fakowajo123/live-traffic-cyber-threat-analysis-using-honeypot-and-elk-stack

# 使用蜜罐和ELK栈进行实时网络威胁分析 本项目展示了我设计和部署实时网络威胁监控环境的能力，使用的是生产级工具和方法。我设计了一个系统，利用蜜罐来 [...] **目录** - [架构概述](#architecture-overview) - [使用的工具和技术](#tools--technologies-used) - [部署步骤](#deployment-steps) - [威胁数据分析亮点](#threat-data-analysis-highlights) - [攻击趋势与显著见解](#attack-trends--notable-insights) - [贡献与AI集成](#contributions--ai-integration) 展示的关键功能包括： **威胁情报收集：** 部署并强化了蜜罐（Cowrie/Dionaea），模拟易受攻击的服务，捕获SSH暴力破解尝试、恶意软件交付和扫描行为 [...] **日志聚合与SIEM功能：** 构建了一个自定义的ELK管道，以集中、丰富和可视化攻击数据，模拟安全信息和事件管理（SI[...] **安全自动化：** 使用Python和Logstash编写了自定义解析规则和丰富脚本，以分类威胁、提取入侵指标（IoC）并生成基于时间的可视化分析[...] **网络与云安全基础：** 配置了防火墙规则，分割了蜜网，并可选择在AWS上部署基础设施以实现可扩展性和远程监控。 本项目反映了我将进攻欺骗技术和防御监控工具应用于获取对现实世界威胁行为的可操作见解的能力——这些技能可直接应用于 [...] ## 架构概述 一个简单的网络图说明了TPOT（蜜罐编排）、ELK栈和数据管道之间的流程。 **数据流：** 1. 来自互联网的攻击击中TPOT管理的蜜罐（Cowrie/Dionaea）。 2. 事件被记录并通过Logstash发送到Elasticsearch。 3. Kibana可视化实时威胁数据以进行分析。 ## 使用的工具和技术 - **TPOT**：蜜罐编排 - **Cowrie, Dionaea**：用于攻击捕获的模拟服务 - **Elasticsearch, Logstash, Kibana (ELK Stack)**：集中日志管理和可视化 - **Python**：解析/丰富脚本 - **FirewallD/UFW**：网络分割和控制 - **AWS EC2, VirtualBox**：云/本地部署 - **AI/ML（可选增强）**：集成异常检测模型以实现自动威胁模式识别和警报 ## 部署步骤 1. **配置AWS EC2实例** - 实例类型：`t2.large` - 存储：**50GB** - 操作系统：推荐Ubuntu 20.04或更高版本 2. **配置防火墙以允许所有入站流量** - 通过允许所有流量（0.0.0.0/0）进入实例附加的AWS安全组来模拟来自多个来源的真实世界攻击。 3. **准备系统** - 更新和升级操作系统： sudo apt update && sudo apt upgrade -y 4. **安装TPOT CE（社区版）** - 克隆TPOT设置存储库： git clone https://github.com/telekom-security/tpotce cd tpotce sudo ./install.sh 5. **选择并配置“Hive”部署模式** - 在安装过程中，选择“Hive”（多蜜罐+ELK）配置文件。 - 当提示时，设置仪表板所需的用户名和密码。 6. **访问TPOT仪表板** - 安装成功并重启后，通过实例的公共IP访问管理仪表板： https://: https://github.com/fakowajo123/live-traffic-cyber-threat-analysis-using-honeypot-and-elk-stack/blob/main/screenshots/kibana%20Dashboard.jpg - （默认TPOT仪表板端口通常是`64297`，但请在安装后的输出中确认。）   ## 威胁数据分析亮点 - **捕获的关键攻击：** - SSH暴力破解尝试 - 恶意软件上传尝试 - 自动化扫描 - **显著的入侵指标（IoC）：** - 攻击者IP - 恶意有效载荷哈希 - 可疑命令模式 - **Kibana 仪表板：**   ## 攻击趋势与显著见解 - **被利用的显著CVE：** | CVE ID | 组件 | 影响 | 利用方法 | |-----------------|---------------------|---------------------|--------------------------------------------------| | CVE-2002-0013 | Apache mod_ssl | DoS | Malformed SSL handshake → server crash | | CVE-2001-0414 | Oracle Web Listener | DoS | Malformed HTTP request → service crash | | CVE-2020-11900 | Apache APR-util (Expat) | RCE / DoS | Malicious XML input → memory corruption | - **最频繁攻击国家：** - [顶级攻击源国家，例如中国、俄罗斯、美国等——基于IP地理位置分析] - **最常攻击的端口：** - [列出受攻击的常见端口：5005(Java调试协议)，445 (SMB)，30001 (Kubernetes节点端口服务)等] - **警报类别：** - [示例：尝试管理访问，其他攻击，侦察/扫描（尝试信息泄露），利用尝试等]。 ## 贡献与AI集成 - **AI驱动的威胁检测：** - 集成AI驱动的异常检测，以自动识别蜜罐数据中的异常流量模式和高级持续性威胁（APT）。 - 机器学习模型可以在收集的数据上训练，以分类传入的威胁并预测潜在的攻击向量，为更智能的防御策略做出贡献。 - **防御自动化响应：** - 系统可以扩展以对检测到的威胁进行防御性响应，例如动态调整防火墙，自动将恶意IP列入黑名单，或触发SOC调查警报——使[...] 端到端蜜罐部署，捕获全球威胁活动并使用Suricata和ELK栈可视化见解。适用于SOC和威胁狩猎。

标签：AWS, DAST, DPI, Elasticsearch, ELK Stack, IoC提取, Logstash, Metaprompt, SSH暴力破解, Suricata, 可视化分析, 威胁情报, 底层分析, 开发者工具, 开源安全, 恶意软件分析, 攻击模拟, 攻击趋势分析, 数据库接管, 数据聚合, 现代安全运营, 系统架构, 结构化查询, 网络安全, 自动化安全, 蜜罐技术, 逆向工具, 防火墙配置, 隐私保护, 驱动签名利用