Slips v1.1.19

---

目录

• 简介
• 使用方法
• 图形用户界面
• 系统要求
• 安装
• 配置
• 功能特性
• 贡献
• 文档
• 故障排除
• 许可证
• 致谢
• 更新日志
• 路线图
• 演示
• 资金支持

Slips：基于行为机器学习的入侵防御系统

Slips是一款强大的端点行为入侵检测与防御系统，利用机器学习技术来识别网络流量中的恶意行为。Slips能够实时处理网络流量、PCAP文件以及来自Suricata、Zeek/Bro和Argus等流行工具的网络流数据。其威胁检测基于经过训练的机器学习模型、40多个威胁情报源以及专家启发式规则的结合。Slips会收集恶意行为的证据，并在积累足够证据时触发警报。

---

简介

Slips是首个面向端点的免费软件行为机器学习IDS/IPS。它由塞巴斯蒂安·加西亚于2012年在布拉格捷克理工大学AIC FEE的Stratosphere实验室开发。其目标是提供一种本地IDS/IPS，利用机器学习通过行为分析来检测网络攻击。

Slips目前仅支持Linux、MacOS和Windows上的Docker容器。其中，Slips的阻断功能仅在Linux上可用。

Slips基于Python开发，并依赖Zeek网络分析框架来捕获实时流量和分析PCAP文件，同时依赖Redis >= 7.0.4进行进程间通信。

---

使用方法

推荐使用Docker来运行Slips。

Linux和Windows主机

docker run --rm -it -p 55000:55000  --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest

./slips.py -f dataset/test7-malicious.pcap -o output_dir

cat output_dir/alerts.log

MacOS

在MacOS中，如果希望从主机访问容器内部的端口，请勿使用--net=host选项。

docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest

./slips.py -f dataset/test7-malicious.pcap -o output_dir

cat output_dir/alerts.log

更多安装选项

关于Slips参数的详细说明

---

图形用户界面

要通过GUI查看Slips的输出，可以使用Web界面或我们的命令行界面Kalipso。

Web界面

./webinterface.sh

然后在浏览器中访问 http://localhost:55000/。

有关Web界面的更多信息，请参阅文档：https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#the-web-interface

Kalipso（CLI界面）

./kalipso.sh

有关Kalipso界面的更多信息，请参阅文档：https://stratospherelinuxips.readthedocs.io/en/develop/usage.html#kalipso

---

系统要求

Slips需要Python 3.10.12以及至少4GB内存才能流畅运行。

---

安装

Slips 可以在不同平台上运行，对于 Linux 用户来说，最简单且推荐的方式是在 Docker 中运行 Slips。

• Docker
  • Dockerhub（推荐）
    • Linux 和 Windows 主机
    • MacOS 主机
  • Docker-compose
  • Dockerfile
• 原生安装
  • 使用 install.sh 脚本
  • 手动安装
• 在 RPI 上安装（测试版）

---

配置

Slips 拥有一个 config/slips.yaml，其中包含了针对不同模块及整体运行的用户配置。

• 你可以通过修改 time_window_width 参数来调整时间窗口宽度。

• 如果你想查看来自和发送到你计算机的攻击，可以将分析方向设置为 all。

• 你还可以指定是使用机器学习模型进行 train 还是 test。

• 你可以启用证据的 弹出通知，启用 阻断功能，插入你自己的 Zeek 脚本 等等。

关于配置文件选项的更多详细信息请见此处

---

特性

Slips 的主要特性包括：

• 行为型入侵防御：Slips 是一个强大的系统，能够基于机器学习检测网络流量中的恶意行为，从而有效预防入侵。
• 模块化：Slips 使用 Python 编写，具有高度模块化的设计，不同的模块负责在网络流量中执行特定的检测任务。
• 针对性攻击与命令控制通道检测：它特别注重识别网络流量中的针对性攻击以及命令控制通道。
• 流量分析灵活性：Slips 可以实时分析网络流量、PCAP 文件，以及来自 Suricata、Zeek/Bro 和 Argus 等流行工具的网络流。
• 威胁情报更新：Slips 会持续更新威胁情报文件和数据库，在有新情报时提供相关的检测结果。
• HTTPS 异常检测：具备自适应的 TLS/HTTPS 异常检测功能，并能处理漂移问题，同时提供本地 HTML 报告生成器以便深入分析。
• 与外部平台集成：Slips 中的模块可以查询 VirusTotal 和 RiskIQ 等外部平台上的 IP 地址。
• 图形用户界面：Slips 提供一个控制台图形用户界面（Kalipso）以及一个 Web 界面，用于以图表和表格形式展示检测结果。
• 点对点（P2P）模块：Slips 内置了一个复杂的自动系统，能够在网络中查找其他节点，并以平衡、可信的方式自动共享 IoC 数据。P2P 模块可根据需要启用。
• Docker 实现：在 Linux 系统上通过 Docker 运行 Slips 可以简化操作，实现对实时流量的分析。
• 详尽的文档：Slips 提供了详细的文档，指导用户高效地使用其各项功能。
• 联邦学习：通过 feel_project 子模块实现。更多信息请参阅 文档。

---

贡献

我们欢迎各位为改进 Slips 的功能和特性做出贡献。

请仔细阅读 贡献指南，了解如何参与 Slips 的开发。

你可以运行 Slips 并报告 bug、提出功能请求或建议想法；也可以针对已解决的 GitHub 问题提交包含新功能的拉取请求，或者提交包含新检测模块的拉取请求。

创建新检测模块的说明及模板请参见 此处。

如果你是学生，我们鼓励你申请 Google Summer of Code 计划，我们作为主办机构参与其中。

更多信息请参阅 Slips 在 GSoC2023 中的情况。

如有疑问或想讨论相关话题，欢迎加入我们的 Discord 社区：discord.gg/zu5HwMFy5C。

我们非常感谢你的贡献，并期待你帮助我们不断改进 Slips！

---

文档

用户文档

代码文档

---

故障排除

如果你无法在没有 sudo 权限的情况下监听某个接口，例如当 Zeek 抛出以下错误时：

fatal error: problem with interface wlan0 (pcap_error: socket: Operation not permitted (pcap_activate))

你可以使用以下命令调整 Zeek 的权限：

sudo setcap cap_net_raw,cap_net_admin=eip /<path-to-zeek-bin/zeek

---

如需咨询或讨论，欢迎加入我们的 Discord 社区：discord.gg/zu5HwMFy5C。

你也可以通过以下邮箱联系我们：

• sebastian.garcia@agents.fel.cvut.cz
• eldraco@gmail.com,
• alyaggomaa@gmail.com

---

许可证

GNU 通用公共许可证

---

致谢

创始人：Sebastian Garcia，sebastian.garcia@agents.fel.cvut.cz，eldraco@gmail.com。

主要作者：Sebastian Garcia，Alya Gomaa，Kamila Babayeva。

贡献者：

• Veronica Valeros
• Frantisek Strasak
• Dita Hollmannova
• Ondrej Lukas
• Elaheh Biglar Beigi
• Martin Řepa
• arkamar
• Maria Rigaki
• Lukas Forst
• Daniel Yang

---

更改日志

https://github.com/stratosphereips/StratosphereLinuxIPS/blob/develop/CHANGELOG.md

---

演示

以下视频展示了 Slips 在不同活动中的实际演示：

• 2022 年 BlackHat 欧洲站 Arsenal，Slips：基于机器学习的免费开源网络入侵防御系统 [网页]
• 2022 年 BlackHat 美国站 Arsenal，Slips：基于机器学习的免费开源网络入侵防御系统 [网页]
• 2021 年 BlackHat 欧洲站 Arsenal，Slips：基于机器学习的免费开源网络入侵防御系统 [幻灯片] [网页]
• 2021 年 BlackHat 美国站 Arsenal，Slips：基于机器学习的免费开源网络入侵防御系统 [网页]
• 2021 年 BlackHat 亚洲站 Arsenal，Slips：基于机器学习的免费开源网络入侵防御系统 [网页]
• 2020 年 Hack In The Box CyberWeek，基于机器学习的 Python IDS 检测 Android 远控木马 [视频]
• 2019 年 OpenAlt，精彩攻击及其如何被 Kalipso 发现 [视频]
• 2016 年 Ekoparty，Stratosphere IPS：免费的机器学习恶意软件检测 [视频]

---

资助

我们衷心感谢以下机构提供的慷慨支持与资助：

• NlNet 基金会，https://nlnet.nl/

本项目由 NGI0 Entrust 资助，该基金由 NLnet 设立，并得到欧盟委员会 下一代互联网 计划的资金支持。更多信息请访问 NLnet 项目页面。

• 布拉格捷克理工大学人工智能中心，https://www.aic.fel.cvut.cz/
• Avast，https://www.avast.com/
• CESNET，https://www.cesnet.cz/
• Google 夏季编程之夏（2023 年、2024 年），https://summerofcode.withgoogle.com/

这些机构的资助对本项目的开发与成功起到了至关重要的作用。我们由衷地感谢他们对技术进步的承诺，以及对 Slips 为社区所带来的价值的认可。

StratosphereLinuxIPS (Slips) 快速上手指南

Slips 是一款基于行为机器学习的开源入侵防御系统（IPS），能够实时分析网络流量、PCAP 文件及主流工具（如 Zeek、Suricata）生成的流数据，以检测恶意行为和命令与控制（C2）通道。

环境准备

系统要求

• 操作系统：Linux、macOS 或 Windows（需通过 Docker 运行）。
  • 注意：流量阻断功能仅在 Linux 上受支持。
• 内存：至少 4 GB RAM（推荐 8 GB 以获得流畅体验）。
• 架构：x86_64 或 ARM64 (Mac M1/M2)。

前置依赖

• Docker：推荐使用 Docker 运行，可避免复杂的环境配置。
• Python：若选择原生安装，需 Python 3.10.12+。
• Redis：若选择原生安装，需 Redis >= 7.0.4。

提示：国内用户若遇到 Docker 镜像拉取缓慢，建议配置 Docker 国内镜像加速器。

安装步骤

推荐使用 Docker 方式部署，这是最简便且官方推荐的方法。

1. Linux 和 Windows 主机

执行以下命令拉取并运行容器：

docker run --rm -it -p 55000:55000  --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest

2. macOS 主机

在 macOS 上运行时，请勿使用 --net=host 参数，以便从宿主机访问容器端口：

docker run --rm -it -p 55000:55000 --platform linux/amd64 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest

基本使用

启动容器后，即可在容器内执行分析任务。以下是分析一个测试用的恶意 PCAP 文件并查看警报的最简流程。

1. 运行分析

在容器终端中执行以下命令，指定输入文件和输出目录：

./slips.py -f dataset/test7-malicious.pcap -o output_dir

• -f: 指定要分析的流量文件（支持 .pcap 或实时接口）。
• -o: 指定结果输出目录。

2. 查看检测结果

分析完成后，查看生成的警报日志：

cat output_dir/alerts.log

3. 使用图形界面 (可选)

Slips 提供 Web 界面和命令行界面 (Kalipso) 以可视化展示检测结果。

• 启动 Web 界面：

  ./webinterface.sh
  

  然后在浏览器访问：http://localhost:55000/

• 启动 Kalipso (CLI 界面)：

  ./kalipso.sh