StratosphereLinuxIPS 开源项目快速入门指南

1. 目录结构及介绍

StratosphereLinuxIPS 是一个基于行为的Python入侵预防系统（IDS/IPS），利用机器学习来识别网络流量中的恶意行为。下面是其主要的目录结构概览及其简介：

• config: 存放Slips的配置文件，其中slips.yaml是核心配置文件，用于调整不同模块的行为和系统的整体设置。
• databases: 包含数据库相关文件，可能用于存储检测到的事件或训练模型的数据。
• datasets: 提供示例数据集或者测试PCAP文件，供用户测试Slips使用。
• docker: Docker相关的配置和脚本，便于Docker环境下部署。
• docs: 文档目录，包含项目使用、安装等的说明文档。
• fel_project: 可能是特定于实验室或研究项目的一部分，具体细节需查阅文档。
• fides, install, iris, managers, modules, p2p4slips, run, slips, slips_files, tests, webinterface, zeek-scripts: 这些目录包含了系统的各个功能模块、管理工具、运行脚本、核心代码库、Web界面文件以及处理Zeek日志的脚本等。
• .gitignore, .gitmodules, LICENSE, Makefile, README.md, VERSION: 标准的Git元数据文件、许可证文件、构建脚本、项目说明文档、版本信息。

2. 项目的启动文件介绍

Docker方式启动

Slips推荐通过Docker进行部署。启动命令示例如下，适应于不同的操作系统环境：

• 对于Linux：

  docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --net=host --cap-add=NET_ADMIN --name slips stratosphereips/slips:latest /slips.py -f dataset/test7-malicious.pcap -o output_dir
  

• 针对MacOS M1或特定情况：

  docker run --rm -it -p 55000:55000 --cpu-shares "700" --memory="8g" --memory-swap="8g" --cap-add=NET_ADMIN --name slips stratosphereips/slips_macos_m1:latest /slips.py -f dataset/test7-malicious.pcap -o output_dir
  

非Docker方式（以install.sh为例）

虽然项目更倾向于Docker部署，但理论上也有非Docker的安装和启动方法，通常通过运行install.sh或其他手动步骤来完成。具体的启动过程需依据项目文档中install.sh脚本的指示操作。

3. 项目的配置文件介绍

• config/slips.yaml: 这是项目的核心配置文件，它定义了Slips运行时的关键参数。用户可以通过编辑此文件来定制化系统的行为，包括但不限于：
  • Time Window Width: 可调整的时间窗口大小来监控网络行为。
  • Analysis Direction: 设置分析的方向，可以是“all”，以便查看入站和出站攻击。
  • Machine Learning Training/Test Mode: 控制是否启用ML模型的训练或仅用于测试。
  • Popup Notifications, Blocking, Custom Zeek Scripts 等高级设置，允许你开启警报弹窗、启用阻断机制，并接入自定义的Zeek脚本等功能。

确保在修改配置前阅读官方文档，了解每个配置项的具体意义和潜在影响，以避免不必要的错误或性能问题。

通过上述步骤，您可以有效地配置和启动StratosphereLinuxIPS系统，进一步探索其强大的入侵防御与监测能力。