巢)是一款面向攻防演练、红蓝对抗和安全研究场景的高交互智能欺骗蜜罐平台。平台以虚拟拓扑、会话记忆、规则引擎和多 Agent 欺骗规划为核心,将攻击者的 SSH、扫描、横向移动、凭据搜索、服务探测等行为引导进可控的“子网幻象”环境中,通过渐进式证据投放、影子资产生成、失败点控制和可视化审计,帮助防守方观察攻击意图、拖延攻击节奏、保护真实目标。
---
**架构设计与多 Agent 机制请查看:**[**docs/agent架构.md**](./docs/agent架构.md)
## 平台价值
+ **高交互欺骗**:提供 SSH 入口、模拟服务、虚拟文件系统和命令响应,让攻击者获得连续交互体验。
+ **子网幻象**:根据攻击意图动态扩展影子子网、跳板主机、服务资产和可见路径。
+ **证据驱动**:通过 `.env`、日志、bash history、GitLab、Jenkins、数据库、Kubernetes 等线索逐步引导攻击链。
+ **状态可控**:通过 gate、required_state、visible_after、protected target 等机制控制事实暴露节奏。
+ **安全边界**:Safety Agent 和规则引擎默认阻断真实扫描、真实连接和真实破坏性命令。
+ **可视化审计**:Web 控制台展示会话、命令、拓扑、证据命中、攻击者画像和系统状态。
+ **可扩展配置**:支持 YAML 拓扑、运行时端口配置、LLM Provider 配置和 Docker Compose 一键部署。
## 适用场景
+ 攻防演练期间部署可控入口,观察攻击者后渗透路径和目标偏好。
+ 蓝队希望将攻击者从真实资产引流到虚拟网络和影子目标。
+ 安全研究人员验证自动化渗透 Agent、扫描器和横向移动工具的行为模式。
+ 企业内网需要构造 GitLab、Jenkins、Redis、MySQL、DC、跳板机等组合诱饵场景。
+ 需要沉淀攻击命令、证据命中、拓扑扩展和欺骗策略的复盘材料。
## 核心场景流程
### 1、攻击会话进入欺骗环境
Attacker / AI Pentest Agent
-> SSH Honeypot / Simulation API
-> Session Manager
-> Rule Engine
-> Safety Agent
-> Response Agent
-> Virtual World State
### 2、子网幻象与多 Agent 规划
Command Input
-> Intent Router Agent
-> Evidence Agent
-> Topology Planner
-> World Builder
-> Consistency Critic
-> Safety Review
-> Approved Shadow Topology
### 3、可视化监控与复盘
Sessions / Commands / Evidence
-> REST API
-> React Console
-> Dashboard
-> Topology View
-> Command Replay
## 核心亮点功能展示
### 1、动态拓扑欺骗
+ 基于 `configs/topology.yaml` 定义入口网段、主机、服务、边和访问状态。
+ 支持运行时根据攻击者目标扩展 shadow segment、shadow host 和 pivot edge。
+ 已暴露事实会被锁定,避免前后响应不一致。
### 2、高交互 SSH 蜜罐
+ 支持 SSH 入口、shell 命令、嵌套 SSH、密码提示和跳板上下文。
+ 内置常见命令响应,包括 `nmap`、`fscan`、`curl`、`ssh`、`mysql`、`redis-cli`、`kubectl` 等。
+ 可记录攻击者命令、远端地址、会话状态、证据命中和拓扑变化。
### 3、证据链投放
+ 在虚拟文件系统中放置 `.env`、应用日志、Git 凭据、部署脚本、kubeconfig 等线索。
+ 使用 `visible_after` 和 gate 控制证据出现时机。
+ 根据攻击者行为画像调整线索密度和响应策略。
### 4、Web 管理控制台
+ 运营总览:查看会话数量、活跃攻击者、证据命中和系统状态。
+ 会话管理:查看会话列表、命令历史、攻击者画像和终端回放。
+ 拓扑视图:查看入口网段、主机、服务、边、影子资产和当前会话可见范围。
+ 系统配置:管理 SSH/API 端口、拓扑 CIDR、会话超时和 LLM Provider。
### 5、LLM 安全控制
+ 默认关闭 LLM。
+ 默认禁止 LLM Provider 网络请求。
+ 默认禁止命令、拓扑、最近命令和保护目标等上下文外发。
+ 如确需启用,需要显式设置环境变量并自行确认 Provider 安全性。
## 项目目录
AlterHive-v1.0.0/
├── api/ # REST API、认证、会话查询、模拟接口和配置接口
├── configs/ # 运行时配置、拓扑配置、LLM Provider 配置
│ ├── alterhive.yaml # 日志、Prometheus、Tracing 等基础配置
│ ├── topology.yaml # 虚拟拓扑、主机、服务、边和 gate 定义
│ └── llm.yaml # LLM 配置,默认关闭
├── docs/ # 架构设计、多 Agent 欺骗规划文档
├── frontend/ # React + TypeScript Web 控制台
├── internal/ # 核心域模型、规则引擎、欺骗 Agent、响应器、会话管理
│ ├── deception/ # 多 Agent、证据、规划、一致性和安全策略
│ ├── domain/ # 拓扑、世界状态、会话、证据、模型定义
│ ├── engine/ # 命令规则引擎与响应调度
│ ├── llm/ # LLM Provider 管理与安全门控
│ ├── responders/ # SSH、HTTP、MySQL、Redis、网络等协议响应
│ └── session/ # 会话生命周期与上下文管理
├── scripts/ # 攻击链模拟脚本
├── Dockerfile # 后端镜像构建
├── docker-compose.yml # 一键部署容器编排
├── Makefile # 常用构建、测试、Docker 命令
└── main.go # 服务启动入口
## 快速启动
### Docker 一键部署
cp .env.example .env
docker compose up -d --build
默认访问地址:
+ 前端页面:`http://localhost:3000`
+ 后端 API:`http://localhost:8000`
+ 健康检查:`http://localhost:8000/healthz`
+ SSH 蜜罐入口:`ssh root@127.0.0.1 -p 2222`
默认运行时配置:
SSH_PORT=2222
API_PORT=8000
TOPOLOGY_CIDR=192.168.56.0/24
SESSION_TIMEOUT=600
FRONTEND_PORT=3000
### 本地开发
后端:
go mod download
go run .
前端:
cd frontend
npm install
npm run dev
默认前端开发地址通常为:`http://localhost:5173`
## 功能模块概览
| 模块 | 主要能力 |
| :--- | :--- |
| 运营总览 | 会话数量、活跃攻击者、证据命中、PPF 触发、近期会话和系统健康状态 |
| 会话管理 | 会话列表、会话详情、命令历史、远端地址、攻击者画像和删除会话 |
| 拓扑视图 | 主机、网段、服务、边、跳板关系、影子资产和会话可见范围 |
| 命令审计 | 记录 SSH 和模拟 API 中的命令、输出、证据 token 和策略结果 |
| 模拟 API | 提供 nmap、fscan、curl、ssh、nc、ping、goal 等自动化测试接口 |
| 证据系统 | 证据 token、可见条件、命中状态、证据网格和攻击阶段判断 |
| 规则引擎 | 本地命令响应、协议响应、服务枚举、复杂命令处理和安全拦截 |
| 多 Agent 欺骗 | Intent Router、Topology Planner、World Builder、Evidence、Safety、Consistency |
| LLM 配置 | 支持 OpenAI-Compatible、Anthropic、DeepSeek、Qwen、Zhipu、Moonshot、Ollama 等 Provider |
| 系统配置 | SSH/API 端口、拓扑 CIDR、会话超时、自动重启状态和系统信息 |
## 配置说明
### 运行时配置
运行时端口和拓扑 CIDR 位于 `.env` 和 `configs/.env`:
SSH_PORT=2222
API_PORT=8000
TOPOLOGY_CIDR=192.168.56.0/24
SESSION_TIMEOUT=600
FRONTEND_PORT=3000
### 拓扑配置
核心拓扑位于 `configs/topology.yaml`,主要字段包括:
+ `cidr`:入口网段。
+ `gateway`:网关地址。
+ `local_ip`:入口主机在虚拟网段中的地址。
+ `segments`:网络段定义。
+ `hosts`:虚拟主机、角色、服务、密码和访问条件。
+ `edges`:主机、网段、跳板和 pivot 关系。
### LLM 配置
LLM 配置位于 `configs/llm.yaml`,默认关闭:
enabled: false
active_provider: openai
如确需启用外部模型,请同时显式设置:
export ALTERHIVE_ALLOW_LLM_NETWORK=true
export ALTERHIVE_ALLOW_LLM_CONTEXT_EXPORT=true
## 安全边界
+ 平台用于授权的安全研究、攻防演练和内部防守验证。
+ 默认配置不应直接暴露到公网。
+ 修改端口绑定、后台账号、Bearer Token、模拟 API 访问控制前,请先完成安全加固。
+ LLM 外联默认关闭,避免命令历史、拓扑、保护目标和诱饵设计上下文被发送到外部服务。
+ 拓扑中的密码、Token、内网地址默认是欺骗内容,不应复用真实生产凭据。
## 技术架构
+ 后端:Go + Gin + Logrus
+ SSH:gliderlabs/ssh
+ 前端:React + TypeScript + Ant Design + Vite
+ 配置:YAML + dotenv
+ 可观测:Prometheus metrics
+ Agent:Intent Router、Topology Planner、World Builder、Evidence Agent、Safety Agent、Consistency Critic
+ 部署:Docker Compose
## 版本说明
当前目录版本:`AlterHive-v1.0.0`
本版本重点能力:
+ 高交互 SSH 蜜罐入口。
+ 子网幻象拓扑和 shadow asset 扩展。
+ Web 控制台会话、拓扑、命令和系统配置管理。
+ 多 Agent 欺骗规划和证据投放机制。
+ 默认关闭 LLM 外联,降低敏感上下文泄露风险。
## 免责声明
本项目仅用于合法授权的安全测试、攻防演练、防守验证和安全研究。请勿将本项目用于未授权访问、攻击真实系统或规避安全监测。使用者应自行承担部署、配置和使用过程中的合规与安全责任。标签:BOF, EDR绕过, EVTX分析, Go语言, PE 加载器, StruQ, 多Agent系统, 插件系统, 日志审计, 欺骗防御, 程序破解, 自定义请求头, 请求拦截, 高交互蜜罐