KrishnanshuSharma/IoT-Honeypot-SOC-Threat-Intelligence-System
GitHub: KrishnanshuSharma/IoT-Honeypot-SOC-Threat-Intelligence-System
一款集成 AI 攻击者画像、实时威胁情报富化与 iptables 自主防御的企业级 IoT 蜜罐 SOC 平台,通过低交互欺骗技术主动检测并隔离针对边缘基础设施的恶意行为。
Stars: 1 | Forks: 0
# 自主 AI 驱动的 IoT 蜜罐 SOC 与自动化防御平台
一款专为企业级打造的低交互混合 IoT 欺骗平台,专为 Linux 环境原生设计。该系统协调自定义的网络监听器来模拟存在漏洞的边缘基础设施,利用机器学习 pipeline 对攻击者行为进行画像分析,整合实时全球威胁情报,并通过 `netfilter`(`iptables`)框架直接在 Linux 内核级别执行自主防御策略。
## 🚀 核心工程功能与系统架构
本平台基于解耦的 **捕获 ➔ 分析 ➔ 行动** 架构运行,确保了低资源占用、安全隔离,以及针对反蜜罐侦听的严格操作安全。
* **多协议欺骗阵列:** 采用 Python 精心构建的高度优化、低交互监听器,旨在收集并记录现代及传统 IoT 攻击面上的明文交互:
* **SSH (端口 22)** & **Telnet (端口 23):** 明文凭证收集引擎,用于追踪自动化的撞库字符串。
* **HTTP (端口 80):** 伪造的 Web 界面,部署高度逼真的 IoT 设备管理仪表板登录页面,以拦截 Web 利用尝试。
* **MQTT (端口 1883):** 模拟开放且无需认证的消息 broker,捕获订阅异常和消息泛洪行为。
* **CoAP (基于 UDP 的端口 5683):** 高速 UDP socket,旨在接收当代 IoT 僵尸网络中常见的反射和放大攻击向量。
* **AI/ML 摄取与分类 Pipeline:** 集成了基于 1,500 多种高度多样化 IoT 威胁特征训练的集成 **Random Forest Classifier**。该模型实现了 **84.83% 的分类准确率**,优先确保在少数类上具备强大的泛化能力,同时刻意避免使用会消耗边缘节点计算资源的过度参数化的深度学习架构。
* **硬件级欺骗 (反虚拟机/反侦察):** 为了绕过使用专用扫描脚本的高级攻击者,宿主机器实施了 **MAC 地址 OUI 欺骗 (模拟 Cisco 系统)** 以及自定义服务 Banner 掩码。主动指纹扫描 (`nmap -A`) 会被刻意注入欺骗性参数,从而误导攻击者,使其将该资产画像分析为企业级物理路由器。
* **实时威胁情报富化:** 动态后端集成了 **AbuseIPDB API**,支持即时查询目标威胁指标、实时计算攻击者置信度评分,并进行地理位置排序。
* **自主内核级防御:** 原生 Linux 防火墙控制的程序化执行。在通过 ML 引擎识别出高置信度的恶意画像后,后端会自动生成并注入临时的 `iptables -A INPUT -s -j DROP` 规则,以动态且彻底地隔离威胁行为者。
* **解耦的降级备用逻辑:** 传感器日志记录和内联内核防御循环与 Web 呈现接口完全隔离。在发生 API 速率限制或互联网网络质量下降的情况下,核心蜜罐阵列仍能继续自主处理并丢弃威胁流量。
## 🛠️ 技术栈与工程资产
* **语言:** Python 3.9+、HTML5/CSS3、JavaScript (异步 AJAX 摄取)
* **框架与 UI:** Flask Micro-framework、Bootstrap 5 UI Dashboard
* **数据科学与 ML:** Scikit-learn、Pandas、NumPy、Joblib (模型序列化)
* **安全与系统框架:** Netfilter/iptables、Core Linux Sockets、高级网络工具
* **测试工具:** Nmap (高级脚本引擎)、Hydra Network Brute-forcer、Curl
## 📁 仓库结构蓝图
```
├── dashboard.py # Core Flask application orchestration, routing, and AbuseIPDB integration
├── data_preprocessor.py # Feature engineering, standardization, and text tokenization module
├── train_ai.py # ML training script, evaluation metrics loop, and model serialization
├── rf_model.pkl # Serialized production-ready Random Forest model weights
├── master_controller.py # Parent automation controller supervising sensors and log collectors
├── sensors/
│ ├── http_sensor.py # Port 80 listener serving the fake router/IoT login interface
│ ├── sensors.py # Multi-threaded handler bundling SSH, Telnet, and MQTT sockets
└── templates/
└── index.html # Live SOC monitoring interface utilizing real-time log ingestion
```
标签:Apex, CISA项目, 后端开发, 威胁情报, 安全, 开发者工具, 数据可视化, 机器学习, 物联网安全, 自动化防御, 蜜罐, 证书利用, 超时处理, 逆向工具