Войти
| Автор (ы) исходного текста | Верн Паксон |
|---|---|
| Стабильный выпуск | 3.2.1 / 9 сентября 2020 г.; 44 дня назад (2020-09-09) |
| Репозиторий |  |
| Написано на | C ++ |
| Операционная система | Linux, FreeBSD, macOS |
| Тип | Система обнаружения сетевых вторжений |
| Лицензия | Лицензия BSD |
| Веб-сайт | zeek.org |
Портал бесплатного программного обеспечения с открытым исходным кодом Zeek (ранее Bro) - это бесплатное программное обеспечение с открытым исходным кодом структура сетевого анализа; он был впервые разработан в 1994 году Верном Паксоном и первоначально был назван в честь Большого брата Джорджа Оруэлла из его романа Девятнадцать восемьдесят четыре. Его можно использовать как систему обнаружения сетевых вторжений (NIDS), но с дополнительным анализом сетевых событий в реальном времени. Он выпущен под лицензией BSD.
IP-пакеты, захваченные с помощью pcap, передаются механизму событий, который принимает или отклоняет их. Принятые пакеты пересылаются интерпретатору сценария политики.
Механизм событий анализирует текущий или записанный сетевой трафик или файлы трассировки для генерации нейтральных событий. Он генерирует события, когда «что-то» происходит. Это может быть вызвано процессом Zeek, например, сразу после инициализации или непосредственно перед завершением процесса Zeek, а также в результате чего-либо, происходящего в анализируемой сети (или файле трассировки), например, Zeek, наблюдающий HTTP-запрос или новое TCP-соединение. Zeek использует общие порты и динамическое обнаружение протоколов (включая сигнатуры, а также поведенческий анализ), чтобы сделать наилучшее предположение при интерпретации сетевых протоколов. События нейтральны с точки зрения политики в том смысле, что они не являются хорошими или плохими, а просто сигнализируют сценарию, что что-то произошло.
События обрабатываются сценариями политик, которые анализируют события для создания политик действий. Скрипты написаны на языке сценариев Turing complete Zeek. По умолчанию Zeek просто записывает информацию о событиях в файлы (Zeek также поддерживает запись событий в двоичном формате); однако его можно настроить для выполнения других действий, таких как отправка электронного письма, создание предупреждения, выполнение системной команды, обновление внутренней метрики и даже вызов другого скрипта Zeek. Поведение по умолчанию создает выходные данные, подобные NetFlow (журнал подключений), а также информацию о событиях приложения. Скрипты Zeek могут считывать данные из внешних файлов, таких как черные списки, для использования в скриптах политики Zeek.
Большинство анализаторов Zeek размещены в механизме обработки событий Zeek с сопутствующим сценарием политики. Сценарий политики может быть изменен пользователем. Анализаторы выполняют декодирование прикладного уровня, обнаружение аномалий, сопоставление сигнатур и анализ соединения. Zeek был разработан так, чтобы легко включать дополнительные анализаторы. Некоторые анализаторы прикладного уровня, включенные в Zeek, включают в себя HTTP, FTP, SMTP и DNS. К другим анализаторам, не относящимся к прикладному уровню, относятся анализаторы, обнаруживающие сканирование хоста или порта, промежуточные хосты и син-лавинные потоки. Zeek также включает обнаружение сигнатур и позволяет импортировать сигнатуры Snort.
