StratosphereLinuxIPS

• مقدمة
• الاستخدام
• واجهة المستخدم الرسومية
• متطلبات
• تثبيت
• إعدادات
• سمات
• المساهمة
• الوثائق
• استكشاف الأخطاء وإصلاحها
• رخصة
• الاعتمادات
• Changelog
• خريطة الطريق
• العروض التوضيحية
• التمويل

Slips عبارة عن نظام قوي للوقاية من التسلل والكشف عن التسلل السلوكي الذي يستخدم التعلم الآلي لاكتشاف السلوكيات الخبيثة في حركة مرور الشبكة. يمكن أن تعمل Slips مع حركة مرور الشبكة في الوقت الفعلي وملفات PCAP وتدفقات الشبكة من الأدوات الشائعة مثل Suricata و Zeek/Bro و Argus. يعتمد اكتشاف التهديدات على مزيج من نماذج التعلم الآلي المدربين على اكتشاف السلوكيات الضارة ، وأكثر من 40 خلاصات استخبارات التهديد ، والاستدلال الخبراء. تجمع Slips دليلًا على السلوك الضار ويستخدم عتبات مدربة على نطاق واسع لتحفيز التنبيهات عند تجميع أدلة كافية.

Slips هي أول معرفات/IPS القائمة على التعلم في البرمجيات المجانية لنقاط النهاية. تم إنشاؤه في عام 2012 من قبل سيباستيان جارسيا في مختبر الستراتوسفير ، AIC ، الرسوم ، الجامعة التقنية التشيكية في براغ. كان الهدف هو تقديم معرفات/IPs محلية تستفيد من التعلم الآلي للكشف عن هجمات الشبكة باستخدام التحليل السلوكي.

يتم دعم Slips على Dockers Linux و MacOS و Windows فقط. يتم دعم ميزات الحظر للزلات فقط على Linux

يعتمد Slips على أساس Python ويعتمد على إطار تحليل شبكة Zeek لالتقاط حركة المرور الحية وتحليل أجهزة الكمبيوتر. ويعتمد على redis> = 7.0.4 للاتصال interprocess.

الطريقة الموصى بها لاستخدام Slips على Docker.

 docker run --rm -it -p 55000:55000  --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest

 ./slips.py -f dataset/test7-malicious.pcap -o output_dir

 cat output_dir/alerts.log

في MacOS ، لا تستخدم -net = المضيف إذا كنت ترغب في الوصول إلى منافذ الحاوية الداخلية من المضيف.

 docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest

 ./slips.py -f dataset/test7-malicious.pcap -o output_dir

 cat output_dir/alerts.log

لمزيد من خيارات التثبيت

للحصول على شرح مفصل للزلات المعلمات

للتحقق من الإخراج باستخدام واجهة المستخدم الرسومية ، يمكنك استخدام واجهة الويب أو واجهة خط الأوامر Kalipso

 ./webinterface.sh

ثم انتقل إلى http://localhost:55000/ من متصفحك.

لمزيد من المعلومات حول واجهة الويب ، تحقق من المستندات: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface

 ./kalipso.sh

لمزيد من المعلومات حول واجهة Kalipso ، تحقق من المستندات: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso

يتطلب Slips Python 3.10.12 وعلى الأقل 4 جيجابايت من ذاكرة الوصول العشوائي للركض بسلاسة.

يمكن تشغيل القسائم على منصات مختلفة ، وهي الطريقة الأسهل والأكثر الموصى بها إذا كنت من مستخدمي Linux هو تشغيل قسائم على Docker.

• عامل ميناء
  • Dockerhub (موصى به)
    • مضيفات Linux و Windows
    • مضيفات ماكوس
  • Docker-corm
  • Dockerfile
• محلي
  • باستخدام install.sh
  • يدويًا
• على RPI (بيتا)

يحتوي Slips على تكوين/slips.yaml الذي يحتوي على تكوينات المستخدم للوحدات المختلفة والتنفيذ العام.

• يمكنك تغيير عرض Timewindow عن طريق تعديل معلمة time_window_width

• يمكنك تغيير اتجاه التحليل إلى all إذا كنت ترغب في رؤية الهجمات من الكمبيوتر الخاص بك وإلى جهاز الكمبيوتر الخاص بك

• يمكنك أيضًا تحديد ما إذا كنت تريد train نماذج ML أو test

• يمكنك تمكين الإخطارات المنبثقة للأدلة ، وتمكين الحظر ، وتوصيل البرنامج النصي الخاص بك Zeek والمزيد.

مزيد من التفاصيل حول خيارات ملف التكوين هنا

الميزات الرئيسية هي:

• الوقاية من التسلل السلوكي : يعمل Slips كنظام قوي لمنع التدخلات بناءً على اكتشاف السلوكيات الخبيثة في حركة مرور الشبكة باستخدام التعلم الآلي.
• Modularity : يتم كتابة Slips في Python وهو وحدات للغاية مع وحدات مختلفة تؤدي اكتشافات محددة في حركة المرور الشبكة.
• الهجمات المستهدفة والكشف عن القيادة والتحكم : فهي تركز بشكل قوي على تحديد الهجمات المستهدفة وقنوات القيادة والتحكم في حركة مرور الشبكة.
• مرونة تحليل حركة المرور : يمكن أن تحلل Slips حركة مرور الشبكة في الوقت الفعلي ، وملفات PCAP ، وتدفقات الشبكة من الأدوات الشائعة مثل Suricata و Zeek/Bro و Argus.
• تحديثات ذكاء التهديد : ينزلق بشكل مستمر تحديث ملفات الاستخبارات وقواعد البيانات التهديد ، مما يوفر الاكتشافات ذات الصلة عند حدوث تحديثات.
• التكامل مع المنصات الخارجية : يمكن للوحدات النمطية في Slips البحث عن عناوين IP على منصات خارجية مثل Virustotal و Riskiq.
• واجهة المستخدم الرسومية : توفر Slips واجهة مستخدم رسومية وحدة تحكم (Kalipso) وواجهة ويب لعرض الكشف مع الرسوم البيانية والجداول.
• وحدة نظير إلى نظير (P2P) : تتضمن Slips نظامًا تلقائيًا معقدًا للعثور على أقرانهم الآخرين في الشبكة ومشاركة بيانات IOC تلقائيًا بطريقة موثوقة ومتوازنة. يمكن تمكين وحدة P2P حسب الحاجة.
• تنفيذ Docker : يتم تبسيط تشغيل Slips عبر Docker على Linux Systems ، مما يسمح بتحليل حركة المرور في الوقت الفعلي.
• وثائق مفصلة : يوفر Slips وثائق مفصلة توجيه المستخدمين من خلال تعليمات الاستخدام لاستخدام فعال لميزاته.

نرحب بالمساهمات لتحسين وظائف وميزات الزلات.

يرجى قراءة بعناية الإرشادات المساهمة للمساهمة في تطوير القسائم

يمكنك تشغيل القسائم والإبلاغ عن الأخطاء ، وتقديم طلبات الميزات ، واقتراح الأفكار ، وفتح طلب سحب مع مشكلة github التي تم حلها وميزة جديدة ، أو فتح طلب سحب مع وحدة اكتشاف جديدة.

تعليمات لإنشاء وحدة اكتشاف جديدة جنبا إلى جنب مع قالب هنا.

إذا كنت طالبًا ، فنحن نشجعك على التقدم بطلب للحصول على برنامج Google Summer of Code الذي نشارك فيه كمؤسسة استضافة.

تحقق من Slips في GSOC2023 لمزيد من المعلومات.

يمكنك الانضمام إلى محادثاتنا في Discord للأسئلة والمناقشات. نحن نقدر مساهماتك ونشكرك على المساعدة في تحسين الانزلاقات!

وثائق المستخدم

مستندات رمز

إذا لم تتمكن من الاستماع إلى واجهة بدون Sudo ، فيمكنك تشغيل الأمر التالي للسماح لأي مستخدم باستخدام Zeek للاستماع إلى واجهة وليس فقط الجذر.

 sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek

يمكنك الانضمام إلى محادثاتنا في Discord للأسئلة والمناقشات.

أو مراسلتنا عبر البريد الإلكتروني على

• [email protected]
• [email protected] ،
• [email protected]

رخصة عامة عامة في GNU

مؤسس: سيباستيان جارسيا ، [email protected] ، [email protected].

المؤلفون الرئيسيون: سيباستيان جارسيا ، أليا جوما ، كاميلا باباييفا

المساهمين:

• فيرونيكا فاليروس
• Frantisek Strasak
• ديتا هولمانوفا
• Ondrej Lukas
• Elaheh Biglar Beigi
• مارتن řepa
• أركامار
• ماريا ريجاكي
• لوكاس فورست
• دانيال يانغ

https://github.com/stratospherips/stratospherelinuxips/blob/develop/changelog.md

تحتوي مقاطع الفيديو التالية على عروض تجريبية للانزلاق في العمل في مختلف الأحداث:

• 2022 Blackhat Europe Arsenal ، Slips: A Machine Learning ، نظام الوقاية من اختراق الشبكة [Web]
• 2022 Blackhat USA Arsenal ، Slips: A Machine Learning ، Free-Offware ، نظام الوقاية من اختراق الشبكة [الويب]
• 2021 Blackhat Europe Arsenal ، Slips: A Machine Learning ، نظام الوقاية من اختراق الشبكة [SLIDES] [Web]
• 2021 Blackhat USA Arsenal ، Slips: A Machine Learning ، Free-Offware ، نظام الوقاية من اختراق الشبكة [الويب]
• 2021 Blackhat Asia Arsenal ، Slips: A Machine Learning ، Free-Offware ، نظام الوقاية من اختراق الشبكة [Web]
• 2020 Hack in the Box Cyberweek ، اكتشاف الفئران Android مع معرفات Python المستندة إلى التعلم الآلي [فيديو]
• 2019 Openalt ، هجمات رائعة وكيف يمكن لـ Kalipso العثور عليها [فيديو]
• 2016 Ekoparty ، الستراتوسفير IPs. اكتشاف البرامج الضارة التعليمية المجانية للآلة [فيديو]

نحن ممتنون للدعم السخي والتمويل المقدم من المنظمات التالية:

• مؤسسة Nlnet ، https://nlnet.nl/

يتم تمويل هذا المشروع من خلال NGI0 Enterrust ، وهو صندوق أنشأته NLNET بدعم مالي من برنامج الإنترنت القادم من المفوضية الأوروبية. تعرف على المزيد في صفحة مشروع NLNET.

• مركز الذكاء الاصطناعي في الجامعة التقنية التشيكية في براغ ، https://www.aic.fel.cvut.cz/
• Avast ، https://www.avast.com/
• cesnet ، https://www.cesnet.cz/
• Google Summer of Code (2023 ، 2024) ، https://summerofcode.withgoogle.com/

لعب تمويلهم دورًا مهمًا في تطوير ونجاح هذا المشروع. نحن نقدر بإخلاص التزامهم بالتقدم في التكنولوجيا وتقديرها للانزلاق القيمة التي يجلبها المجتمع.