2020-12-01Zeek介绍

Zeek的优势

features

• 便于理解的log，可用于离线分析
• 可解析应用层的文件传输，指纹计算
• ipv6
• 一些隧道的检测和分析，如Ayiya, Teredo, GTPv1
• 协议分析中进行完整性检查
• 可以在zeek脚本中触发外部进程

bif e.g.

• 从HTTP sessions中提取文件
• 识别web application，报告网络中看到的存在漏洞软件版本
• SSH爆破检测
• 验证SSL证书链

Architecture

• event engine 事件引擎
  从libpcap拿数据，转换为事件。
  例如将http请求的流量元数据转换成http_request事件，包含IP地址，端口，URI和HTTP的版本。

• 脚本解释器
  根据zeek自带的或用户添加的.zeek脚本处理事件，输出notice和log。
  可以实现站点的安全策略，可以跨连接，跨ip分析流量，可以实时报警并执行外部程序。

Zeek Script

可以理解为一个"domain-specific Python"，zeek内建函数函数类似于Python的标准库，除了内建函数外，用户可自定义任意功能的zeek脚本。因为所有zeek的自带的流量分析功能，都没有硬编码，都是类似的zeek脚本。