senaalanur/honeypot-detection
GitHub: senaalanur/honeypot-detection
一款集成Claude AI的分布式蜜罐系统,通过SSH、HTTP、FTP协议捕获攻击行为并进行实时威胁分析与情报提取。
Stars: 0 | Forks: 0
# 蜜罐检测系统
一个由 AI 驱动的分布式蜜罐,通过 SSH、HTTP 和 FTP 服务捕获攻击者活动,利用 Claude AI 实时分析威胁,并存储结构化情报以供调查。
## 架构
```
Attackers → [SSH / HTTP / FTP Honeypots]
↓
[Redis Event Bus]
↓
[AI Analysis Engine] ← Claude API
(threat scoring, IOC extraction,
MITRE ATT&CK mapping)
↓
┌────────────┴────────────┐
[PostgreSQL] [Elasticsearch]
(structured (full-text search)
time-series)
└────────────┬────────────┘
[FastAPI REST API]
↓
[Alert Manager]
(Slack + Gmail, rate-limited)
```
## 核心功能
- **自适应欺骗** — AI 生成针对每个攻击者定制的动态虚假响应
- **威胁情报** — MITRE ATT&CK TTP 映射、IOC 提取、意图分类
- **双重存储** — PostgreSQL 用于结构化查询,Elasticsearch 用于全文搜索
- **实时告警** — Slack 和 Gmail 通知,每个 IP 设有 5 分钟速率限制
- **生产就绪** — 异步 Python、结构化 JSON 日志、Docker Compose、CI/CD
## 技术栈
| 层级 | 技术 |
|-------|-----------|
| Honeypot 服务 | Python `asyncio` (原生 TCP 服务器) |
| AI 分析 | Anthropic Claude API |
| 事件流 | Redis Pub/Sub |
| 结构化存储 | PostgreSQL + asyncpg |
| 搜索 | Elasticsearch |
| REST API | FastAPI + uvicorn |
| 告警 | Slack webhooks + Gmail SMTP |
| 容器化 | Docker Compose |
| CI/CD | GitHub Actions |
## 快速开始
```
# 1. 克隆并配置
git clone https://github.com/senaalanur/honeypot-detection.git
cd honeypot-detection
cp .env.example .env
# 编辑 .env 并添加您的 ANTHROPIC_API_KEY
# 2. 启动所有内容
docker compose -f docker/docker-compose.yml up --build
# 3. 系统现已运行:
# SSH honeypot → localhost:2222
# HTTP honeypot → localhost:8080
# FTP honeypot → localhost:2121
# REST API → localhost:8000
# Kibana → localhost:5601
```
## API 接口
| 接口 | 描述 |
|----------|-------------|
| `GET /health` | 健康检查 |
| `GET /api/events?limit=100` | 最近的攻击事件 |
| `GET /api/stats` | 24 小时统计数据 |
| `GET /api/search?q=` | 对所有事件进行全文搜索 |
## 运行测试
```
pip install -e ".[dev]"
pytest tests/ -v --cov=src
```
## 项目结构
```
src/
├── honeypot/ # SSH, HTTP, FTP async listeners
├── analysis/ # AI classifier, IOC extractor
├── storage/ # PostgreSQL + Elasticsearch clients
├── alerts/ # Slack + Gmail alert manager
├── api/ # FastAPI REST routes
└── core/ # Config, logging, Redis event bus
```
## 许可证
MIT
标签:AI安全, AV绕过, Chat Copilot, CISA项目, Claude API, Cloudflare, DevSecOps, DLL 劫持, Docker容器化, Elasticsearch, FastAPI, FTP蜜罐, HTTP蜜罐, IOC提取, IP 地址批量处理, MITRE ATT&CK, PE 加载器, PostgreSQL, Python异步编程, Redis发布订阅, SSH蜜罐, 上游代理, 全文搜索, 分布式蜜罐, 大语言模型, 威胁情报, 实时分析, 开发者工具, 微服务架构, 搜索引擎查询, 攻击行为分析, 时间线生成, 测试用例, 网络安全, 网络测绘, 自适应欺骗, 蜜罐系统, 计算机取证, 请求拦截, 进程注入, 逆向工具, 隐私保护