首頁>編程相關>其他源碼
下載

滑v1.1.3

目錄

  • 介紹
  • 用法
  • GUI
  • 要求
  • 安裝
  • 配置
  • 特徵
  • 貢獻
  • 文件
  • 故障排除
  • 執照
  • 學分
  • ChangElog
  • 路線圖
  • 演示
  • 資金

滑:基於行為機器學習的侵入預防系統

SLIPS是一種強大的端點行為入侵預防和檢測系統,該系統使用機器學習來檢測網絡流量中的惡意行為。 SLIP可以實時與網絡流量一起工作,PCAP文件以及來自Suricata,Zeek/Bro和Argus等流行工具的網絡流。 SLIPS威脅檢測是基於訓練有素的機器學習模型的組合,以檢測惡意行為,40多個威脅智力提要和專家啟發式方法。 SLIPS收集了惡意行為的證據,並使用經過廣泛訓練的閾值在積累足夠的證據時觸發警報。

介紹

SLIPS是第一個用於端點的基於行為機器學習的ID/IPS的免費軟件行為。它是由塞巴斯蒂安·加西亞(Sebastian Garcia)在平流層實驗室,AIC,費用,捷克技術大學的2012年創建的。目標是提供一個本地ID/IP,該IDS/IP利用機器學習使用行為分析來檢測網絡攻擊。

僅在Linux,MacOS和Windows Dockers上支持滑動。 SLIP的阻塞特徵僅在Linux上支持

滑動基於Python,並依靠Zeek網絡分析框架來捕獲實時流量和分析PCAP。並依靠redis> = 7.0.4進行交流。

用法

使用單板的推薦方法是在Docker上。

Linux和Windows主機

 docker run --rm -it -p 55000:55000  --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest

 ./slips.py -f dataset/test7-malicious.pcap -o output_dir

 cat output_dir/alerts.log

macos

在MacOS中,如果要從主機訪問內部容器的端口,請勿使用-NET =主機。 

 docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest

 ./slips.py -f dataset/test7-malicious.pcap -o output_dir

 cat output_dir/alerts.log

有關更多安裝選項

詳細說明SLIPS參數

圖形用戶界面

要使用GUI檢查slips輸出,您可以使用Web接口或我們的基於命令行的接口Kalipso

Web界面
 ./webinterface.sh

然後導航到http://localhost:55000/從瀏覽器中。

有關Web界面的更多信息,請檢查文檔:https://stratospospherelinuxips.readthedocs.io/en/develop/usage/usage.html#the-web-interface

Kalispo(CLI接口) 
 ./kalipso.sh

有關Kalipso接口的更多信息,請檢查文檔:https://stratospospherelinuxips.readthedocs.io/en/develop/usage/usage.html#kalipso

要求

滑動需要Python 3.10.12,至少需要4 GB的RAM才能平穩運行。

安裝

如果您是Linux用戶,可以在Docker上運行SLIPS,則可以在不同平台上運行滑道。

  • Docker
    • Dockerhub(建議)
      • Linux和Windows主機
      • MacOS主機
    • Docker-Compose
    • Dockerfile
  • 本國的
    • 使用install.sh
    • 手動
  • 在RPI(beta)上

配置

Slips具有config/slips.yaml,其中包含用於不同模塊和一般執行的用戶配置。

  • 您可以通過修改time_window_width參數來更改時窗寬度

  • 如果您想從計算機中查看攻擊,可以將分析方向更改為all

  • 您還可以指定是train還是test ML模型

  • 您可以啟用有關證據的彈出通知,啟用阻塞,插入自己的Zeek腳本等等。

有關配置文件選項的更多詳細信息

特徵

滑動關鍵功能是:

  • 行為入侵的預防:基於使用機器學習在網絡流量中檢測惡意行為,SLIP是一種強大的系統,可以防止入侵。
  • 模塊化:滑動是用Python編寫的,並且具有高度模塊化,不同的模塊在網絡流量中執行特定檢測。
  • 有針對性的攻擊和命令和控制檢測:它非常重視在網絡流量中識別有針對性的攻擊以及指揮和控制渠道。
  • 流量分析靈活性:SLIPS可以實時分析網絡流量,PCAP文件以及來自Suricata,Zeek/Bro和Argus等流行工具的網絡流。
  • 威脅智能更新:滑倒不斷更新威脅智能文件和數據庫,在發生更新時提供相關檢測。
  • 與外部平台的集成:單元中的模塊可以在諸如Virustotal和危險中的外部平台上查找IP地址。
  • 圖形用戶界面:SLIPS提供了控制台圖形用戶界面(KALIPSO)和一個用於顯示圖形和表檢測的Web界面。
  • 點對點(P2P)模塊:SLIPS包括一個複雜的自動系統,以在網絡中查找其他對等,並以平衡,值得信賴的方式自動共享IOC數據。可以根據需要啟用P2P模塊。
  • Docker實施:簡化了Linux系統上的Docker運行滑倒,從而允許實時流量分析。
  • 詳細的文檔:SLIPS通過使用說明有效利用其功能提供了詳細的文檔指導用戶。

貢獻

我們歡迎捐款,以提高滑移的功能和功能。

請仔細閱讀有助於開發滑動的貢獻指南

您可以運行slips並報告錯誤,提出功能請求並提出想法,打開帶有解決的github問題和新功能的拉請請求,或使用新的檢測模塊打開拉請請求。

在此處創建新的檢測模塊以及模板的說明。

如果您是學生,我們鼓勵您申請我們作為託管組織參加的Google Summer of Code計劃。

查看GSOC2023中的單元以獲取更多信息。

您可以在不和諧中加入我們的對話,以進行問題和討論。感謝您的貢獻,並感謝您幫助您改善滑倒!

文件

用戶文檔

代碼文檔

故障排除

如果沒有Sudo,您無法收聽接口,則可以運行以下命令,讓任何用戶使用Zeek不僅會收聽root。 

 sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek

您可以在不和諧中加入我們的對話,以進行問題和討論。

或通過電子郵件發送給我們

執照

GNU通用公共許可證

學分

創始人:塞巴斯蒂安·加西亞(Sebastian Garcia),[email protected][email protected]

主要作者:Sebastian Garcia,Alya Gomaa,Kamila Babayeva

貢獻者:

  • Veronica Valeros
  • 弗蘭蒂斯克·斯特拉薩克(Frantisek Strasak)
  • Dita Hollmannova
  • Ondrej Lukas
  • Elaheh Biglar Beigi
  • 馬丁·麗帕
  • 阿卡馬爾
  • 瑪麗亞·裡加基(Maria Rigaki)
  • 盧卡斯·福斯特(Lukas Forst)
  • 丹尼爾·楊

ChangElog

https://github.com/stratosposhereips/stratospospherelinuxips/blob/develop/changelog.md

演示

以下視頻包含各種事件中的單段演示:

  • 2022 Blackhat Europe Arsenal,Slips:一種基於機器學習的,免費軟件的,網絡入侵預防系統[Web]
  • 2022 Blackhat USA Arsenal,Slips:一種基於機器學習的,免費軟件,網絡入侵預防系統[Web]
  • 2021 Blackhat Europe Arsenal,Slips:一種基於機器學習的,免費軟件的,網絡入侵系統[幻燈片] [Web]
  • 2021年美國黑人美國阿森納,滑倒:基於機器的,免費的軟件,網絡入侵預防系統[Web]
  • 2021 Blackhat Asia Arsenal,Slips:基於機器學習的,免費的軟件,網絡入侵預防系統[Web]
  • 2020年盒子中的Cyber​​week中的黑客,Android大鼠檢測基於機器學習的Python ID [視頻]
  • 2019年的OpenAlt,出色的攻擊以及Kalipso如何找到它們[視頻]
  • 2016 Ekoparty,平流層IPS。免費的機器學習惡意軟件檢測[視頻]

資金

我們感謝以下組織提供的慷慨支持和資金:

  • NLNET基金會,https://nlnet.nl/

該項目是通過NGI0 Attrust資助的,NGI0委託是NLNET在歐盟委員會下一代互聯網計劃的財政支持下建立的基金。在NLNET項目頁面上了解更多信息。

  • 布拉格捷克技術大學的人工智能中心,https://www.aic.fel.cvut.cz/
  • Avast,https://www.avast.com/
  • Cesnet,https://www.cesnet.cz/
  • Google Summer of Code(2023,2024),https://summerofcode.withgoogle.com/

他們的資金在該項目的發展和成功中發揮了至關重要的作用。我們真誠地感謝他們致力於推進技術的承諾以及對滑倒價值的認可為社區帶來的。

展開
附加信息
相關應用
爲您推薦
相關資訊 全部