StratosphereLinuxIPS
v1.1.3
Slips es un poderoso sistema de prevención y detección de intrusos conductuales de punto final que utiliza el aprendizaje automático para detectar comportamientos maliciosos en el tráfico de red. Los resbalones pueden funcionar con el tráfico de red en tiempo real, archivos PCAP y flujos de red de herramientas populares como Suricata, Zeek/Bro y Argus. La detección de amenazas de Slips se basa en una combinación de modelos de aprendizaje automático capacitados para detectar comportamientos maliciosos, más de 40 alimentos de inteligencia de amenazas y heurísticas expertas. Slips reúne evidencia de comportamiento malicioso y utiliza umbrales ampliamente entrenados para activar alertas cuando se acumula suficiente evidencia.
Slips es el primer software gratuito IDS/IP basado en el aprendizaje automático de comportamiento para el aprendizaje para los puntos finales. Fue creado en 2012 por Sebastian García en el Laboratorio Stratospher, AIC, Fee, la Universidad Técnica Checa en Praga. El objetivo era ofrecer un IDS/IP local que aproveche el aprendizaje automático para detectar ataques de red utilizando el análisis de comportamiento.
Slips es compatible con Dockers de Linux, MacOS y Windows. Las características de bloqueo de los deslizamientos solo son compatibles en Linux
Slips se basa en Python y se basa en el marco de análisis de red de Zeek para capturar el tráfico en vivo y analizar PCAP. y se basa en Redis> = 7.0.4 para la comunicación de interprocesos.
La forma recomendada de usar Slips es en Docker.
docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
En macOS, no use --net = host si desea acceder a los puertos de contenedor interno desde el host.
docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
Para más opciones de instalación
Para una explicación detallada de los parámetros de deslizamiento
Para verificar la salida de los deslizamientos utilizando una GUI, puede usar la interfaz web o nuestra interfaz basada en la línea de comandos Kalipso
./webinterface.sh
Luego navegue a http://localhost:55000/ desde su navegador.
Para obtener más información sobre la interfaz web, consulte los documentos: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface
./kalipso.sh
Para obtener más información sobre la interfaz Kalipso, consulte los documentos: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso
Slips requiere Python 3.10.12 y al menos 4 GB de RAM para funcionar sin problemas.
Los resbalones se pueden ejecutar en diferentes plataformas, la forma más fácil y recomendada si es un usuario de Linux es ejecutar Slips en Docker.
Slips tiene un config/slips.yaml que contiene configuraciones de usuario para diferentes módulos y ejecución general.
Puede cambiar el ancho de Window modificando el parámetro time_window_width
Puede cambiar la dirección de análisis a all si desea ver los ataques desde y hacia su computadora.
También puede especificar si train o test los modelos ML
Puede habilitar notificaciones emergentes de evidencia, habilitar el bloqueo, conectar su propio script de Zeek y más.
Más detalles sobre las opciones de archivo de configuración aquí
Las características de la tecla Slips son:
Agradecemos contribuciones para mejorar la funcionalidad y las características de los resbalones.
Lea cuidadosamente las pautas contribuyentes para contribuir al desarrollo de resbalones
Puede ejecutar resbalones e informar errores, realizar solicitudes de funciones y sugerir ideas, abrir una solicitud de extracción con un problema de GitHub resuelto y una nueva función, o abrir una solicitud de extracción con un nuevo módulo de detección.
Las instrucciones para crear un nuevo módulo de detección junto con una plantilla aquí.
Si usted es un estudiante, le recomendamos que solicite el programa de Google Summer of Code en el que participamos como organización de alojamiento.
Verifique las resbalones en GSOC2023 para obtener más información.
Puede unirse a nuestras conversaciones en Discord para preguntas y discusiones. ¡Agradecemos sus contribuciones y gracias por ayudar a mejorar los resbalones!
Documentación del usuario
Documentos de código
Si no puede escuchar una interfaz sin sudo, puede ejecutar el siguiente comando para permitir que cualquier usuario use Zeek para escuchar una interfaz no solo root.
sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek
Puede unirse a nuestras conversaciones en Discord para preguntas y discusiones.
O envíenos un correo electrónico a
Licencia pública general de GNU
Fundador: Sebastian García, [email protected], [email protected].
Autores principales: Sebastian García, Alya Gomaa, Kamila Babayeva
Colaboradores:
https://github.com/stratosphereips/stratospherelinuxips/blob/develop/changelog.md
Los siguientes videos contienen demostraciones de resbalones en acción en varios eventos:
Estamos agradecidos por el generoso apoyo y financiación proporcionados por las siguientes organizaciones:
Este proyecto se financia a través de NGI0 CONTUST, un fondo establecido por NLNET con el apoyo financiero del programa de Internet de próxima generación de la Comisión Europea. Obtenga más información en la página del proyecto NLNET.
Su financiación ha jugado un papel crucial en el desarrollo y el éxito de este proyecto. Apreciamos sinceramente su compromiso de avanzar en la tecnología y su reconocimiento del valor que los resbalones aportan a la comunidad.
