Vignesh942/Cowrie-Honeypot-Threat-Intelligence-Research-
GitHub: Vignesh942/Cowrie-Honeypot-Threat-Intelligence-Research-
一个轻量级蜜罐威胁情报研究平台,在 AWS 上部署 Cowrie 蜜罐捕获真实攻击数据,并通过 Python 自动化流水线生成威胁情报报告。
Stars: 0 | Forks: 0
# Cowrie 蜜罐威胁情报与研究平台
这是一个轻量级的网络安全研究项目,它在 **AWS EC2 上部署 Cowrie SSH/Telnet 蜜罐**,自动收集真实的攻击遥测数据,丰富攻击者信息,并使用 Python 生成威胁情报报告。
# 概述
面向互联网的服务器不断成为执行撞库、暴力破解、恶意软件部署和侦察的自动化机器人的攻击目标。
本项目旨在通过在 AWS 上部署 Cowrie 蜜罐,并开发基于 Python 的分析流水线来自动下载日志、提取攻击统计信息、丰富攻击者 IP 并生成易读的威胁报告,从而在受控环境中研究这些攻击行为。
与基础的 Cowrie 安装不同,本项目同时侧重于**蜜罐部署**和**安全研究**,提供对公共互联网上观察到的攻击者行为的深入洞察。
# 目标
- 部署可公开访问的 SSH/Telnet 蜜罐
- 捕获来自互联网的真实攻击流量
- 分析攻击者行为
- 识别常见的用户名和密码
- 分析登录后执行的命令
- 利用地理位置和 ASN 信息丰富攻击者 IP
- 自动从 AWS EC2 收集日志
- 生成易读的威胁情报报告
# 架构
```
Internet
│
Automated Bots / Attackers
│
┌──────────────────────┐
│ AWS EC2 Ubuntu Server│
│ │
│ Cowrie Honeypot │
│ SSH (2222) │
│ Telnet (23) │
└──────────┬───────────┘
│
cowrie.json Logs
│
Automatic SCP Download
│
Windows Python Project
│
┌───────────────┴───────────────┐
│ │
JSON Parser IP Enrichment
│ │
└───────────────┬───────────────┘
│
Threat Intelligence Report
```
# 功能
- AWS EC2 部署
- Cowrie SSH 蜜罐
- Cowrie Telnet 蜜罐
- 使用 SCP 自动下载日志
- JSON 日志解析
- 连接统计
- 登录分析
- 用户名分析
- 密码分析
- 命令分析
- 唯一攻击者检测
- 国家/地区查询
- 城市查询
- ISP 识别
- ASN 查询
- 自动生成威胁报告
# 使用的技术
## 云平台
- AWS EC2
- Ubuntu 24.04
## 蜜罐
- Cowrie
## 编程
- Python 3
## 网络
- SSH
- Telnet
- SCP
## Python 库
- requests
- json
- collections
- subprocess
# 项目结构
```
cowrie/
│
├── main.py
├── download.py
├── parser.py
├── report.py
├── geo_lookup.py
├── config.py
├── requirements.txt
├── cowrie.json
└── README.md
```
# 工作流程
## 第 1 步
在 AWS EC2 上部署 Cowrie 蜜罐。
Cowrie 监听 SSH 和 Telnet,并记录所有攻击者活动。
↓
## 第 2 步
运行
```
python main.py
```
↓
## 第 3 步
脚本使用 SCP 自动下载最新的 Cowrie 日志。
```
Downloading latest Cowrie logs...
cowrie.json
Download completed successfully.
```
↓
## 第 4 步
解析器提取:
- 总事件数
- 连接数
- 成功登录次数
- 用户名
- 密码
- 命令
- 源 IP 地址
↓
## 第 5 步
使用 IP 地理位置API 对每个攻击者 IP 进行信息丰富。
收集的信息包括:
- 国家/地区
- 城市
- ISP
- ASN
↓
## 第 6 步
生成完整的威胁情报报告。
# 报告示例
```
====================================================
Cowrie Honeypot Threat Report
====================================================
Total Events : 150
Connections : 7
Successful Logins : 3
Unique Attacker IPs : 5
Attacker IP Details
IP : 112.126.25.48
Country : China
City : Beijing
ISP : Hangzhou Alibaba Advertising Co.
ASN : AS37963
IP : 122.36.187.5
Country : South Korea
City : Seongdong-gu
ISP : LG POWERCOMM
ASN : AS17858
```
# 研究发现
将蜜罐暴露在互联网上后,我们得出了几项观察结果。
## 攻击来源
观察到的攻击源自多个国家,包括:
- 中国
- 韩国
- 德国
- 美国
## 常见登录尝试
观察到的示例:
```
root
admin
password
Fireitup
```
一些自动化扫描器还尝试了二进制或格式错误的凭据。
## 恶意软件活动
几名攻击者在身份验证后立即尝试执行 shell 脚本。
包括的示例:
```
sh kmount
sh swan
/bin/busybox
enable
system
shell
```
这些命令通常与针对 Linux 系统和 IoT 设备的自动化恶意软件部署有关。
# 输出示例
Python 应用程序自动生成的报告类似于:
```
Total Events : 150
Connections : 7
Successful Logins : 3
Unique Attacker IPs : 5
Top Usernames
root
Top Passwords
Fireitup
password
Top Commands
sh kmount
sh swan
/bin/busybox
```
# 未来改进
- MITRE ATT&CK 技术映射
- 恶意软件哈希提取
- 集成 VirusTotal
- 集成 URLHaus
- 集成 ThreatFox
- IOC 导出
- 生成 STIX 2.1 报告
- 生成 PDF 报告
- 使用 Flask 构建 Web 仪表板
- 定时自动收集
- Docker 部署
# 展现的技能
- 云安全
- 蜜罐部署
- 威胁情报
- 日志分析
- Python 自动化
- SSH
- Telnet
- Linux
- AWS
- 网络安全
- 安全监控
- IOC 分析
- IP 情报
- 威胁研究
# 截图
# 免责声明
本项目仅出于教育目的、网络安全研究和防御性安全分析而开发。
蜜罐被特意部署在隔离环境中,以在不暴露生产系统的情况下观察攻击者行为。
# 免责声明
本项目仅出于教育目的、网络安全研究和防御性安全分析而开发。
蜜罐被特意部署在隔离环境中,以在不暴露生产系统的情况下观察攻击者行为。标签:AWS, DPI, Python, 免杀, 内存分配, 威胁情报, 开发者工具, 无后门, 蜜罐技术