Zeek 技术介绍与应用:

最新推荐文章于 2024-05-11 13:16:09 发布
最新推荐文章于 2024-05-11 13:16:09 发布
阅读量5.8k 收藏 8
点赞数
文章标签: docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChiWu98/article/details/107517574
版权
本文介绍了Zeek(Bro)网络流量分析器的特性,以及如何利用Docker进行部署。Zeek能够生成丰富的日志文件,用于安全监控。通过Docker安装Zeek避免了在线安装的问题,文章详细阐述了Docker镜像的创建和Zeek解析pcap文件的过程,还提到了如何通过脚本扩展Zeek的功能,以获取更详细的网络活动信息。
摘要由CSDN通过智能技术生成

简介

Zeek(bro) 是一款被动的开源网络流量分析器,它的主要用作一种安全监视器,可以对链接上的所有流量进行深入检查,并且生成大量的日志文件,以便于查找可疑活动的迹象。
部署Zeek后得到的这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容。
我们选择使用Zeek而不是传统IDS的原因是因为Zeek更加灵活,可以进行定制和扩展。Zeek的脚本语言支持在UNIX系统上用不同的方法去查找可疑活动,包括语义滥用检测,异常检测和行为分析。

Docker – Zeek

我们这里选择把Zeek安装到Docker上,是考虑到客户进行这个功能更新时,是无法连接到网络的,所以我们尽可能让客户不在线安装包,把Zeek嵌入docker,做好Docker镜像配置即可。
Docker 是一款使用者通过容器(container)开发,部署,运行应用的平台。这里面我们需要做一个Docker的镜像并且安装Zeek的容器。

Zeek安装

这里我们使用github上开源的Zeek Docker,它实现了自动把Zeek编译并且安装在docker的库中。

  1. 首先,我们需要安装一个docker, 具体的安装流程 在https://docs.docker.com/engine/install/ 对于不一样的系统,都有对应的案例。
  2. 第二步,获取github上的开源
最低0.47元/天 解锁文章
Chi 吴家奇
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
流量监控分析工具-ZEEK
single7_的博客
05-01 2416
0x01 About ZEEK 0x01a 什么是zeek Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4465
强大的网络流量分析工具 ZEEK
2024年最全zeek学习(三)——包获取_zeek pktdumper,【深夜思考】
最新发布
2401_84904355的博客
05-11 882
所有分析器都派生自类Analyzer。我们将 分析器树与每个连接相关联,它反映了数据包分析期间的数据流,分析器根据哪些分析器执行其分析。每个数据包首先被传递到树的根节点,该根节点将其(可能转换的)输入传递给它的所有子节点。每个孩子依次将数据传递给其继任者。根节点必须始终是类型。例如TCPUDP和ICMP分析器。应用层分析器要么派生自(对于TCP 协议),要么派生自通用Analyzer类(对于所有非TCP 协议)。当连接开始时,初始分析器树由全局实例化。初始树始终包含相应的。
zeek简述(一)
zz2230633069的博客
01-13 9355
概述 Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题。 Zeek并不是传统意义上的基于特征的入侵检测系统(IDS)。 许多地方部署Zeek是为了保护它们的网络基础设施。Zeek主要关注于高速率、大流量的网络监测。 Zeek的管理框架——ZeekControl——支持开箱即用的集群配置。 图灵机:是图灵在论文中提出的数学模型。论文描述了它是什么,并且证
zeek语法
zz2230633069的博客
02-07 4422
zeek语法全教程,详细讲解附带例子
zeek:一款流量分析探针
猪肉炖白菜
09-25 1418
关于Zeek日志文件的介绍,方便你了解zeekZeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。.........
Zeek-Intelligence-Feeds:Zeek格式的威胁情报源
02-12
带组合指示灯的Zeek英特尔威胁源 这是基于“公共威胁源”和“关键路径安全”收集的数据的公共源。 此提要将尽可能频繁地更新。 入门 这些说明将使您可以启动并运行项目。 依存关系 ZEEK 3.0或更高 正在安装 安装Zeek...
zeek:ZooKeeper 命令行应用程序
07-02
Zeek:用于笼养动物的 Zookeeper CLI! Z 和 K 用于 ,E 只是为了好玩。 摆脱配置的束缚。 Zeek 是一个 ZooKeeper 命令行应用程序,可以轻松查看所有这些笼子中的内容。 这个 CLI 在 ZSH 中效果最好。 打开 - ...
zeek_anomaly_detector:ZeekBro 中 conn.log 文件的异常检测器。 全自动
05-29
zeek_anomaly_detector zeek / bro的conn.log文件的异常检测器。 它使用 Zeek 分析工具 (ZAT) 加载文件和 pyod 模型。 它是完全自动化的,因此您只需提供文件即可输出异常流。 默认情况下使用PCA模型。依存关系请...
zeek-exporter:普罗米修斯出口商的Zeek
03-14
Zeek Prometheus出口商 这是一个Zeek插件,它将实时跟踪性能和运行状况指标,并运行可被抓取的Web服务器。 概述 安装 安装套件 $ zkg install zeek-exporter 配置绑定和刮取 脚本将为每个节点分配唯一的端口。 ...
docker-zeek:Zeek IDS Dockerfile
05-06
网络安全监视器Dockerfile 目录执照 依存关系高山:3.12 图片标签$ docker imagesREPOSITORY TAG SIZEblacktop/zeek latest 41.6MBblacktop/zeek 3.2 41.6MBblacktop/zeek 3.1 39MBblacktop/zeek 3.0 39MBblacktop/...
zeek_3.0.8
02-26
Zeek网络安全监视器 一个的网络流量分析和安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用的资源。 您可以在找到发行说明,并在中找到所有更改的完整记录。 要使用Zeek开发分支的最新代码,请克隆主git存储库: git clone --recursive https://gith
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
Zeek分析
zz2230633069的博客
02-25 2980
使用zeek直接解析pcap包: zeek -Cr mysql_complete.pcap -e 'redef LogAscii::use_json=T;' 其中-e 'redef LogAscii::use_json=T;'表示将log文件内容以json形式输出。
zeek使用
weixin_47288838的博客
12-11 1055
这种错误在许多系统中会发生,因为存在一个名为“checksum offloading”的功能,但这并不会影响我们的分析。这个命令会显示捕获文件中的每个数据包的详细信息,包括源IP地址、目标IP地址、源端口、目标端口等。通过这些信息,你可以分析网络通信中的各种情况,比如了解哪些主机在通信、它们之间交换的数据包类型以及通信的协议等。它可以显示网络数据包的详细信息,如源IP地址、目标IP地址、端口号、协议类型等,并允许用户在捕获数据包的同时应用一些过滤条件来选择特定的流量进行分析。命令来显示每个日志的内容。
20款经济高效的开源网络安全工具推荐
2302_76672693的博客
10-06 344
20款经济高效的开源网络安全工具推荐
zeek集群简述
zz2230633069的博客
02-03 737
zeek集群简述
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 2938
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
zeek(bro) 脚本学习 一
lepton126的专栏
10-18 2334
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
Centos7 zeek安装
07-27
要在CentOS 7上安装Zeek,您可以按照以下步骤进行操作: 1. 更新系统: ``` sudo yum update ``` 2. 安装依赖项: ``` sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel ``` 3. 下载Zeek源代码: ``` wget https://download.zeek.org/zeek-4.0.1.tar.gz ``` 4. 解压缩源代码包: ``` tar -xf zeek-4.0.1.tar.gz cd zeek-4.0.1/ ``` 5. 配置和编译Zeek: ``` ./configure make sudo make install ``` 6. 添加Zeek到系统路径中: ``` echo 'export PATH=/usr/local/zeek/bin:$PATH' >> ~/.bashrc source ~/.bashrc ``` 7. 验证Zeek是否安装成功: ``` zeek --version ``` 如果显示Zeek的版本信息,则表示安装成功。 请注意,上述步骤是基于CentOS 7的安装过程,并且假设您已经具有适当的权限来执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值