ShadowMesh：结合深度强化学习与生成式AI的自适应蜜罐系统

ShadowMesh是结合深度强化学习、生成式AI与传统蜜罐技术的创新网络安全防御项目，旨在解决传统蜜罐静态易被识别的痛点，构建动态适应攻击者行为的智能欺骗系统，目标是延长攻击者停留时间、收集丰富威胁情报并生成可执行防御规则。

传统蜜罐作为观察攻击者、收集威胁情报的重要工具，通过模拟易受攻击系统吸引攻击者，但静态特性使其易被经验丰富的攻击者识别（如过于完美的配置、缺乏真实用户痕迹、可疑空白区域等），导致攻击者迅速终止会话，失去持续收集情报的机会，制约在高级持续性威胁（APT）环境下的应用效果。

ShadowMesh采用分层协作架构，核心设计理念包括自适应欺骗机制、生成式诱饵内容、遥测驱动防御输出：

1. 基础设施层：Docker Compose编排，含Cowrie SSH蜜罐、Elasticsearch日志存储、Kibana可视化，确保环境一致性；
2. 日志与遥测层：Python将Cowrie原始日志转为结构化Elasticsearch文档，会话聚合层构建攻击者会话画像；
3. 攻击者模拟层：基于Paramiko的模拟器生成多画像测试数据，支持强化学习训练；
4. 生成式诱饵层：通过OpenRouter API接入大模型生成逼真文件（配置、日志、用户数据等）；
5. 规则生成层：从会话摘要提取特征，生成Snort网络检测规则和YARA恶意软件检测规则；
6. 强化学习代理层（规划中）：定义观察空间、动作空间及奖励函数，实现自主调整防御策略。

截至文档撰写时，已实现功能：

• 容器化SSH蜜栈部署
• 日志转发与会话聚合管道
• 多画像攻击者模拟器
• AI驱动的诱饵文件生成
• 初步Snort/YARA规则生成
• 强化学习代理接口与脚手架
• 自适应桥接模块（动态部署诱饵） 未来里程碑：训练强化学习策略及实时执行循环、扩展Web欺骗表面、正式评估静态基线。

ShadowMesh代表静态诱饵到动态防御生态的转变：

• 对企业SOC：融入威胁检测体系，提供早期预警并产出加固真实资产的检测规则；
• 技术价值：展示生成式AI和强化学习在网络安全的实际应用，证明防御方可利用AI应对攻击者的AI工具，升级防御体系。

ShadowMesh虽处于开发阶段，但其设计理念清晰，目标是构建难被指纹识别、高观察价值、符合现代威胁情报流程的智能蜜罐框架，对主动防御、欺骗技术或AI安全应用感兴趣的研究者和从业者值得关注参与。