StratosphereLinuxIPS
v1.1.3
SLIPS는 기계 학습을 사용하여 네트워크 트래픽에서 악의적 인 행동을 감지하는 강력한 엔드 포인트 행동 침입 방지 및 탐지 시스템입니다. 슬립은 실시간으로 네트워크 트래픽, PCAP 파일 및 Suricata, Zeek/Bro 및 Argus와 같은 인기있는 도구의 네트워크 흐름에서 작동 할 수 있습니다. 미끄러짐 위협 탐지는 악의적 인 행동, 40 개 이상의 위협 인텔리전스 피드 및 전문가 휴리스틱을 감지하도록 훈련 된 기계 학습 모델의 조합을 기반으로합니다. 미끄러짐은 악의적 인 행동에 대한 증거를 수집하고 충분한 증거가 축적 될 때 경고를 유발하기 위해 광범위하게 훈련 된 임계 값을 사용합니다.
슬립은 최초의 무료 소프트웨어 행동 기계 학습 기반 ID/IPS입니다. 2012 년 프라하의 체코 기술 대학교 (Czech Technical University)의 성층권 실험실, AIC, AIC, AIC에서 Sebastian Garcia에 의해 만들어졌습니다. 목표는 기계 학습을 활용하여 행동 분석을 사용하여 네트워크 공격을 감지하는 로컬 ID/IP를 제공하는 것이 었습니다.
슬립은 Linux, MacOS 및 Windows Dockers에서만 지원됩니다. 슬립의 차단 기능은 Linux에서만 지원됩니다.
슬립은 파이썬 기반이며 라이브 트래픽을 캡처하고 PCAP를 분석하기위한 Zeek 네트워크 분석 프레임 워크에 의존합니다. 그리고 전문가의 의사 소통을 위해 Redis> = 7.0.4에 의존합니다.
슬립을 사용하는 권장 방법은 Docker에 있습니다.
docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
MacOS에서는 호스트에서 내부 컨테이너 포트에 액세스하려면 -net = 호스트를 사용하지 마십시오.
docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
더 많은 설치 옵션
슬립 매개 변수에 대한 자세한 설명
GUI를 사용하여 슬립 출력을 확인하려면 웹 인터페이스 또는 명령 줄 기반 인터페이스 Kalipso를 사용할 수 있습니다.
./webinterface.sh
그런 다음 브라우저에서 http://localhost:55000/ 로 이동하십시오.
웹 인터페이스에 대한 자세한 내용은 문서를 확인하십시오 : https://stratosperelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface를 확인하십시오.
./kalipso.sh
Kalipso 인터페이스에 대한 자세한 내용은 문서를 확인하십시오 : https://stratosperelinuxips.readthedocs.io/en/develop/usage.html#kalipso
슬립은 파이썬 3.10.12와 4GB 이상의 RAM이 필요합니다.
슬립은 다른 플랫폼에서 실행할 수 있습니다. Linux 사용자 인 경우 가장 쉽고 권장되는 방법은 Docker에서 슬립을 실행하는 것입니다.
슬립에는 다른 모듈에 대한 사용자 구성과 일반 실행이 포함 된 구성/슬립이 있습니다.
time_window_width 매개 변수를 수정하여 TimewIndow 너비를 변경할 수 있습니다.
컴퓨터에서 공격을보고 싶다면 분석 방향을 all 로 변경할 수 있습니다.
ML 모델을 train test 할지 여부를 지정할 수도 있습니다.
증거에 대한 팝업 알림을 활성화하고 차단을 활성화하고 자신의 Zeek 스크립트를 연결하는 등을 사용할 수 있습니다.
구성 파일 옵션에 대한 자세한 내용은 여기를 참조하십시오
슬립의 주요 기능은 다음과 같습니다.
우리는 슬립의 기능과 특징을 향상시키기위한 기여를 환영합니다.
슬립 개발에 기여하기위한 기고 가이드 라인을주의 깊게 읽으십시오.
슬립 및보고 버그를 실행하고, 기능 요청을하고, 아이디어를 제안하고, 해결 된 GitHub 문제와 새로운 기능으로 풀 요청을 열거 나 새로운 탐지 모듈로 풀 요청을 열 수 있습니다.
여기에 템플릿과 함께 새로운 탐지 모듈을 작성하는 지침.
학생 인 경우 호스팅 조직으로 참여하는 Google Summer of Code 프로그램을 신청하는 것이 좋습니다.
자세한 내용은 GSOC2023의 슬립을 확인하십시오.
질문과 토론을 위해 Discord에서 대화에 참여할 수 있습니다. 귀하의 기여에 감사 드리며 미끄러짐을 개선하는 데 도움을 주셔서 감사합니다!
사용자 문서
코드 문서
Sudo없이 인터페이스를들을 수없는 경우 다음 명령을 실행하여 사용자가 Zeek을 사용하여 루트뿐만 아니라 인터페이스를들을 수 있습니다.
sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek
질문과 토론을 위해 Discord에서 대화에 참여할 수 있습니다.
또는 이메일을 보내주십시오
GNU 일반 공개 라이센스
설립자 : Sebastian Garcia, [email protected], [email protected].
주요 저자 : Sebastian Garcia, Alya Gomaa, Kamila Babayeva
기고자 :
https://github.com/stratosphereips/stratospherelinuxips/blob/develop/changelog.md
다음 비디오에는 다양한 이벤트에서 실행중인 미끄러짐 데모가 포함되어 있습니다.
우리는 다음 조직이 제공하는 관대 한 지원과 자금에 감사합니다.
이 프로젝트는 유럽위원회의 차세대 인터넷 프로그램의 재정적 지원으로 NLNET이 설립 한 펀드 인 NGI0 Entrust를 통해 자금을 지원합니다. NLNET 프로젝트 페이지에서 자세히 알아보십시오.
그들의 자금은이 프로젝트의 개발과 성공에 중요한 역할을 해왔습니다. 우리는 기술 발전에 대한 그들의 헌신과 가치 슬립에 대한 인식이 커뮤니티에 가져 오는 것에 진심으로 감사합니다.
