简介
Zeek(bro) 是一款被动的开源网络流量分析器,它的主要用作一种安全监视器,可以对链接上的所有流量进行深入检查,并且生成大量的日志文件,以便于查找可疑活动的迹象。
部署Zeek后得到的这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容。
我们选择使用Zeek而不是传统IDS的原因是因为Zeek更加灵活,可以进行定制和扩展。Zeek的脚本语言支持在UNIX系统上用不同的方法去查找可疑活动,包括语义滥用检测,异常检测和行为分析。
Docker – Zeek
我们这里选择把Zeek安装到Docker上,是考虑到客户进行这个功能更新时,是无法连接到网络的,所以我们尽可能让客户不在线安装包,把Zeek嵌入docker,做好Docker镜像配置即可。
Docker 是一款使用者通过容器(container)开发,部署,运行应用的平台。这里面我们需要做一个Docker的镜像并且安装Zeek的容器。
Zeek安装
这里我们使用github上开源的Zeek Docker,它实现了自动把Zeek编译并且安装在docker的库中。
- 首先,我们需要安装一个docker, 具体的安装流程 在https://docs.docker.com/engine/install/ 对于不一样的系统,都有对应的案例。
- 第二步,获取github上的开源