Fausto-404/AlterHive

GitHub: Fausto-404/AlterHive

面向红蓝对抗和安全研究的高交互智能蜜罐平台,通过多 Agent 动态构建虚拟拓扑欺骗环境,帮助防守方观察攻击意图并保护真实资产。

Stars: 37 | Forks: 2

AlterHive 幻巢智能欺骗蜜罐平台

Release GitHub Forks Go

AlterHive(幻巢)是一款面向攻防演练、红蓝对抗和安全研究场景的高交互智能欺骗蜜罐平台。平台以虚拟拓扑、会话记忆、规则引擎和多 Agent 欺骗规划为核心,将攻击者的 SSH、扫描、横向移动、凭据搜索、服务探测等行为引导进可控的“子网幻象”环境中,通过渐进式证据投放、影子资产生成、失败点控制和可视化审计,帮助防守方观察攻击意图、拖延攻击节奏、保护真实目标。 image --- **架构设计与多 Agent 机制请查看:**[**docs/agent架构.md**](./docs/agent架构.md) ## 平台价值 + **高交互欺骗**:提供 SSH 入口、模拟服务、虚拟文件系统和命令响应,让攻击者获得连续交互体验。 + **子网幻象**:根据攻击意图动态扩展影子子网、跳板主机、服务资产和可见路径。 + **证据驱动**:通过 `.env`、日志、bash history、GitLab、Jenkins、数据库、Kubernetes 等线索逐步引导攻击链。 + **状态可控**:通过 gate、required_state、visible_after、protected target 等机制控制事实暴露节奏。 + **安全边界**:Safety Agent 和规则引擎默认阻断真实扫描、真实连接和真实破坏性命令。 + **可视化审计**:Web 控制台展示会话、命令、拓扑、证据命中、攻击者画像和系统状态。 + **可扩展配置**:支持 YAML 拓扑、运行时端口配置、LLM Provider 配置和 Docker Compose 一键部署。 ## 适用场景 + 攻防演练期间部署可控入口,观察攻击者后渗透路径和目标偏好。 + 蓝队希望将攻击者从真实资产引流到虚拟网络和影子目标。 + 安全研究人员验证自动化渗透 Agent、扫描器和横向移动工具的行为模式。 + 企业内网需要构造 GitLab、Jenkins、Redis、MySQL、DC、跳板机等组合诱饵场景。 + 需要沉淀攻击命令、证据命中、拓扑扩展和欺骗策略的复盘材料。 ## 核心场景流程 ### 1、攻击会话进入欺骗环境 Attacker / AI Pentest Agent -> SSH Honeypot / Simulation API -> Session Manager -> Rule Engine -> Safety Agent -> Response Agent -> Virtual World State ### 2、子网幻象与多 Agent 规划 Command Input -> Intent Router Agent -> Evidence Agent -> Topology Planner -> World Builder -> Consistency Critic -> Safety Review -> Approved Shadow Topology ### 3、可视化监控与复盘 Sessions / Commands / Evidence -> REST API -> React Console -> Dashboard -> Topology View -> Command Replay ## 核心亮点功能展示 ### 1、动态拓扑欺骗 + 基于 `configs/topology.yaml` 定义入口网段、主机、服务、边和访问状态。 + 支持运行时根据攻击者目标扩展 shadow segment、shadow host 和 pivot edge。 + 已暴露事实会被锁定,避免前后响应不一致。 ### 2、高交互 SSH 蜜罐 + 支持 SSH 入口、shell 命令、嵌套 SSH、密码提示和跳板上下文。 + 内置常见命令响应,包括 `nmap`、`fscan`、`curl`、`ssh`、`mysql`、`redis-cli`、`kubectl` 等。 + 可记录攻击者命令、远端地址、会话状态、证据命中和拓扑变化。 ### 3、证据链投放 + 在虚拟文件系统中放置 `.env`、应用日志、Git 凭据、部署脚本、kubeconfig 等线索。 + 使用 `visible_after` 和 gate 控制证据出现时机。 + 根据攻击者行为画像调整线索密度和响应策略。 ### 4、Web 管理控制台 + 运营总览:查看会话数量、活跃攻击者、证据命中和系统状态。 + 会话管理:查看会话列表、命令历史、攻击者画像和终端回放。 + 拓扑视图:查看入口网段、主机、服务、边、影子资产和当前会话可见范围。 + 系统配置:管理 SSH/API 端口、拓扑 CIDR、会话超时和 LLM Provider。 ### 5、LLM 安全控制 + 默认关闭 LLM。 + 默认禁止 LLM Provider 网络请求。 + 默认禁止命令、拓扑、最近命令和保护目标等上下文外发。 + 如确需启用,需要显式设置环境变量并自行确认 Provider 安全性。 ## 项目目录 AlterHive-v1.0.0/ ├── api/ # REST API、认证、会话查询、模拟接口和配置接口 ├── configs/ # 运行时配置、拓扑配置、LLM Provider 配置 │ ├── alterhive.yaml # 日志、Prometheus、Tracing 等基础配置 │ ├── topology.yaml # 虚拟拓扑、主机、服务、边和 gate 定义 │ └── llm.yaml # LLM 配置,默认关闭 ├── docs/ # 架构设计、多 Agent 欺骗规划文档 ├── frontend/ # React + TypeScript Web 控制台 ├── internal/ # 核心域模型、规则引擎、欺骗 Agent、响应器、会话管理 │ ├── deception/ # 多 Agent、证据、规划、一致性和安全策略 │ ├── domain/ # 拓扑、世界状态、会话、证据、模型定义 │ ├── engine/ # 命令规则引擎与响应调度 │ ├── llm/ # LLM Provider 管理与安全门控 │ ├── responders/ # SSH、HTTP、MySQL、Redis、网络等协议响应 │ └── session/ # 会话生命周期与上下文管理 ├── scripts/ # 攻击链模拟脚本 ├── Dockerfile # 后端镜像构建 ├── docker-compose.yml # 一键部署容器编排 ├── Makefile # 常用构建、测试、Docker 命令 └── main.go # 服务启动入口 ## 快速启动 ### Docker 一键部署 cp .env.example .env docker compose up -d --build 默认访问地址: + 前端页面:`http://localhost:3000` + 后端 API:`http://localhost:8000` + 健康检查:`http://localhost:8000/healthz` + SSH 蜜罐入口:`ssh root@127.0.0.1 -p 2222` 默认运行时配置: SSH_PORT=2222 API_PORT=8000 TOPOLOGY_CIDR=192.168.56.0/24 SESSION_TIMEOUT=600 FRONTEND_PORT=3000 ### 本地开发 后端: go mod download go run . 前端: cd frontend npm install npm run dev 默认前端开发地址通常为:`http://localhost:5173` ## 功能模块概览 | 模块 | 主要能力 | | :--- | :--- | | 运营总览 | 会话数量、活跃攻击者、证据命中、PPF 触发、近期会话和系统健康状态 | | 会话管理 | 会话列表、会话详情、命令历史、远端地址、攻击者画像和删除会话 | | 拓扑视图 | 主机、网段、服务、边、跳板关系、影子资产和会话可见范围 | | 命令审计 | 记录 SSH 和模拟 API 中的命令、输出、证据 token 和策略结果 | | 模拟 API | 提供 nmap、fscan、curl、ssh、nc、ping、goal 等自动化测试接口 | | 证据系统 | 证据 token、可见条件、命中状态、证据网格和攻击阶段判断 | | 规则引擎 | 本地命令响应、协议响应、服务枚举、复杂命令处理和安全拦截 | | 多 Agent 欺骗 | Intent Router、Topology Planner、World Builder、Evidence、Safety、Consistency | | LLM 配置 | 支持 OpenAI-Compatible、Anthropic、DeepSeek、Qwen、Zhipu、Moonshot、Ollama 等 Provider | | 系统配置 | SSH/API 端口、拓扑 CIDR、会话超时、自动重启状态和系统信息 | ## 配置说明 ### 运行时配置 运行时端口和拓扑 CIDR 位于 `.env` 和 `configs/.env`: SSH_PORT=2222 API_PORT=8000 TOPOLOGY_CIDR=192.168.56.0/24 SESSION_TIMEOUT=600 FRONTEND_PORT=3000 ### 拓扑配置 核心拓扑位于 `configs/topology.yaml`,主要字段包括: + `cidr`:入口网段。 + `gateway`:网关地址。 + `local_ip`:入口主机在虚拟网段中的地址。 + `segments`:网络段定义。 + `hosts`:虚拟主机、角色、服务、密码和访问条件。 + `edges`:主机、网段、跳板和 pivot 关系。 ### LLM 配置 LLM 配置位于 `configs/llm.yaml`,默认关闭: enabled: false active_provider: openai 如确需启用外部模型,请同时显式设置: export ALTERHIVE_ALLOW_LLM_NETWORK=true export ALTERHIVE_ALLOW_LLM_CONTEXT_EXPORT=true ## 安全边界 + 平台用于授权的安全研究、攻防演练和内部防守验证。 + 默认配置不应直接暴露到公网。 + 修改端口绑定、后台账号、Bearer Token、模拟 API 访问控制前,请先完成安全加固。 + LLM 外联默认关闭,避免命令历史、拓扑、保护目标和诱饵设计上下文被发送到外部服务。 + 拓扑中的密码、Token、内网地址默认是欺骗内容,不应复用真实生产凭据。 ## 技术架构 + 后端:Go + Gin + Logrus + SSH:gliderlabs/ssh + 前端:React + TypeScript + Ant Design + Vite + 配置:YAML + dotenv + 可观测:Prometheus metrics + Agent:Intent Router、Topology Planner、World Builder、Evidence Agent、Safety Agent、Consistency Critic + 部署:Docker Compose ## 版本说明 当前目录版本:`AlterHive-v1.0.0` 本版本重点能力: + 高交互 SSH 蜜罐入口。 + 子网幻象拓扑和 shadow asset 扩展。 + Web 控制台会话、拓扑、命令和系统配置管理。 + 多 Agent 欺骗规划和证据投放机制。 + 默认关闭 LLM 外联,降低敏感上下文泄露风险。 ## 免责声明 本项目仅用于合法授权的安全测试、攻防演练、防守验证和安全研究。请勿将本项目用于未授权访问、攻击真实系统或规避安全监测。使用者应自行承担部署、配置和使用过程中的合规与安全责任。
标签:BOF, EDR绕过, EVTX分析, Go语言, PE 加载器, StruQ, 多Agent系统, 插件系统, 日志审计, 欺骗防御, 程序破解, 自定义请求头, 请求拦截, 高交互蜜罐