Zeek的優(yōu)勢
features
- 便于理解的log搞糕,可用于離線分析
- 可解析應(yīng)用層的文件傳輸新锈,指紋計算
- ipv6
- 一些隧道的檢測和分析,如Ayiya, Teredo, GTPv1
- 協(xié)議分析中進行完整性檢查
- 可以在zeek腳本中觸發(fā)外部進程
bif e.g.
- 從HTTP sessions中提取文件
- 識別web application灸异,報告網(wǎng)絡(luò)中看到的存在漏洞軟件版本
- SSH爆破檢測
- 驗證SSL證書鏈
Architecture
event engine 事件引擎
從libpcap拿數(shù)據(jù)绍昂,轉(zhuǎn)換為事件唯绍。
例如將http請求的流量元數(shù)據(jù)轉(zhuǎn)換成http_request事件拼岳,包含IP地址,端口况芒,URI和HTTP的版本惜纸。腳本解釋器
根據(jù)zeek自帶的或用戶添加的.zeek腳本處理事件叶撒,輸出notice和log。
可以實現(xiàn)站點的安全策略耐版,可以跨連接祠够,跨ip分析流量,可以實時報警并執(zhí)行外部程序粪牲。
Zeek Script
可以理解為一個"domain-specific Python"古瓤,zeek內(nèi)建函數(shù)函數(shù)類似于Python的標準庫,除了內(nèi)建函數(shù)外腺阳,用戶可自定義任意功能的zeek腳本落君。因為所有zeek的自帶的流量分析功能,都沒有硬編碼亭引,都是類似的zeek腳本绎速。
