StratosphereLinuxIPS
v1.1.3
Slips adalah sistem pencegahan dan deteksi intrusi perilaku titik akhir yang kuat yang menggunakan pembelajaran mesin untuk mendeteksi perilaku berbahaya dalam lalu lintas jaringan. Slip dapat bekerja dengan lalu lintas jaringan secara real-time, file PCAP, dan aliran jaringan dari alat populer seperti Suricata, Zeek/Bro, dan Argus. Deteksi ancaman slip didasarkan pada kombinasi model pembelajaran mesin yang dilatih untuk mendeteksi perilaku jahat, 40+ feed intelijen ancaman, dan ahli heuristik. Slips mengumpulkan bukti perilaku jahat dan menggunakan ambang terlatih secara luas untuk memicu peringatan ketika cukup bukti terakumulasi.
SLIPS adalah ID/IPs Berbasis Pembelajaran Perilaku Perilaku Perilaku Pertama untuk Titik Akhir. Itu dibuat pada 2012 oleh Sebastian Garcia di Stratosphere Laboratory, AIC, FEE, Universitas Teknis Ceko di Praha. Tujuannya adalah untuk menawarkan ID/IP lokal yang memanfaatkan pembelajaran mesin untuk mendeteksi serangan jaringan menggunakan analisis perilaku.
Slip didukung di Linux, MacOS, dan Windows Dockers saja. Fitur pemblokiran slip hanya didukung di Linux
Slips berbasis python dan bergantung pada kerangka analisis jaringan Zeek untuk menangkap lalu lintas langsung dan menganalisis PCAP. dan bergantung pada redis> = 7.0.4 untuk komunikasi interproses.
Cara yang disarankan untuk menggunakan slip adalah di Docker.
docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
Dalam macOS, jangan gunakan --net = host jika Anda ingin mengakses port wadah internal dari host.
docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
Untuk lebih banyak opsi instalasi
Untuk penjelasan terperinci tentang parameter slip
Untuk memeriksa output slip menggunakan GUI, Anda dapat menggunakan antarmuka web atau antarmuka berbasis baris perintah kami Kalipso
./webinterface.sh
Kemudian arahkan ke http://localhost:55000/ dari browser Anda.
Untuk info lebih lanjut tentang antarmuka web, periksa dokumen: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-intface
./kalipso.sh
Untuk info lebih lanjut tentang antarmuka Kalipso, periksa dokumen: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso
Slip membutuhkan Python 3.10.12 dan setidaknya 4 GB RAM untuk berjalan dengan lancar.
Slip dapat dijalankan pada platform yang berbeda, cara termudah dan paling disarankan jika Anda adalah pengguna Linux adalah dengan menjalankan slip di Docker.
Slips memiliki konfigurasi/slips.yaml yang berisi konfigurasi pengguna untuk berbagai modul dan eksekusi umum.
Anda dapat mengubah lebar TimeWindow dengan memodifikasi parameter time_window_width
Anda dapat mengubah arah analisis menjadi all jika Anda ingin melihat serangan dari dan ke komputer Anda
Anda juga dapat menentukan apakah akan train atau test model ML
Anda dapat mengaktifkan pemberitahuan bukti tentang bukti, memungkinkan pemblokiran, mencolokkan skrip Zeek Anda sendiri dan banyak lagi.
Rincian lebih lanjut tentang opsi file konfigurasi di sini
Fitur utama slip adalah:
Kami menyambut kontribusi untuk meningkatkan fungsionalitas dan fitur slip.
Harap baca dengan cermat pedoman yang berkontribusi untuk berkontribusi pada pengembangan slip
Anda dapat menjalankan slip dan melaporkan bug, membuat permintaan fitur, dan menyarankan ide, membuka permintaan tarik dengan masalah github yang diselesaikan dan fitur baru, atau membuka permintaan tarik dengan modul deteksi baru.
Instruksi untuk membuat modul deteksi baru bersama dengan templat di sini.
Jika Anda seorang mahasiswa, kami mendorong Anda untuk melamar program Google Summer of Code yang kami ikuti sebagai organisasi hosting.
Periksa slip di GSOC2023 untuk informasi lebih lanjut.
Anda dapat bergabung dengan percakapan kami di Discord untuk pertanyaan dan diskusi. Kami menghargai kontribusi Anda dan terima kasih telah membantu meningkatkan slip!
Dokumentasi pengguna
Dokumen Kode
Jika Anda tidak dapat mendengarkan antarmuka tanpa sudo, Anda dapat menjalankan perintah berikut untuk membiarkan pengguna menggunakan Zeek untuk mendengarkan antarmuka bukan hanya root.
sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek
Anda dapat bergabung dengan percakapan kami di Discord untuk pertanyaan dan diskusi.
Atau email kami di
Lisensi Publik Umum GNU
Pendiri: Sebastian Garcia, [email protected], [email protected].
Penulis Utama: Sebastian Garcia, Alya Gomaa, Kamila Babayeva
Kontributor:
https://github.com/stratosphereips/stratospherelinuxips/blob/develop/changelog.md
Video berikut berisi demo slip beraksi di berbagai acara:
Kami berterima kasih atas dukungan dan pendanaan yang dermawan yang diberikan oleh organisasi berikut:
Proyek ini didanai melalui NGI0 Toust, dana yang didirikan oleh NLNET dengan dukungan keuangan dari program Internet Generasi berikutnya Komisi Eropa. Pelajari lebih lanjut di halaman Proyek NLNET.
Pendanaan mereka telah memainkan peran penting dalam pengembangan dan keberhasilan proyek ini. Kami dengan tulus menghargai komitmen mereka untuk memajukan teknologi dan pengakuan mereka atas slip nilai yang dibawa ke masyarakat.
