StratosphereLinuxIPS
v1.1.3
Slips - это мощная система профилактики и обнаружения поведенческих вторжений в конечном счете, которая использует машинное обучение для обнаружения вредоносного поведения в сетевом трафике. Слипы могут работать с сетевым трафиком в реальном времени, файлах PCAP и сетевых потоках из популярных инструментов, таких как Suricata, Zeek/Bro и Argus. Обнаружение угрозы проскальзывает основано на комбинации моделей машинного обучения, обученных для выявления вредоносного поведения, 40+ кормов для угроз и экспертной эвристики. Slips собирает доказательства злонамеренного поведения и использует широко обученные пороги, чтобы вызвать оповещения, когда накапливается достаточное количество доказательств.
Slips-это первое свободное программное обеспечение по поведенческому машинному обучению идентификатора/IPS для конечных точек. Он был создан в 2012 году Себастьяном Гарсией в Лаборатории стратосферы, AIC, FEE, Чешского технического университета в Праге. Цель состояла в том, чтобы предложить локальные идентификаторы/IP, которые используют машинное обучение для обнаружения сетевых атак с использованием поведенческого анализа.
Слипы поддерживаются только на Linux, MacOS и Windows Dockers. Особенности блокировки скольжения поддерживаются только на Linux
Slips основан на Python и опирается на структуру анализа сети Zeek для захвата живого трафика и анализа PCAP. и полагается на Redis> = 7.0.4 для межпроцессной связи.
Рекомендуемый способ использования проскальзывания на докере.
docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
В MacOS не используйте -net = host, если вы хотите получить доступ к портам внутреннего контейнера от хоста.
docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest
./slips.py -f dataset/test7-malicious.pcap -o output_dir
cat output_dir/alerts.log
Для получения дополнительных вариантов установки
Для получения подробного объяснения параметров скользи
Чтобы проверить вывод Slips, используя графический интерфейс, вы можете использовать веб-интерфейс или наш интерфейс на основе командной строки Kalipso
./webinterface.sh
Затем перейдите к http://localhost:55000/ из вашего браузера.
Для получения дополнительной информации о веб-интерфейсе, проверьте документы: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface
./kalipso.sh
Для получения дополнительной информации о интерфейсе Kalipso, проверьте документы: https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso
Слипы требуют Python 3.10.12 и не менее 4 ГБ ОЗУ, чтобы работать гладко.
Слипы можно запускать на разных платформах, самый простой и наиболее рекомендуемый способ, если вы пользователь Linux - это запустить Slips на Docker.
Slips имеет config/slips.yaml, который содержит пользовательские конфигурации для различных модулей и общего выполнения.
Вы можете изменить ширину TimeWindow, изменяя параметр time_window_width
Вы можете изменить направление анализа на all , если хотите увидеть атаки с и на компьютер
Вы также можете указать, train или test модели ML
Вы можете включить всплывающие уведомления о доказательствах, включить блокирование, подключить свой собственный сценарий Zeek и многое другое.
Более подробная информация о параметрах файла конфигурации здесь
Ключевые функции скольжения:
Мы приветствуем вклад для улучшения функциональности и функций скольжения.
Пожалуйста, внимательно прочитайте руководящие принципы для участия в разработке скольжения
Вы можете запускать скольпы и сообщать об ошибках, выполнять запросы на функции и предлагать идеи, открыть запрос на вытягивание с решением выпуска GitHub и новой функцией или открыть запрос на привлечение с новым модулем обнаружения.
Инструкции по созданию нового модуля обнаружения вместе с шаблоном здесь.
Если вы студент, мы рекомендуем вам подать заявку на программу Google Summer of Code, в которой мы участвуем в качестве хостинговой организации.
Проверьте скольжения в GSOC2023 для получения дополнительной информации.
Вы можете присоединиться к нашим беседам в Discord для вопросов и дискуссий. Мы ценим ваш вклад и благодарим вас за помощь в улучшении липков!
Пользовательская документация
Код документов
Если вы не можете прослушать интерфейс без SUDO, вы можете запустить следующую команду, чтобы позволить любому пользователю использовать Zeek для прослушивания интерфейса, а не только root.
sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek
Вы можете присоединиться к нашим беседам в Discord для вопросов и дискуссий.
Или написать нам на
Глабальная публичная лицензия GNU
Основатель: Себастьян Гарсия, [email protected], [email protected].
Основные авторы: Себастьян Гарсия, Аля Гомаа, Камила Бабаева
Участники:
https://github.com/stratosphereips/stratospherelinuxips/blob/develop/changelog.md
Следующие видео содержат демонстрации скользи в действии в различных событиях:
Мы благодарны за щедрую поддержку и финансирование, предоставленные следующими организациями:
Этот проект финансируется за счет NGI0 Trust, фонда, созданный NLnet, при финансовой поддержке от интернет -программы Европейской комиссии. Узнайте больше на странице проекта NLNet.
Их финансирование сыграло решающую роль в развитии и успехе этого проекта. Мы искренне ценим их приверженность продвижению технологий, и их признание стоимости приносит сообщество.
