StratosphereLinuxIPS
v1.1.3
Slips ist ein leistungsstarkes Endpunkt -Verhaltensprävention und Erkennungssystem, das maschinelles Lernen verwendet, um böswillige Verhaltensweisen im Netzwerkverkehr zu erkennen. Slips können mit Netzwerkverkehr in Echtzeit-, PCAP-Dateien und Netzwerkströmen von beliebten Tools wie Suricata, Zeek/Bro und Argus funktionieren. Die Erkennung von Slips -Bedrohungen basiert auf einer Kombination aus maschinellem Lernmodellen, die zur Erkennung böswilliger Verhaltensweisen, 40 -Bedrohungs -Intelligenz -Feeds und Expertenheuristik geschult wurden. Slips sammelt Hinweise auf böswilliges Verhalten und verwendet ausführlich geschulte Schwellenwerte, um Warnungen auszulösen, wenn genügend Beweise gesammelt werden.
Slips ist die erste kostenlose Software-Verhaltens-maschinelles Lernbasis/IPS für Endpunkte. Es wurde 2012 von Sebastian Garcia im Stratosphere Laboratory, AIC, Fee, Tschechische technische Universität in Prag gegründet. Ziel war es, lokale IDs/IPs anzubieten, die maschinelles Lernen nutzt, um Netzwerkangriffe mithilfe der Verhaltensanalyse zu erkennen.
Slips wird nur für Linux-, MacOS- und Windows -Docker unterstützt. Die Blockierungsmerkmale von Schlupfern werden nur unter Linux unterstützt
Slips basiert auf Python und stützt sich auf das Zeek-Netzwerkanalyse-Framework für die Erfassung von Live-Verkehr und die Analyse von PCAPs. und stützt sich auf Redis> = 7.0.4 für die Interprozesskommunikation.
Die empfohlene Art, Schlupfe zu verwenden, finden Sie Docker.
docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
Verwenden Sie in macOS nicht --net = Host, wenn Sie vom Host auf die Ports des internen Containers zugreifen möchten.
docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
Weitere Installationsoptionen
Für eine detaillierte Erläuterung der Slips -Parameter
So überprüfen Sie die Slip-Ausgabe mithilfe einer GUI. Sie können die Weboberfläche oder unsere Befehlszeilenbasis-Schnittstelle Kalipso verwenden
./webinterface.sh
Navigieren Sie dann zu http://localhost:55000/ aus Ihrem Browser.
Weitere Informationen zur Webschnittstelle finden Sie in den Dokumenten: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface
./kalipso.sh
Weitere Informationen zur Kalipso -Schnittstelle finden Sie in den Dokumenten: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso
Slips erfordert Python 3.10.12 und mindestens 4 GBs RAM, um reibungslos zu laufen.
Slips können auf verschiedenen Plattformen ausgeführt werden. Wenn Sie ein Linux -Benutzer am einfachsten und empfohlen sind, besteht darin, Slips auf Docker auszuführen.
Slips verfügt über eine Konfiguration/Slips.yaml, die Benutzerkonfigurationen für verschiedene Module und allgemeine Ausführung enthält.
Sie können die Zeitwindow -Breite ändern, indem Sie den Parameter time_window_width ändern
Sie können die Analyserichtung auf all ändern, wenn Sie die Angriffe von und auf Ihren Computer sehen möchten
Sie können auch angeben, ob die ML -Modelle train oder test
Sie können Popup -Benachrichtigungen von Beweisen aktivieren, das Blockieren, ein eigenes Zeek -Skript und mehr anschließen.
Weitere Details zu den Konfigurationsdateioptionen hier
Die wichtigsten Merkmale der Slips sind:
Wir begrüßen Beiträge zur Verbesserung der Funktionalität und Merkmale von Schlupfern.
Bitte lesen Sie sorgfältig die beitragenden Richtlinien für den Beitrag zur Entwicklung von Slips
Sie können Slips ausführen und Fehler melden, Feature -Anfragen erstellen und Ideen vorschlagen, eine Pull -Anfrage mit einem gelösten Github -Problem und einer neuen Funktion öffnen oder eine Pull -Anfrage mit einem neuen Erkennungsmodul öffnen.
Die Anweisungen zum Erstellen eines neuen Erkennungsmoduls zusammen mit einer Vorlage hier.
Wenn Sie Student sind, empfehlen wir Ihnen, sich für das Google Summer of Code -Programm zu bewerben, an dem wir als Hosting -Organisation teilnehmen.
Weitere Informationen finden Sie in GSOC2023.
Sie können sich unseren Gesprächen in Zwietracht für Fragen und Diskussionen anschließen. Wir schätzen Ihre Beiträge und danken Ihnen, dass Sie bei der Verbesserung der Ausrutscher geholfen haben!
Benutzerdokumentation
Code -Dokumente
Wenn Sie ohne Sudo keine Benutzeroberfläche anhören können, können Sie den folgenden Befehl ausführen, damit ein Benutzer Zeek verwenden kann, um eine Schnittstelle nicht nur root anzuhören.
sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek
Sie können sich unseren Gesprächen in Zwietracht für Fragen und Diskussionen anschließen.
Oder senden Sie uns eine E -Mail unter
GNU Allgemeine öffentliche Lizenz
Gründer: Sebastian Garcia, [email protected], [email protected].
Hauptautoren: Sebastian Garcia, Alya Gomaa, Kamila Babayeva
Mitwirkende:
https://github.com/stratosphereps/stratospherelinuxips/blob/develop/changelog.md
Die folgenden Videos enthalten bei verschiedenen Ereignissen Demos von Slips in Aktion:
Wir sind dankbar für die großzügige Unterstützung und Finanzierung der folgenden Organisationen:
Dieses Projekt wird durch NGI0 Trust finanziert, einem von NLNET eingerichteten Fonds mit finanzieller Unterstützung des Internetprogramms der nächsten Generation der Europäischen Kommission. Erfahren Sie mehr auf der NLNET -Projektseite.
Ihre Finanzierung hat eine entscheidende Rolle bei der Entwicklung und dem Erfolg dieses Projekts gespielt. Wir schätzen ihr Engagement für die Weiterentwicklung der Technologie aufrichtig und ihre Anerkennung der Wertschöpfe für die Gemeinschaft.
