Zeek的优势
features
- 便于理解的log,可用于离线分析
- 可解析应用层的文件传输,指纹计算
- ipv6
- 一些隧道的检测和分析,如Ayiya, Teredo, GTPv1
- 协议分析中进行完整性检查
- 可以在zeek脚本中触发外部进程
bif e.g.
- 从HTTP sessions中提取文件
- 识别web application,报告网络中看到的存在漏洞软件版本
- SSH爆破检测
- 验证SSL证书链
Architecture
event engine 事件引擎
从libpcap拿数据,转换为事件。
例如将http请求的流量元数据转换成http_request事件,包含IP地址,端口,URI和HTTP的版本。脚本解释器
根据zeek自带的或用户添加的.zeek脚本处理事件,输出notice和log。
可以实现站点的安全策略,可以跨连接,跨ip分析流量,可以实时报警并执行外部程序。
Zeek Script
可以理解为一个"domain-specific Python",zeek内建函数函数类似于Python的标准库,除了内建函数外,用户可自定义任意功能的zeek脚本。因为所有zeek的自带的流量分析功能,都没有硬编码,都是类似的zeek脚本。
