Zeek实战—快速构建流量安全能力

第1章

网络流量与网络安全

1.2流量与网络

从宏观角度进行观察，如果将计算机网络看作一个整体，可以很容易抽象出它是由以下3个部分组成的。

1.网络终端。指连接在网络中的、能够产生或消费网络流量的软/硬件系统，是网络流量在正常情况下的起点或终点。

2.网络结构。指能够决定网络流量流动方式的软/硬件系统，是是网络流量的中转点。

3.网络流量。指一切正在网络中传输的数据。

可以看出，网络终端及网络结构与网络流量有关，也就是说这两个部分实际上取决于其在网络流量中起到的作用。

网络流量对网络是有决定性意义的。一方面，它是网络的组成部分；另一方面，它可以描述网络以及网络终端、网络结构。

分析网络流量不仅能识别网络中承载的实际业务，还能够提前识别、发现网络中的恶意行为，而这些都对网络安全有着实际且重要的作用。

随着当前大数据分析技术的发展，网络流量本身就是一个优良的数据源。使用大数据分析可以对网络流量进行多维度的侧写，识别正常或异常的网络行为，提升网络安全人员识别风险的能力。更进一步地说，通过对网络流量的充分了解、分析，可以使组织的网络安全逐渐形成态势感知的能力，从而进一步提高组织的安全水平。

1.3 流量分析

既然网络流量对于网络安全有重大的意义，那么针对网络流量的分析也就应该成为组织内网络安全人员的一项例行工作。

第2章

Zeek介绍

2.1Zeek是什么

Zeek是一款开源的网络流量分析工具。

Zeek可以被应用在任何需要流量分析的场景中，如网络性能分析、网络问题分析等。

相较于通用型的流量分析工具，Zeek更专注于网络安全，这点体现在Zeek默认内置了大量的网络安全相关的分析框架与脚本。有别于信息安全领域传统的防火墙（firewall）、入侵防御系统（IPS）或入侵检测系统（IDS），Zeek更聚焦在为用户提供对网络流量的获取、表达及分析的能力上。Zeek的核心能力之一就是将获取到的网络流量转化成格式化的文本，也即Zeek日志。Zeek日志不仅包含了如时间戳、源IP地址、源端口、目的IP地址、目的端口等基本网络连接信息，还包含了应用层的相关信息。以HTTP协议为例，Zeek的HTTP日志文件http.log包含了HTTP协议请求的URI、请求报文头、MIME类型、服务端响应等信息。

2.2 Zeek的特点

1.开源

2.开放式设计

3.高度自定义

4.适用场景丰富