kasowskipawel-hub/ki-honeypot

## 什么是 KI Honeypot？ KI Honeypot 是一个自托管的欺骗系统，它模拟了完整的 Windows/Linux 服务器栈——Exchange、IIS、Redis、SSH、SMB、RDP 以及其他 10 多种协议——以引诱、识别和分析真实世界的攻击者。 每个会话都会被完整捕获：凭证、命令、漏洞利用 payload 以及恶意软件二进制文件。AI 分析器（由 Mistral 提供支持）会对攻击进行分类，将其映射到 MITRE ATT&CK，并生成通俗易懂的英文威胁报告——全自动完成，无需任何手动配置。 专为以下用户构建： - **安全研究员**：研究真实的僵尸网络和 APT 行为 - **蓝队**：从自己的 IP 空间获取实时威胁情报 - **SOC 分析师**：需要 IOC 信息源、哈希黑名单和 SIEM 就绪的 JSON 事件 - **任何好奇者**：想知道现在到底是谁正在扫描你的服务器 ## ✨ 功能 ### 15+ 种模拟协议 | 协议 | 捕获内容 | |---|---| | **HTTPS / HTTP** | CVE 漏洞利用尝试（Exchange、PHPUnit、Spring4Shell、log4shell 等 30+ 种诱饵）、Webshell 上传、凭证收集 | | **SSH** | 完整的按键级别会话重播、凭证、登录后命令、投放的恶意软件 | | **Telnet** | Mirair/僵尸网络登录尝试，由 AI 支持的 OpenWrt shell（攻击者会收到逼真的虚假响应） | | **Redis** | 完整的 RCE 链捕获——cron 注入、SSH 密钥后门、模块加载、恶意主节点复制流 | | **SMB** | 可直接用于 hashcat 的 NTLM Net-NTLMv2 哈希、勒索软件检测、横向移动指标 | | **RDP** | NLA 凭证捕获 | | **Stratum (XMR)** | 跨 13 个端口的 Monero 挖矿钱包地址（明文 + TLS） | | **Ethereum RPC** | 钱包清空尝试、`eth_sendTransaction` 探测、私钥枚举 | | **Docker API** | 容器逃逸 payload | | **Kubernetes API** | 集群接管尝试 | | **Elasticsearch** | 数据外泄查询 | | **MongoDB** | 数据库转储尝试 | | **Jupyter** | Notebook RCE payload | ### AI 威胁情报 (Mistral) - **恶意软件分析**——投放的二进制文件永远不会被执行；AI 仅静态分析字符串、导入表和行为 - **会话意图**——用一句话概括“这个攻击者到底想干什么？” - **0day 检测器**——行为异常评分，用于标记与任何已知 CVE 均不匹配的攻击 - **攻击活动聚类**——根据命令指纹对会话进行分组，长期追踪僵尸网络攻击波次 - **主动欺骗**——AI 实时调整蜜罐响应，让攻击者停留更长时间 - **每小时威胁简报**——AI 生成的关于你 IP 上当前威胁态势的摘要 ### 实时仪表盘 - 覆盖所有 15+ 种协议的实时事件流 - **带有时间轴的会话重播**——SSH 按键重播 + Telnet 命令/响应重播 - **Honeytoken 追踪**——在响应中植入虚假的 AWS 密钥、OWA 凭证、git token；当攻击者在其他地方使用它们时，信标就会触发 - 通过 JA3 TLS 哈希进行**攻击者指纹识别**——跨多个 IP 发现同一个工具 - 每个丰富化事件上的 **MITRE ATT&CK TTP 映射** - **攻击活动视图**——实时僵尸网络攻击波次检测，带有 AI 生成的活动名称 ### 数据与集成 - 结构化 JSON 事件日志——可对接 Splunk、Elastic、Graylog - 带 Bearer 认证的 REST API——`/api/v1/feed`、`/api/v1/stats`、`/api/v1/hashes` - 恶意软件哈希源（SHA256 + VirusTotal 检测结果） - 多传感器支持——将多个蜜罐聚合到一个中央仪表盘中 ## 🚀 快速安装 需要一台具有公网 IP 的 Linux VPS（Ubuntu 22.04+ 或 Debian 12+）。 **[→ 申请你的 30 天免费试用密钥](https://ki-honeypot.de/trial)** ——输入你的姓名和电子邮件，密钥将立即送达。 ``` curl -sSL https://raw.githubusercontent.com/kasowskipawel-hub/ki-honeypot/main/install.sh \ | sudo bash -s -- --key HPOT-XXXX-XXXX-XXXX-XXXX ``` 包含 AI 功能（Mistral API 密钥——在 [console.mistral.ai](https://console.mistral.ai) 获取免费额度）： ``` curl -sSL https://raw.githubusercontent.com/kasowskipawel-hub/ki-honeypot/main/install.sh \ | sudo bash -s -- \ --key HPOT-XXXX-XXXX-XXXX-XXXX \ --mistral YOUR_MISTRAL_API_KEY ``` 安装程序会处理一切：Docker、防火墙 (UFW)、systemd 自启动。 **仪表盘将在 60 秒内在 `http://YOUR-SERVER-IP:9090` 上线。** ## 📊 仪表盘

Live Feed — real-time event stream across all protocols	Credentials — every captured username/password with AI session intent
Exploits — CVE matches with AI description and severity rating	AI Strategy Journal — live deception decision log powered by Mistral
AI Briefing — hourly AI-generated threat landscape report

仪表盘运行在 9090 端口，包含 14 个实时标签页： | 标签页 | 描述 | |---|---| | **实时动态** | 实时事件流——所有协议、所有攻击 | | **凭证** | 每个捕获的用户名/密码以及 AI 生成的会话意图 | | **NTLM** | hashcat 格式的 SMB Net-NTLMv2 哈希、勒索软件标志 | | **漏洞利用** | CVE 匹配结果，包含 AI 描述和严重程度评级 | | **样本** | 捕获的恶意软件二进制文件，包含静态 AI 分析和 VirusTotal 评分 | | **Redis RCE** | 完整的 cron/SSH 密钥注入链查看器，支持 REPL 流重播 | | **加密货币** | XMR 挖矿钱包、ETH 清空尝试、矿池 endpoint | | **会话重播** | SSH 和 Telnet 会话的动态按键级别重播 | | **SMB** | 共享访问模式、横向移动、勒索软件指标 | | **0day 情报** | 行为异常告警——与已知 CVE 不匹配的攻击 | | **攻击活动** | 僵尸网络攻击波次聚类——相同的命令，大量的 IP | | **攻击者** | JA3 TLS 指纹特征 | | **欺骗** | Honeytoken 信标命中——攻击者何时何地使用了你的虚假凭证 | | **AI 日志** | AI 策略师欺骗决策的实时日志 | ## 🔌 API 集成 ``` # 近期事件 (SIEM feed) curl -H "Authorization: Bearer YOUR_API_KEY" \ "http://YOUR-IP:9090/api/v1/feed?limit=100&service=ssh" # Malware SHA256 blocklist curl -H "Authorization: Bearer YOUR_API_KEY" \ "http://YOUR-IP:9090/api/v1/hashes" # 每日统计 curl -H "Authorization: Bearer YOUR_API_KEY" \ "http://YOUR-IP:9090/api/v1/stats" ``` 所有响应均为结构化 JSON，包含丰富化字段：源 IP、国家、ASN、AI 分析、MITRE TTP 以及原始会话数据。 ## ⚙️ 配置 编辑 `/opt/ki-honeypot/.env`： ``` # 必需 LICENSE_KEY=HPOT-XXXX-XXXX-XXXX-XXXX DASH_PASSWORD=YourSecurePassword # AI 功能 (强烈推荐) MISTRAL_API_KEY=your-mistral-key # 可选集成 VT_API_KEY=your-virustotal-key FEED_API_KEY=your-api-bearer-key ``` 也可以直接**从仪表盘中实时设置** Mistral 密钥（⚙ Settings → AI Provider Key → Save），无需重启。 ## 💾 捕获的数据 所有数据均存储在持久化的 Docker volume 中： ``` /var/lib/docker/volumes/ki-honeypot_hp_data/_data/ ``` | 路径 | 内容 | |---|---| | `events.jsonl` | 原始事件日志——所有协议 | | `enriched.jsonl` | 包含 MITRE TTP 的 AI 丰富化事件 | | `samples/` | 以 SHA256 命名的恶意软件二进制文件（从未被执行） | | `valid_creds.json` | 所有捕获的凭证 | | `honeytokens.json` | 已颁发和已触发的 honeytoken 记录 | | `ioc_reports/` | 基于 IP 的 IOC 报告（C2 URL、哈希、钱包地址） | ## 🛡️ 安全说明 - 捕获的恶意软件**绝不会被执行**——仅按 SHA256 存储并进行静态分析 - 将仪表盘的访问权限限制为你的 IP：`ufw allow from YOUR.IP to any port 9090` - 所有容器均以非 root 用户身份运行 - 许可证密钥与机器指纹绑定，每 6 小时验证一次，并具有 72 小时的离线宽限期 ## 📋 要求 | | 最低配置 | 推荐配置 | |---|---|---| | 操作系统 | Ubuntu 22.04 / Debian 12 | Ubuntu 24.04 LTS | | CPU | 1 vCPU | 2 vCPU | | 内存 | 512 MB | 2 GB | | 硬盘 | 20 GB | 40 GB | | 网络 | 公网 IPv4，无上游防火墙 | 专用 VPS IP | ## 🔧 常用命令 ``` # 查看日志 docker logs -f win443-honeypot # 更新到最新版本 cd /opt/win443-honeypot docker compose pull && docker compose up -d --force-recreate # 停止 docker compose -f /opt/win443-honeypot/docker-compose.yml down # 备份所有捕获的数据 tar -czf backup-$(date +%Y%m%d).tar.gz \ -C /var/lib/docker/volumes/win443-honeypot_hp_data _data ``` ## 💰 定价与许可 每个许可证密钥均包含 **30 天**的完整访问权限，在单台服务器上激活。 **[→ 获取你的 30 天免费试用密钥](https://ki-honeypot.de/trial)** ——只需输入你的姓名和电子邮件。 | | | |---|---| | 30 天免费试用密钥 | [ki-honeypot.de/trial](https://ki-honeypot.de/trial) | | 扩展/多服务器授权 | [info@ki-honeypot.de](mailto:info@ki-honeypot.de) | | 定制企业部署 | [info@ki-honeypot.de](mailto:info@ki-honeypot.de) |

标签：CISA项目, Docker, XXE攻击, 人工智能, 内核驱动, 威胁情报, 安全防御评估, 开发者工具, 攻防研究, 用户模式Hook绕过, 网络协议, 网络安全, 蜜罐, 证书利用, 请求拦截, 逆向工具, 隐私保护