首页>编程相关>其他源码
下载

滑v1.1.3

目录

  • 介绍
  • 用法
  • GUI
  • 要求
  • 安装
  • 配置
  • 特征
  • 贡献
  • 文档
  • 故障排除
  • 执照
  • 学分
  • ChangElog
  • 路线图
  • 演示
  • 资金

滑:基于行为机器学习的侵入预防系统

SLIPS是一种强大的端点行为入侵预防和检测系统,该系统使用机器学习来检测网络流量中的恶意行为。 SLIP可以实时与网络流量一起工作,PCAP文件以及来自Suricata,Zeek/Bro和Argus等流行工具的网络流。 SLIPS威胁检测是基于训练有素的机器学习模型的组合,以检测恶意行为,40多个威胁智力提要和专家启发式方法。 SLIPS收集了恶意行为的证据,并使用经过广泛训练的阈值在积累足够的证据时触发警报。

介绍

SLIPS是第一个用于端点的基于行为机器学习的ID/IPS的免费软件行为。它是由塞巴斯蒂安·加西亚(Sebastian Garcia)在平流层实验室,AIC,费用,捷克技术大学的2012年创建的。目标是提供一个本地ID/IP,该IDS/IP利用机器学习使用行为分析来检测网络攻击。

仅在Linux,MacOS和Windows Dockers上支持滑动。 SLIP的阻塞特征仅在Linux上支持

滑动基于Python,并依靠Zeek网络分析框架来捕获实时流量和分析PCAP。并依靠redis> = 7.0.4进行交流。

用法

使用单板的推荐方法是在Docker上。

Linux和Windows主机

 docker run --rm -it -p 55000:55000  --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest

 ./slips.py -f dataset/test7-malicious.pcap -o output_dir

 cat output_dir/alerts.log

macos

在MacOS中,如果要从主机访问内部容器的端口,请勿使用-NET =主机。 

 docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest

 ./slips.py -f dataset/test7-malicious.pcap -o output_dir

 cat output_dir/alerts.log

有关更多安装选项

详细说明SLIPS参数

图形用户界面

要使用GUI检查slips输出,您可以使用Web接口或我们的基于命令行的接口Kalipso

Web界面
 ./webinterface.sh

然后导航到http://localhost:55000/从浏览器中。

有关Web界面的更多信息,请检查文档:https://stratospospherelinuxips.readthedocs.io/en/develop/usage/usage.html#the-web-interface

Kalispo(CLI接口) 
 ./kalipso.sh

有关Kalipso接口的更多信息,请检查文档:https://stratospospherelinuxips.readthedocs.io/en/develop/usage/usage.html#kalipso

要求

滑动需要Python 3.10.12,至少需要4 GB的RAM才能平稳运行。

安装

如果您是Linux用户,可以在Docker上运行SLIPS,则可以在不同平台上运行滑道。

  • Docker
    • Dockerhub(建议)
      • Linux和Windows主机
      • MacOS主机
    • Docker-Compose
    • Dockerfile
  • 本国的
    • 使用install.sh
    • 手动
  • 在RPI(beta)上

配置

Slips具有config/slips.yaml,其中包含用于不同模块和一般执行的用户配置。

  • 您可以通过修改time_window_width参数来更改时窗宽度

  • 如果您想从计算机中查看攻击,可以将分析方向更改为all

  • 您还可以指定是train还是test ML模型

  • 您可以启用有关证据的弹出通知,启用阻塞,插入自己的Zeek脚本等等。

有关配置文件选项的更多详细信息

特征

滑动关键功能是:

  • 行为入侵的预防:基于使用机器学习在网络流量中检测恶意行为,SLIP是一种强大的系统,可以防止入侵。
  • 模块化:滑动是用Python编写的,并且具有高度模块化,不同的模块在网络流量中执行特定检测。
  • 有针对性的攻击和命令和控制检测:它非常重视在网络流量中识别有针对性的攻击以及指挥和控制渠道。
  • 流量分析灵活性:SLIPS可以实时分析网络流量,PCAP文件以及来自Suricata,Zeek/Bro和Argus等流行工具的网络流。
  • 威胁智能更新:滑倒不断更新威胁智能文件和数据库,在发生更新时提供相关检测。
  • 与外部平台的集成:单元中的模块可以在诸如Virustotal和危险中的外部平台上查找IP地址。
  • 图形用户界面:SLIPS提供了控制台图形用户界面(KALIPSO)和一个用于显示图形和表检测的Web界面。
  • 点对点(P2P)模块:SLIPS包括一个复杂的自动系统,以在网络中查找其他对等,并以平衡,值得信赖的方式自动共享IOC数据。可以根据需要启用P2P模块。
  • Docker实施:简化了Linux系统上的Docker运行滑倒,从而允许实时流量分析。
  • 详细的文档:SLIPS通过使用说明有效利用其功能提供了详细的文档指导用户。

贡献

我们欢迎捐款,以提高滑移的功能和功能。

请仔细阅读有助于开发滑动的贡献指南

您可以运行slips并报告错误,提出功能请求并提出想法,打开带有解决的github问题和新功能的拉请请求,或使用新的检测模块打开拉请请求。

在此处创建新的检测模块以及模板的说明。

如果您是学生,我们鼓励您申请我们作为托管组织参加的Google Summer of Code计划。

查看GSOC2023中的单元以获取更多信息。

您可以在不和谐中加入我们的对话,以进行问题和讨论。感谢您的贡献,并感谢您帮助您改善滑倒!

文档

用户文档

代码文档

故障排除

如果没有Sudo,您无法收听接口,则可以运行以下命令,让任何用户使用Zeek不仅会收听root。 

 sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek

您可以在不和谐中加入我们的对话,以进行问题和讨论。

或通过电子邮件发送给我们

执照

GNU通用公共许可证

学分

创始人:塞巴斯蒂安·加西亚(Sebastian Garcia),[email protected][email protected]

主要作者:Sebastian Garcia,Alya Gomaa,Kamila Babayeva

贡献者:

  • Veronica Valeros
  • 弗兰蒂斯克·斯特拉萨克(Frantisek Strasak)
  • Dita Hollmannova
  • Ondrej Lukas
  • Elaheh Biglar Beigi
  • 马丁·丽帕
  • 阿卡马尔
  • 玛丽亚·里加基(Maria Rigaki)
  • 卢卡斯·福斯特(Lukas Forst)
  • 丹尼尔·杨

ChangElog

https://github.com/stratosposhereips/stratospospherelinuxips/blob/develop/changelog.md

演示

以下视频包含各种事件中的单段演示:

  • 2022 Blackhat Europe Arsenal,Slips:一种基于机器学习的,免费软件的,网络入侵预防系统[Web]
  • 2022 Blackhat USA Arsenal,Slips:一种基于机器学习的,免费软件,网络入侵预防系统[Web]
  • 2021 Blackhat Europe Arsenal,Slips:一种基于机器学习的,免费软件的,网络入侵系统[幻灯片] [Web]
  • 2021年美国黑人美国阿森纳,滑倒:基于机器的,免费的软件,网络入侵预防系统[Web]
  • 2021 Blackhat Asia Arsenal,Slips:基于机器学习的,免费的软件,网络入侵预防系统[Web]
  • 2020年盒子中的Cyber​​week中的黑客,Android大鼠检测基于机器学习的Python ID [视频]
  • 2019年的OpenAlt,出色的攻击以及Kalipso如何找到它们[视频]
  • 2016 Ekoparty,平流层IPS。免费的机器学习恶意软件检测[视频]

资金

我们感谢以下组织提供的慷慨支持和资金:

  • NLNET基金会,https://nlnet.nl/

该项目是通过NGI0 Attrust资助的,NGI0委托是NLNET在欧盟委员会下一代互联网计划的财政支持下建立的基金。在NLNET项目页面上了解更多信息。

  • 布拉格捷克技术大学的人工智能中心,https://www.aic.fel.cvut.cz/
  • Avast,https://www.avast.com/
  • Cesnet,https://www.cesnet.cz/
  • Google Summer of Code(2023,2024),https://summerofcode.withgoogle.com/

他们的资金在该项目的发展和成功中发挥了至关重要的作用。我们真诚地感谢他们致力于推进技术的承诺以及对滑倒价值的认可为社区带来的。

展开
附加信息
相关应用
为您推荐
相关资讯 全部