Vignesh942/Cowrie-Honeypot-Threat-Intelligence-Research-

GitHub: Vignesh942/Cowrie-Honeypot-Threat-Intelligence-Research-

一个轻量级蜜罐威胁情报研究平台,在 AWS 上部署 Cowrie 蜜罐捕获真实攻击数据,并通过 Python 自动化流水线生成威胁情报报告。

Stars: 0 | Forks: 0

# Cowrie 蜜罐威胁情报与研究平台 这是一个轻量级的网络安全研究项目,它在 **AWS EC2 上部署 Cowrie SSH/Telnet 蜜罐**,自动收集真实的攻击遥测数据,丰富攻击者信息,并使用 Python 生成威胁情报报告。 # 概述 面向互联网的服务器不断成为执行撞库、暴力破解、恶意软件部署和侦察的自动化机器人的攻击目标。 本项目旨在通过在 AWS 上部署 Cowrie 蜜罐,并开发基于 Python 的分析流水线来自动下载日志、提取攻击统计信息、丰富攻击者 IP 并生成易读的威胁报告,从而在受控环境中研究这些攻击行为。 与基础的 Cowrie 安装不同,本项目同时侧重于**蜜罐部署**和**安全研究**,提供对公共互联网上观察到的攻击者行为的深入洞察。 # 目标 - 部署可公开访问的 SSH/Telnet 蜜罐 - 捕获来自互联网的真实攻击流量 - 分析攻击者行为 - 识别常见的用户名和密码 - 分析登录后执行的命令 - 利用地理位置和 ASN 信息丰富攻击者 IP - 自动从 AWS EC2 收集日志 - 生成易读的威胁情报报告 # 架构 ``` Internet │ Automated Bots / Attackers │ ┌──────────────────────┐ │ AWS EC2 Ubuntu Server│ │ │ │ Cowrie Honeypot │ │ SSH (2222) │ │ Telnet (23) │ └──────────┬───────────┘ │ cowrie.json Logs │ Automatic SCP Download │ Windows Python Project │ ┌───────────────┴───────────────┐ │ │ JSON Parser IP Enrichment │ │ └───────────────┬───────────────┘ │ Threat Intelligence Report ``` # 功能 - AWS EC2 部署 - Cowrie SSH 蜜罐 - Cowrie Telnet 蜜罐 - 使用 SCP 自动下载日志 - JSON 日志解析 - 连接统计 - 登录分析 - 用户名分析 - 密码分析 - 命令分析 - 唯一攻击者检测 - 国家/地区查询 - 城市查询 - ISP 识别 - ASN 查询 - 自动生成威胁报告 # 使用的技术 ## 云平台 - AWS EC2 - Ubuntu 24.04 ## 蜜罐 - Cowrie ## 编程 - Python 3 ## 网络 - SSH - Telnet - SCP ## Python 库 - requests - json - collections - subprocess # 项目结构 ``` cowrie/ │ ├── main.py ├── download.py ├── parser.py ├── report.py ├── geo_lookup.py ├── config.py ├── requirements.txt ├── cowrie.json └── README.md ``` # 工作流程 ## 第 1 步 在 AWS EC2 上部署 Cowrie 蜜罐。 Cowrie 监听 SSH 和 Telnet,并记录所有攻击者活动。 ↓ ## 第 2 步 运行 ``` python main.py ``` ↓ ## 第 3 步 脚本使用 SCP 自动下载最新的 Cowrie 日志。 ``` Downloading latest Cowrie logs... cowrie.json Download completed successfully. ``` ↓ ## 第 4 步 解析器提取: - 总事件数 - 连接数 - 成功登录次数 - 用户名 - 密码 - 命令 - 源 IP 地址 ↓ ## 第 5 步 使用 IP 地理位置API 对每个攻击者 IP 进行信息丰富。 收集的信息包括: - 国家/地区 - 城市 - ISP - ASN ↓ ## 第 6 步 生成完整的威胁情报报告。 # 报告示例 ``` ==================================================== Cowrie Honeypot Threat Report ==================================================== Total Events : 150 Connections : 7 Successful Logins : 3 Unique Attacker IPs : 5 Attacker IP Details IP : 112.126.25.48 Country : China City : Beijing ISP : Hangzhou Alibaba Advertising Co. ASN : AS37963 IP : 122.36.187.5 Country : South Korea City : Seongdong-gu ISP : LG POWERCOMM ASN : AS17858 ``` # 研究发现 将蜜罐暴露在互联网上后,我们得出了几项观察结果。 ## 攻击来源 观察到的攻击源自多个国家,包括: - 中国 - 韩国 - 德国 - 美国 ## 常见登录尝试 观察到的示例: ``` root admin password Fireitup ``` 一些自动化扫描器还尝试了二进制或格式错误的凭据。 ## 恶意软件活动 几名攻击者在身份验证后立即尝试执行 shell 脚本。 包括的示例: ``` sh kmount sh swan /bin/busybox enable system shell ``` 这些命令通常与针对 Linux 系统和 IoT 设备的自动化恶意软件部署有关。 # 输出示例 Python 应用程序自动生成的报告类似于: ``` Total Events : 150 Connections : 7 Successful Logins : 3 Unique Attacker IPs : 5 Top Usernames root Top Passwords Fireitup password Top Commands sh kmount sh swan /bin/busybox ``` # 未来改进 - MITRE ATT&CK 技术映射 - 恶意软件哈希提取 - 集成 VirusTotal - 集成 URLHaus - 集成 ThreatFox - IOC 导出 - 生成 STIX 2.1 报告 - 生成 PDF 报告 - 使用 Flask 构建 Web 仪表板 - 定时自动收集 - Docker 部署 # 展现的技能 - 云安全 - 蜜罐部署 - 威胁情报 - 日志分析 - Python 自动化 - SSH - Telnet - Linux - AWS - 网络安全 - 安全监控 - IOC 分析 - IP 情报 - 威胁研究 # 截图 Screenshot 2026-07-10 152011 Screenshot 2026-07-09 211719 Screenshot 2026-07-10 152131 # 免责声明 本项目仅出于教育目的、网络安全研究和防御性安全分析而开发。 蜜罐被特意部署在隔离环境中,以在不暴露生产系统的情况下观察攻击者行为。
标签:AWS, DPI, Python, 免杀, 内存分配, 威胁情报, 开发者工具, 无后门, 蜜罐技术