kylamurray1-cloud/threat-intelligence-sandbox
GitHub: kylamurray1-cloud/threat-intelligence-sandbox
一个基于 Python 的轻量级网络蜜罐与自动化日志审计工具,通过模拟端口监听和阈值告警帮助用户学习安全检测流水线的工作机制。
Stars: 0 | Forks: 0
# 局域网威胁沙盒与自动化日志审计工具
## 设计与构建者:Kyla Murray
///////////////////////////////////////////////////////////////////////////////////////////////
## 项目概述与动机
作为一名有抱负的系统工程师,我希望深入了解网络流量接入、系统日志记录以及自动化威胁检测的底层机制。为了实现这一目标,我使用 Python 构建了一个包含两部分的网络安全应用程序,用于模拟自动化的安全流水线:陷阱(honeypot.py):一个活跃的网络 socket 监听器,负责监控特定端口上的未经授权连接尝试,并记录遥测数据。审计器(audit_log.py):一个自动化解析器,用于读取原始文本日志,统计连接尝试次数,并在任何 IP 地址超过我们的安全阈值时触发系统警报。
///////////////////////////////////////////////////////////////////////////////////////////////
## 使用的语言
选择 Python 来构建该项目,是因为它在安全自动化、脚本编写和系统审计方面具有显著优势。它使我能够利用简洁的内置库来处理网络通信和数据分析。socket 库让我能够直接与机器的网卡进行通信,开启 8080 端口以监听传入的 TCP 连接。Python 能够轻松且安全地实时打开、读取连接日志并将其追加到文本文件(attack_log.txt)中。此外,Python 原生的字典(dictionary)结构让我能够瞬间映射和统计 IP 地址,从而使日志审计变得极为高效。
///////////////////////////////////////////////////////////////////////////////////////////////
## 脚本与数据结构解析
A. 网络诱饵(honeypot.py)
该脚本充当了我们系统边界的“陷阱”。它绑定到 IP 地址 127.0.0.1(localhost)并监听 8080 端口。当接受连接时,它会记录客户端的身份,发送一个欺骗性的服务器错误以安全地断开连接,并记录该事件。
核心接入逻辑:
B. 遥测文件(attack_log.txt)
该文件是我们的原始安全数据库。每一行代表一个记录在案的事件(遥测数据),采用高精度时间戳结构化记录,以便安全分析师追踪攻击速度:[2026-07-08 19:01:31.501857] - [ALERT] - Malicious Connection Attempt From IP: 127.0.0.1
C. 合规审计器(audit_log.py)
该脚本实现了合规性检查的自动化,而无需分析师手动阅读日志。它会逐行读取 attack_log.txt,统计每个 IP 的命中次数,并在任何 IP 超过我们设定的 5 次命中阈值时触发警报。
核心审计逻辑:
///////////////////////////////////////////////////////////////////////////////////////////////
## 系统工作流
下图说明了数据在沙盒中从攻击循环开始到最终警报报告的流转过程:
第 1 步:客户端(攻击者)向 8080 端口发起 10 次快速连续的连接。
第 2 步:honeypot.py 拦截这些会话,返回错误信息并将其断开。
第 3 步:honeypot 将 IP 和精确的时间戳保存到 attack_log.txt 中。
第 4 步:audit_log.py 处理该文件,统计出总共 11 次命中并触发威胁警报。
///////////////////////////////////////////////////////////////////////////////////////////////
## 部署与模拟说明
### 在 Windows 机器上复现此模拟:
第 1 步:导航至项目目录 → cd C: ”您的项目文件”
第 2 步:启动诱饵监听器:python honetpot.py
第 3 步:模拟攻击(在第 2 个终端窗口中) → 运行一个 Windows 命令循环,在不到一秒的时间内发起 10 次快速连接:
for /L %i in (1,1,10) do curl -s ...
第 4 步:运行审计报告:停止 honeypot(Ctrl + C)并运行分析器 →
python audit_log.py
///////////////////////////////////////////////////////////////////////////////////////////////
## 拦截瀑布流
诱饵成功捕获了全部 10 次自动攻击循环连接,记录的时间间隔仅为几毫秒:
## 自动化合规报告
审计脚本读取了日志,计算出总共 11 次命中,并标记了阈值违规:
///////////////////////////////////////////////////////////////////////////////////////////////
## 核心要点与经验总结
* 我观察了自动循环如何执行快速连接,从而模拟暴力扫描方法。
* 我获得了绑定网络 socket 的经验,能够安全地管理和断开 TCP 会话。
* 我证明了简单的脚本可以替代手动检查日志,从而大幅减少 SOC 环境中的人力开销。
第 4 步:运行审计报告:停止 honeypot(Ctrl + C)并运行分析器 →
python audit_log.py
///////////////////////////////////////////////////////////////////////////////////////////////
## 拦截瀑布流
诱饵成功捕获了全部 10 次自动攻击循环连接,记录的时间间隔仅为几毫秒:标签:Python, 密码管理, 并发处理, 插件系统, 无后门, 网络安全, 蜜罐技术, 逆向工具, 隐私保护