AI-Based-Honeypot-Attack-Detection-System：基于蜜罐与机器学习的网络攻击检测系统

项目名称：AI-Based-Honeypot-Attack-Detection-System 原作者：Sidd1007 来源：GitHub（链接：https://github.com/Sidd1007/AI-Based-Honeypot-Attack-Detection-System） 核心功能：结合Cowrie和Dionaea蜜罐技术与随机森林机器学习算法，从蜜罐日志提取特征并自动分类暴力破解和交互式攻击，为网络安全防御提供智能化分析能力。

蜜罐定义

蜜罐是一种安全机制，通过设置看似有价值的目标引诱攻击者，记录和分析攻击行为，任何访问均可视为可疑活动。

项目使用的蜜罐

1. Cowrie：中等交互式SSH/Telnet蜜罐，模拟Unix环境，记录暴力破解、shell交互、命令执行、文件下载等。
2. Dionaea：低交互式蜜罐，模拟SMB、MSSQL等易受攻击服务，捕获恶意软件载荷。

系统运行分为6阶段：

1. 蜜罐部署：隔离环境部署Cowrie和Dionaea，配置日志与监控。
2. 攻击捕获：记录传入连接、登录尝试、命令执行、文件下载等。
3. 特征提取：从日志提取特征（总尝试次数、唯一用户名数、失败/成功尝试数、平均时间间隔、命令执行数、会话时长）。
4. 数据集生成：整理特征为CSV格式。
5. 模型训练：使用scikit-learn训练随机森林分类器（集成学习，提高准确性与鲁棒性）。
6. 攻击预测：模型分类新活动为暴力破解或交互式攻击。

特征工程

特征设计反映攻击模式：

• 高频短间隔登录尝试→暴力破解
• 复杂命令序列+长会话→交互式攻击
• 大量唯一用户名→字典攻击

模型性能

随机森林分类器交叉验证平均准确率达71.67%（考虑攻击多样性与日志噪声，为可用基准）。

可视化

提供混淆矩阵与特征重要性可视化脚本，帮助理解模型决策逻辑。

1. 安全运营中心（SOC）：自动分类蜜罐告警，帮助分析师优先处理高风险交互式攻击。
2. 威胁情报收集：积累标注数据训练更精准模型，收集攻击者行为模式与工具偏好。
3. 安全研究教育：为学生/初学者提供实战案例，涵盖蜜罐部署、日志分析、特征工程与机器学习应用。

1. 扩展蜜罐类型：引入Conpot（工业控制系统）、Glastopf（Web应用）等，扩大攻击覆盖范围。
2. 尝试其他算法：如XGBoost、LightGBM或深度学习模型，提升准确率。
3. 实时检测：从离线批处理扩展为实时流处理架构。
4. 攻击者画像：结合多蜜罐数据构建行为画像与关联分析。

AI-Based-Honeypot-Attack-Detection-System是传统安全技术与现代AI结合的典型项目，展示了蜜罐数据转化为机器学习特征的过程及随机森林的应用。 适用人群：

• 网络安全机器学习入门学生
• 需要快速搭建攻击检测原型的安全工程师 为相关人员提供清晰、可运行的起点。