tahosprojects/Honeypot-TI-LLM-Splunk
GitHub: tahosprojects/Honeypot-TI-LLM-Splunk
该项目构建了一条从蜜罐捕获到Splunk索引再到LLM自动化MITRE ATT&CK分类的实时威胁情报pipeline,解决了海量原始攻击事件难以高效分拣的问题。
Stars: 0 | Forks: 0
# Honeypot-TI-LLM-Splunk
实时蜜罐威胁情报与自动化分拣实验室。面向公网的 T-Pot 蜜罐捕获真实的互联网攻击流量,Splunk 集中处理遥测数据,Canarytokens 增加欺骗层,Python 分类器使用 LLM 将捕获的事件映射到 MITRE ATT&CK,然后将丰富后的结果写回 Splunk。
**技术栈:** T-Pot 24.04.1 · Splunk Enterprise · Ubuntu 22.04 · RamNode VPS · Docker · Canarytokens · Python · Anthropic Claude API · Splunk REST API · Splunk HEC · MITRE ATT&CK
**详细说明:** [Honeypot_TI_Lab_Writeup.pdf]() 深入涵盖了架构、故障排除、欺骗层和 LLM 数据扩充 pipeline。
## 概述
我之前的实验室专注于 Active Directory 遥测、端点取证和云检测工程。该项目通过将受控蜜罐环境暴露于公共互联网并捕获真实的攻击者行为,而不仅仅是模拟活动,将之前的工作扩展到了实时威胁情报领域。
目标是构建一个小型 SOC 风格的 pipeline:收集原始攻击遥测数据,将其索引到 Splunk 中,添加高可信度的欺骗信号,并通过使用 MITRE ATT&CK 上下文丰富事件来自动化初步分拣。
## 架构
```
Internet Attackers
↓
T-Pot Honeypots + Honeytokens
↓
Splunk SIEM
↓
Python LLM Classifier
↓
MITRE ATT&CK-Enriched Events
↓
Splunk HEC
```
该环境运行在单个 RamNode VPS 上。T-Pot 提供蜜罐服务,Splunk 充当中央 SIEM,Canarytokens 创建欺骗警报,Python 分类器拉取最近的 Splunk 事件,使用 Claude 对其进行分类,并将丰富后的输出写回 Splunk。
## 1. VPS 部署
实验室最初在一台配备 8GB RAM、4 个 vCPU 和 180GB 存储空间的 RamNode Ubuntu 22.04 VPS 上运行。这足以开始构建,但不足以可靠地运行 Splunk 和完整的蜜罐技术栈。













标签:BOF, DLL 劫持, Docker, Python, 大语言模型, 威胁情报, 安全防御评估, 开发者工具, 无后门, 欺骗防御, 蜜罐, 证书利用, 请求拦截, 逆向工具