Awez-cyber/aws-threat-intel-honeypot

# AWS 云威胁情报蜜罐流水线 一个自动化的云日志和威胁情报流水线，旨在使用 AWS 基础设施实时捕获、流式传输和分析实时的公共互联网暴力破解流量。 ## 🏗️ 架构概述 这个安全工程项目将传统的边界攻击方法论与云原生监控系统相结合，以隔离并监控恶意的互联网扫描器。 ``` [Public Internet Attackers] │ ▼ (Port 22 Open) [Isolated AWS EC2 Ubuntu Instance (Custom VPC)] │ ▼ (Real-time Authentication Log Hook) [Amazon CloudWatch Logging Agent] │ ▼ (Secure Data Stream Pipeline) [CloudWatch Log Analytics Center] ➔ [Dynamic Metrics Dashboard & Leaderboard] ``` ## 🛡️ 核心安全控制与技术实现 * **网络隔离：** 构建了一个专用的自定义 Virtual Private Cloud (VPC) 环境，将蜜罐暴露路径与标准资源完全隔离。 * **Identity & Access Management (IAM)：** 实施了严格的 Principle of Least Privilege (PoLP) 和 AWS Default Host Management Configuration (DHMC) 策略，以安全地处理主机节点配置任务。 * **主机修改：** 通过安全的 Systems Manager 命令修改了主机 SSH daemon 参数，以强制执行交互式身份验证模式，确保追踪功能能够捕获持续的暴力破解遥测数据。 * **日志遥测流水线：** 配置并部署了原生的 Unified CloudWatch Agent，以挂钩本地 Linux 身份验证结构 (`/var/log/auth.log`)，并立即将交易转发至主机外部。 * **数据工程与 Regex 解析：** 编写了利用 regex 结构的专用 CloudWatch Log Analytics 查询，以提取原始的 Indicators of Compromise (IoCs) 并编译恶意地址交易频率配置文件。 ## 📊 分析查询结构 为了从结构化的遥测流中提取跟踪变量，在 CloudWatch Log Analytics 控制台中实现了以下解析逻辑： ``` Fields @timestamp, @message | filter @message like “Connection closed” | parse @message /(?\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/ | stats count(*) as attemptCount by IPAddress | sort attemptCount desc | limit 10000 ``` ## 🧠 关键要点与企业防御经验 * **主机外日志存储：** 认识到了实时日志转发的极端必要性；如果环境被主动攻破，威胁行为者将立即尝试通过清除本地文件系统来执行反取证。 * **FinOps 与 Economic Denial of Sustainability (EDoS)：** 培养了对云日志经济学的理解——认识到需要节流机制、本地速率限制器或自动化的 AWS Budget 操作触发器，以防止恶意实体人为地推高处理账单。 * **威胁表面指纹识别：** 探索了通过分析默认 SSH banners、连接响应循环和周围主机系统配置，来防止对手检测到蜜罐属性的方法。

标签：AWS, DPI, 威胁情报, 开发者工具, 数据流, 蜜罐, 证书利用