该论文提出了 Honeyval，一个针对基于大型语言模型（LLM）的 HTTP 蜜罐的全面评估框架。蜜罐是一种模拟真实系统组件的诱饵，用于防御网络攻击。近年来，LLM 越来越多地被用作蜜罐的模拟后端，使防御者能够构建高交互蜜罐，同时降低系统安全风险。然而，LLM 驱动的蜜罐开发缺乏统一的评估框架。现有评估方法通常包括在固定命令上测量响应相似性、手动测试或实际部署，但这些方法难以扩展、不可重复、无法代表实际攻击，也无法适应不同的攻击者和蜜罐配置。Honeyval 通过以下方式克服了这些局限性：将蜜罐基于 16 个后端应用程序，使用 AI 黑客代理作为攻击者，采用两个控制任务来监控代理和蜜罐在不同定制下的能力，并为攻击者定义清晰可验证的利用目标。利用 Honeyval，作者对近期成本高效的 LLM 作为 HTTP 蜜罐进行了广泛评估。实验显示，LLM 驱动的蜜罐能够显著延长与攻击者的交互时间，远远超过基于规则的基线蜜罐，并且即使使用前沿模型也很难被检测到，同时平均保持了对抗主动攻击者的成本优势。此外，作者还实验了不同的反制蜜罐配置，观察到了独特的权衡，例如更长的交互时间以增加被检测的风险。该工作为 LLM 蜜罐的开发和标准化评估提供了重要基础。

本文提出HoneySat，一个基于网络的卫星蜜罐框架，旨在模拟真实的卫星通信行为，以欺骗和检测针对卫星网络的攻击。卫星系统正面临日益增长的网络威胁，但现有安全手段（如入侵检测）在卫星领域部署不足，尤其缺乏交互式诱骗机制。HoneySat支持两种主流卫星协议生态系统：CSP（CubeSat Space Protocol）和CCSDS/YAMCS（Consultative Committee for Space Data Systems / Yet Another Mission Control System）。该框架通过Docker容器化部署，模拟了逼真的卫星遥测数据（如电压、温度、电流）、真实通信窗口（仅在预测过顶时段响应）以及交互式指令壳，允许攻击者发送命令并记录所有交互日志。论文通过五个实验系统验证了其设计目标：E1.1证明遥测数据可信；E1.2展示通信窗口的逼真性；E1.3验证交互能力（如执行系统命令）；E1.4确认日志记录功能；E2展示了框架的配置与扩展能力，支持用户自定义卫星名称、位置、协议类型。实验结果表明HoneySat能有效欺骗潜在攻击者并记录其活动。该框架为卫星网络安全研究提供了重要的测试和防御工具。