sajancr3/deception-grid

# Deception Grid — 分布式蜜罐情报网络     ## 功能 Deception Grid 部署了一个逼真的诱饵服务网络，用于引诱攻击者、捕获其 TTPs，并自动构建情报画像。 - SSH 蜜罐捕获暴力破解尝试、凭证填充和登录模式 - HTTP 蜜罐捕获 Web 探测、管理面板枚举和凭证填充 - FTP 蜜罐捕获身份验证尝试和协议滥用 - 中央情报收集器关联所有蜜罐的活动 - AbuseIPDB 富化实时为每个攻击者 IP 评分 - STIX 2.1 导出，可与任何 CTI 平台集成 - 实时仪表板，提供攻击者画像、事件馈送和蜜罐活动图表 ## 架构 [SSH 蜜罐 :2222] ──┐ [HTTP 蜜罐 :8888] ──┼──► SQLite DB ──► 情报收集器 ──► STIX 导出 [FTP 蜜罐 :2121] ──┘ │ ## └──► AbuseIPDB API ──► 攻击者画像 ──► 仪表板 :8080 ## 特性 - 三个在隔离的 Docker container 中运行的协议蜜罐 - 模拟 OpenSSH 8.4 响应的自定义 SSH 服务器 - 带有虚假管理面板（wp-admin、phpmyadmin、cpanel）的 HTTP 诱饵 - 模拟 ProFTPD 并具有完整命令处理的 FTP 服务器 - 对每个攻击者 IP 进行实时的 AbuseIPDB 威胁情报查询 - 攻击者画像分析：TTPs、尝试的凭证、命中的蜜罐、活动检测 - 活动检测：识别攻击多个蜜罐的攻击者 - 复杂度评分：使用行为分析标记高级攻击者 - 包含威胁行为者、指标和关系的 STIX 2.1 包导出 - 带有圆环图、攻击者画像、事件馈送的实时仪表板 ## 快速开始 ``` git clone https://github.com/sajancr3/deception-grid.git cd deception-grid cp .env.example .env # 将你的 AbuseIPDB API key 添加到 .env docker compose up --build ``` 仪表板: http://localhost:8080 STIX 导出: http://localhost:8080/api/stix 情报报告: http://localhost:8080/api/intelligence ## 技术栈 - Python 3.9 - Paramiko（SSH 服务器模拟） - FastAPI + Uvicorn - Docker + Docker Compose - SQLite（事件和画像存储） - AbuseIPDB API（威胁情报） - STIX 2.1（CTI 导出格式） - Chart.js（仪表板可视化） ## 环境变量 ABUSEIPDB_API_KEY=your_key_here SSH_PORT=2222 HTTP_PORT=8888 FTP_PORT=2121 ## DASHBOARD_PORT=8080 ## 构建于 Debian ARM64 — 已通过真实的 Hydra 暴力破解攻击进行测试，在 SSH、HTTP 和 FTP 蜜罐中捕获了 6,500 多个事件。

标签：CISA项目, Docker, Python, STIX, 威胁情报, 安全防御评估, 开发者工具, 攻击者画像, 无后门, 版权保护, 网络安全, 蜜罐技术, 请求拦截, 逆向工具, 隐私保护