manognabulle/HoneyScore-Threat-Intelligence-Platform

GitHub: manognabulle/HoneyScore-Threat-Intelligence-Platform

基于 OpenCanary 蜜罐的威胁情报平台,集成攻击者画像、MITRE ATT&CK 映射、风险评分与安全分析仪表板。

Stars: 0 | Forks: 0

# HoneyScore 威胁情报平台 ## 基于 Honeypot 的威胁情报与攻击者画像系统 ![Python](https://img.shields.io/badge/Python-3.11-blue) ![Flask](https://img.shields.io/badge/Flask-Web%20Framework-black) ![Docker](https://img.shields.io/badge/Docker-Containerized-blue) ![MITRE ATT\&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![Cybersecurity](https://img.shields.io/badge/Cybersecurity-Threat%20Intelligence-green) ## 概述 HoneyScore 是一个网络安全威胁情报平台,旨在分析、分类和画像针对暴露的网络服务的恶意活动。 该平台利用 **OpenCanary honeypot** 来模拟易受攻击的服务并吸引攻击者。捕获的攻击事件通过威胁情报 pipeline 进行处理,执行以下操作: * 事件收集与标准化 * 威胁情报补充 * MITRE ATT&CK 映射 * 攻击者画像 * 风险评分 * 安全分析可视化 HoneyScore 使安全分析师能够深入了解攻击者的行为,识别新出现的威胁,并通过可操作的情报来改进防御策略。 ## 核心功能 ### Honeypot 基础设施 * OpenCanary 部署 * 多服务模拟 * 实时事件生成 * 攻击面模拟 支持的服务: * SSH * FTP * HTTP * MySQL * SMB * RDP * Telnet * VNC ### 📡 威胁事件收集 * 日志摄取 pipeline * 事件标准化 * 攻击分类 * 服务识别 * 工具指纹识别 检测到的攻击者工具包括: * Nmap * Masscan * Hydra * SQLMap * Nikto * Metasploit ### MITRE ATT&CK 映射 平台将观察到的活动映射到 MITRE ATT&CK 技术。 示例: | 技术 ID | 描述 | | ------------ | ------------------------- | | T1046 | 网络服务发现 (Network Service Discovery) | | T1595 | 主动扫描 (Active Scanning) | | T1110 | 暴力破解 (Brute Force) | 这使得分析师能够理解对手的战术和技术。 ### 威胁情报补充 对于每个攻击者 IP: * 国家/地区查询 * 区域查询 * ASN 查询 * ISP 识别 * 组织映射 为威胁调查和归属提供额外的上下文。 ### 风险评分引擎 HoneyScore 自动生成攻击者画像并分配风险等级。 风险因素包括: * 攻击次数 * 目标服务 * 尝试的凭据 * 侦察活动 * 观察到的 MITRE ATT&CK 技术 风险等级: ``` LOW MEDIUM HIGH CRITICAL ``` ### 安全分析仪表板 交互式仪表板提供: * 头部攻击者统计 * 攻击时间轴分析 * 地理攻击分布 * MITRE ATT&CK 可视化 * 服务目标分析 * 风险分布指标 ## 系统架构 ``` Internet Attackers │ ▼ OpenCanary Honeypot │ ▼ Event Collector │ ▼ Event Normalization │ ▼ Threat Intelligence Engine │ ┌─────────────────┼─────────────────┐ ▼ ▼ ▼ MITRE Mapping IP Enrichment Risk Scoring └─────────────────┼─────────────────┘ ▼ Attacker Profiles │ ▼ Security Dashboard ``` ## 技术栈 ### 后端 * Python * Flask ### 安全 * OpenCanary * 威胁情报分析 * MITRE ATT&CK 框架 ### 部署 * Docker * Docker Compose ### 数据处理 * 事件标准化 * 风险评分 * 攻击者画像 ## 📁 项目结构 ``` HoneyScore-Threat-Intelligence-Platform │ ├── app.py ├── event_collector.py ├── scoring_engine.py ├── intel_enrichment.py ├── opencanary.conf ├── requirements.txt ├── Dockerfile ├── docker-compose.yml │ ├── dashboard/ │ └── templates/ │ ├── frontend/ │ └── honeyui/ │ └── README.md ``` ## 🚀 快速开始 ### 克隆仓库 ``` git clone https://github.com/manognabulle/HoneyScore-Threat-Intelligence-Platform.git ``` ### 导航 ``` cd HoneyScore-Threat-Intelligence-Platform ``` ### 安装依赖 ``` pip install -r requirements.txt ``` ### 启动服务 ``` docker-compose up -d ``` ### 启动仪表板 ``` python app.py ``` ## 工程亮点 * 设计了一个基于 honeypot 的威胁情报平台。 * 实现了自动化的事件收集和标准化。 * 构建了攻击者画像和风险评分机制。 * 集成了 MITRE ATT&CK 技术映射。 * 开发了 IP 补充和威胁情报工作流。 * 创建了交互式安全分析仪表板。 * 使用 Docker 对平台进行容器化,简化了部署。 ## 未来增强功能 * 实时威胁源集成 * SIEM 集成 * 机器学习攻击分类 * 自动化威胁狩猎 * IOC 生成 * 邮件和 Slack 告警 * 威胁行为者聚类 * 高级攻击可视化 ## 作者 **Manogna Bulle** B.Tech 计算机科学工程 Amrita Vishwa Vidyapeetham GitHub: https://github.com/manognabulle ## ⭐ 如果您觉得这个项目有用,请考虑为该仓库加星。
标签:Docker, Flask, Python, 后端开发, 威胁情报, 安全防御评估, 密码管理, 底层分析, 开发者工具, 插件系统, 攻击者画像, 无后门, 版权保护, 网络安全, 蜜罐, 证书利用, 请求拦截, 逆向工具, 隐私保护