StratosphereLinuxIPS
v1.1.3
Slipsは、機械学習を使用してネットワークトラフィックの悪意のある動作を検出する強力なエンドポイント行動侵入防止および検出システムです。スリップは、Suricata、Zeek/Bro、Argusなどの一般的なツールからのネットワークトラフィック、PCAPファイル、およびネットワークフローを使用できます。 Slipsの脅威検出は、悪意のある行動、40以上の脅威インテリジェンスフィード、および専門家のヒューリスティックを検出するために訓練された機械学習モデルの組み合わせに基づいています。スリップは、悪意のある行動の証拠を収集し、十分な証拠が蓄積されたときにアラートをトリガーするために広範囲に訓練されたしきい値を使用します。
Slipsは、エンドポイント用の最初のフリーソフトウェア行動機械学習ベースのID/IPSです。 2012年に、プラハのチェコ工科大学のAIC料金、Stratosphere Laboratoryでセバスチャンガルシアによって作成されました。目標は、行動分析を使用してネットワーク攻撃を検出するために機械学習を活用するローカルID/IPSを提供することでした。
Linux、MacOS、およびWindowsドッカーズのみでスリップがサポートされています。スリップのブロッキング機能はLinuxでのみサポートされています
SlipsはPythonベースであり、ライブトラフィックをキャプチャしてPCAPを分析するためのZeekネットワーク分析フレームワークに依存しています。インタープロセス通信の場合、Redis> = 7.0.4に依存しています。
スリップを使用する推奨される方法は、Dockerにあります。
docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
MacOSでは、ホストから内部コンテナのポートにアクセスする場合は、-net =ホストを使用しないでください。
docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
その他のインストールオプション
スリップパラメーターの詳細な説明
GUIを使用してスリップ出力を確認するには、WebインターフェイスまたはコマンドラインベースのインターフェイスKalipsoを使用できます
./webinterface.sh
次に、ブラウザからhttp://localhost:55000/に移動します。
Webインターフェイスの詳細については、ドキュメントを確認してください:https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface
./kalipso.sh
Kalipsoインターフェイスの詳細については、ドキュメントを確認してください:https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso
スリップには、スムーズに実行するには、Python 3.10.12と少なくとも4 GBのRAMが必要です。
LinuxユーザーがDockerでスリップを実行することである場合、さまざまなプラットフォームでスリップを実行できます。
スリップには、さまざまなモジュールと一般的な実行のユーザー構成を含むconfig/slips.yamlがあります。
time_window_widthパラメーターを変更することにより、TimeWindow幅を変更できます
コンピューターからの攻撃を確認したい場合は、分析方向をallに変更できます
MLモデルtrainまたはtestかどうかを指定することもできます
証拠のポップアップ通知、ブロックを有効にし、独自のZeekスクリプトをプラグインするなどを有効にすることができます。
構成ファイルオプションの詳細については、こちらをご覧ください
スリップの重要な機能は次のとおりです。
スリップの機能と機能を改善するための貢献を歓迎します。
スリップの開発に貢献するための貢献ガイドラインを注意深くお読みください
スリップを実行してバグを報告したり、機能要求を報告したり、アイデアを提案したり、解決されたgithubの問題と新機能を備えたプルリクエストを開くか、新しい検出モジュールでプルリクエストを開くことができます。
ここでテンプレートとともに新しい検出モジュールを作成するための指示。
あなたが学生なら、ホスティング組織として参加するGoogle Summer of Codeプログラムに応募することをお勧めします。
詳細については、GSOC2023のスリップを確認してください。
質問や議論のために、私たちの会話に不一致で参加できます。ご貢献に感謝し、スリップを改善するのを手伝ってくれてありがとう!
ユーザードキュメント
コードドキュメント
Sudoなしでインターフェイスを聞くことができない場合は、次のコマンドを実行して、ユーザーがZeekを使用して、ルートだけでなくインターフェイスを聞くことができます。
sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek
質問や議論のために、私たちの会話に不一致で参加できます。
または、私たちにメールしてください
GNU一般公開ライセンス
創設者:Sebastian Garcia、[email protected]、[email protected]。
主な著者:セバスチャン・ガルシア、アリア・ゴマ、カミラ・ババエバ
貢献者:
https://github.com/stratosphereips/stratospherelinuxips/blob/develop/changelog.md
次のビデオには、さまざまなイベントで動作するスリップのデモが含まれています。
次の組織から提供された寛大なサポートと資金提供に感謝しています。
このプロジェクトは、欧州委員会の次世代インターネットプログラムからの財政的支援を受けてNLNETによって設立された基金であるNGI0 Antrustを通じて資金提供されています。詳細については、NLNETプロジェクトページをご覧ください。
彼らの資金は、このプロジェクトの開発と成功において重要な役割を果たしてきました。私たちは、技術を進めることへの彼らのコミットメントと、彼らの価値のスリップの認識がコミュニティにもたらす彼らのコミットメントに心から感謝しています。
