Tori-Tech/Python-Honeypot

GitHub: Tori-Tech/Python-Honeypot

一个用 Python 编写的本地蜜罐系统,集成了 Streamlit SIEM 面板和基于 Ollama 的 LLM 日志分析助手,用于捕获网络攻击流量并进行智能化的安全分析。

Stars: 0 | Forks: 0

# Python 蜜罐 ## 概述: 这是一个完全使用 Python 编写的简单蜜罐。它由两个不同的部分组成: - 一个监听器,监听指定的端口,并对发送到这些端口的任何流量回复错误消息。然后,它会记录数据并将其保存到 ```.json``` 文件中。 - 一个使用 Streamlit Python 构建的 SIEM,它读取该 ```.json``` 文件并进行分析。它还包含一个 LLM 助手,其设计与我的另一个 [LLM 日志分析器项目](https://github.com/Tori-Tech/LLM-Log-Analyzer) 非常相似。 - 一个 PII 脱敏工具,确保没有任何敏感信息会被传递给 LLM。 ## 前置条件: 需要正确配置并安装 Ollama 才能充分利用本项目。 请注意,本项目可以与任何 LLM 配合使用。我将使用 ```llama3.2:3b``` 模型,因为它比较轻量,因此最适合我的环境。如果你的硬件能够托管更强大的 LLM,或者你拥有 OpenAI API 密钥,请随意进行相应的替换。 理想情况下,你应该在虚拟机或类似环境中运行蜜罐监听器(```honeypot.py```),然后使用另一台虚拟机/设备对其进行“攻击”,尽管这完全取决于你的个人偏好,以及你希望在多大程度上模拟真实的攻击场景。在同一台机器上,在一个终端中运行脚本并从另一个终端 ping 端口也是完全可行的。 ## 安装与设置: 1. 克隆代码仓库并 ```cd``` 进入该目录。 2. 拉取所需的 LLM:```ollama pull llama3.2:3b``` 3. 从 requirements.txt 安装所有依赖项:```pip install -r requirements.txt``` 4. 运行 ```python3 honeypot.py```。 5. 打开一个新的终端窗口或登录到你的攻击者虚拟机,并向其中一个端口发送请求。例如:```echo "test" | nc <服务器IP地址> <端口>```(蜜罐目前支持的端口有:21、22、80、443、8080、11434、4444 和 3389)。 6. 切换到服务器的终端,你会看到程序已经记录了该请求。 7. 按 ```ctrl + c``` 终止脚本并查看目录。你会看到一个 ```honeypot.json``` 文件。 8. 使用以下命令打开 SIEM:```streamlit run main.py``` 并导航到 SIEM 页面。 9. 上传 JSON 日志文件并观察数据。 10. 要使用 AI 日志分析器,请点击侧边栏并导航到“LLM 日志分析器”页面。你现在可以向 AI 询问有关你上传的日志文件的问题了。 ## 免责声明: 尽管已经通过在系统提示词中添加警告来采取预防措施,以保护 LLM 免受 prompt injection 攻击,但 LLM 仍然有可能被恶意利用或产生信息幻觉。请务必仔细核查 LLM 提供给你的信息。 如果你尝试在生产环境中使用本项目,请务必格外谨慎。即使有强大的安全措施,故意将自己暴露于网络攻击仍可能对你的组织造成不利影响。
标签:AI风险缓解, C2, DLL 劫持, Kubernetes, LLM评估, Ollama, Python, 主机安全, 大语言模型, 密码管理, 无后门, 网络安全, 蜜罐, 证书利用, 逆向工具, 隐私保护