手把手搭建Web蜜罐Glastopf（如何搭建蜜罐）

今天在会议上听了恶意加密流量的识别，我认为核心技术是有监督的AI行为学习，实际上空间和时间的特征提取很基础，但是有一批恶意特征组成的黑样本有关键～

我是在纯净的ubuntu16上安装的蜜罐，因此需要一些额外的工作要做，不过经过30分钟的折腾，最终我的第一个Web蜜罐，成功上线了，哈哈哈鹅

计算机病毒恶意软件的前身今生， 作者 ailx10

第一步：安装必要的组建

sudo apt-get update
sudo apt-get install python2.7 python-openssl python-gevent libevent-dev python2.7-dev build-essential make
sudo apt-get install python-chardet python-requests python-sqlalchemy python-lxml
sudo apt-get install python-beautifulsoup mongodb python-pip python-dev python-setuptools
sudo apt-get install g++ git liblapack-dev gfortran libmysqlclient-dev
sudo apt-get install libxml2-dev libxslt-dev
sudo pip install --upgrade distribute

第二步：安装并配置PHP沙箱环境

cd /opt
sudo git clone git://github.com/mushorg/BFR.git
cd BFR
sudo phpize
sudo ./configure --enable-bfr
sudo make && sudo make install

这时候还需要配置一下，找到自己的bfr.so的位置，在php.ini文件尾巴上追加就好了。

zend_extension = /usr/lib/php/20151012/bfr.so

第三步：安装Web蜜罐

cd /opt
sudo git clone https://github.com/mushorg/glastopf.git
cd glastopf
sudo python setup.py install

这个时候会出现一些依赖问题，解决下面的依赖就可以了。怎么解决？

那当然是pip install xx

gevent
webob
pyopenssl
lxml
sqlalchem
jinja2
beautifulsoup
requests
cssselect
pymongo
MySQL-python
hpfeeds
pylibinjection
libtaxii
python-logstash
botocore
urllib3

解决掉依赖后，再次运行python setup.py install，就搞成了。

第四步：建立目录并运行蜜罐

cd /opt
sudo mkdir myhoneypot
cd myhoneypot
sudo glastopf-runner

漂亮的Web蜜罐呼之欲出，令人心动，接下来就是等待小僵尸上来了～

当有人访问我们的蜜罐的时候，就会被蜜罐记录在日志里面。咱们刚刚上线，谷歌的搜索引擎爬虫就开始光顾了～

迷路的小僵尸如果访问了咱们的蜜罐，那么它的所有行为操作，都会记录咱们的数据库中的，通过sqlite就可以查看请求的所有内容了～

那么蜜罐的作用呢，就是可以快速学习小僵尸的行为模式哦，对于网络安全研究员，一定要放几个不同的蜜罐来捕获恶意样本，建立恶意IP的行为模式数据库～

半个小时不到，捕获到一只迷路的僵尸网络IP地址，这就是威胁情报的价值～

开启蜜罐的守护进程，持续吸引小僵尸，过阵子来统一分析恶意主机的访问行为，拜拜～