最后一个主要分支机构成立七年后, 介绍了新版本的Zeek 3.0.0流量分析和网络入侵检测系统的发布, 以前以Bro的名义分发。
Zeek是流量分析平台 它主要侧重于安全事件跟踪,但不仅限于此应用程序。 我知道 提供用于分析各种应用程序级网络协议的模块, 考虑到连接的状态并允许形成网络活动的详细记录(文件)。
考虑到特定基础架构的特定特征,提出了一种面向主题的语言,用于编写监视方案和识别异常。 该系统经过优化,可用于高带宽网络。
提供了用于与第三方信息系统集成和实时数据交换的API。
用pcap捕获的IP数据包将传递到事件引擎 谁接受或拒绝他们。 接受的软件包将转发到策略脚本解释器。
事件引擎 分析实时或记录的网络流量或文件 跟踪以生成中立事件。 当“某事”发生时,它会生成事件。
这可能是由于Zeek进程(例如刚在初始化之后或Zeek进程终止之前),以及正在解析的网络(或跟踪文件)上发生的某些事情引起的,例如Zeek见证了HTTP请求或新TCP连接。
Zeek使用公共端口和动态协议检测(包括签名和行为分析)来更好地猜测网络协议的解释。 事件在策略上是中立的,因为它们既不是好事,也不是坏事,而只是向脚本发出信号,表明发生了某些事情。
Zeek的主要新闻
在此应用程序的新部分中,突出显示了: NTP协议的解析器已被完全重写 并且为MQTT添加了新的解析器。
因此,分析仪功能得到了改善 适用于DNS,RDP,SMB和TLS。 对于DNS,提供了SPF记录分析,对于DNSSEC,RRSIG,DNSKEY,DS,NSEC和NSEC3,则提供了相关的事件映射。
也所有提及名称“ bro” 在文件,配置,程序包,脚本,名称空间和函数的路径中 替换为“ zeek” (保留向后兼容性是为了实现向后兼容性。) bro-pkg软件包管理器已重命名为zkg。
其他变化 在此新版本的公告中具有以下特色:
- 实现了对VXLAN隧道中传输的流的解封装的支持
- 添加了对类型为NFLOG的链接的支持
- 添加了以UTF8编码保存提取的数据记录的功能。
- 脚本语言已添加了对匿名函数关闭的支持,表枚举运算符已以键值格式(“ for(键,t中的值)”)添加。
- 添加Python风格的矢量除法运算(“ v [2:4]”)
- 已经提出了一种新的paraglob结构来快速匹配大型二进制数据集中的字符串掩码
- 在SMB解析器中添加了对SMB 3.x协议的支持以及对TLS 1.3的支持。
如何在Linux上安装Zeek?
在这些时刻(写这篇文章的时候) zeek软件包尚未在Linux发行版的存储库中,目前仍是“ Bro”的最新版本。
为了什么 如果您想安装此新版本的Zeek 3.0 他们应该下载其源代码并在计算机上进行编译。
为此,他们必须做的是打开一个终端并在其中执行以下命令:
git clone --recursive https://github.com/zeek/zeek ./configure && make && sudo make install
并准备好了,他们将已经安装了此流量分析器。