Sharkticon
1.0.0
Sharkticon 是一个入侵检测系统。
它的特殊性在于它使用异常检测系统和机器学习,特别是 Transformer 架构。
事实上,目前最知名的IDS(入侵检测系统)使用攻击特征数据库来检测攻击。
如果这些系统面临新的攻击,显然就会出现问题。我们的 IDS 的情况并非如此,由于异常检测,它能够检测到从未见过的攻击。
请参阅下面当前架构的架构
我们的软件由两部分组成。
第一个配置窗口会询问您想要在图表上看到的数据包数量
那么将来您想要重点分析的一个或多个协议
然后,当模型在您的网络上进行训练时,将会发生加载时间,
然后将显示实时图表,您可以在其中查看网络的稳定性。
如果检测到异常,它将显示并保存在日志文件中。
以下是支持的协议列表:
| 协议 | 操作 |
|---|---|
| HTTP协议 | ✔️ |
| UDP协议 | |
| 传输控制协议 |
git clone https://github.com/PoCInnovation/Sharkticon.git
cd Sharkticon
pip3 install -r requirements.txt
python3 Sharkticon
如果您使用 CLI,您获得的信息将会较少
但警报等基本功能将可用。
Sharkticon 使用 Wireshark 检索网络流。然后由 python 脚本处理以将其呈现为我们模型的格式。
对于我们的模型,我们使用 Transformer 架构,这是 NLP 中最先进的技术,我们对其进行了调整并在我们的项目中使用它。这就是为什么我们把重点放在 HTTP 协议上,因为它更冗长,因此变压器可以最好地利用它的品质。
我们的模型根据之前的数据包预测下一个数据包,然后使用异常检测算法来检测数据包是否是恶意的,如果 X 数据包在 Y 时间范围内是恶意的,那么我们会发出警报。
我们的软件分为两个主要部分:训练和分析。这是功能列表
| 特征 | 描述 |
|---|---|
| 训练 | 首先,该软件建议为您的网络流训练模型 |
| 分析网络 | 然后,该模型将通过显示图表来分析您的网络,该图表将向您显示网络的稳定性 |
| 异常检测 | 数据包预测将由我们的异常检测算法进行处理,如果检测到异常,将显示警报 |
| 日志管理器 | 您的所有警报将被分组在一个日志文件夹中,并包含异常的日期和时间 |
