Zeek FlowMeter 使用与安装指南

于 2024-09-12 07:39:01 发布
阅读量304 收藏 3
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00600/article/details/142156689
版权

Zeek FlowMeter 使用与安装指南

zeek-flowmeter A Zeek script to generate features based on timing, volume and metadata for traffic classification. zeek-flowmeter 项目地址: https://gitcode.com/gh_mirrors/ze/zeek-flowmeter

项目目录结构及介绍

Zeek FlowMeter 是一个基于 Zeek 的脚本,用于从网络流量中提取基于时间、体积和元数据的特征,适用于不依赖深度包检查的流量分类模型开发。以下是该项目的基本目录结构及其简介:

.
├── LICENSE          # 许可证文件
├── README.md        # 项目说明文件,包含概述和快速入门指导
├── zkg              # Meta 包相关文件夹(可能是用于管理 Zeek 插件的工具相关)
└── scripts         # 核心脚本和模块存放目录
    ├── flowmeter     # 主要的 Zeek 脚本文件夹
        ├── flowmeter.zeek  # 主脚本,实现特征提取逻辑
        └── ...           # 可能还包含其他辅助脚本或配置

: scripts 目录下包含了核心的 flowmeter.zeek 脚本,是实现功能的关键。

项目的启动文件介绍

在 Zeek FlowMeter 中,并没有一个直接的“启动文件”,而是通过 Zeek 引擎来加载和执行其脚本。启动 Zeek 并使用 FlowMeter 通常涉及以下命令行操作:

zeek flowmeter -r your.pcap

这里 flowmeter 实际上是指向项目中的 Zeek 脚本,而 -r your.pcap 参数用于指定分析的 PCAP 文件。

若要集成到本地 Zeek 配置中,需编辑 Zeek 的配置文件并加入对 FlowMeter 的加载指令,例如在 <zeekscriptdir>/site/local.zeek 文件中添加 @load flowmeter

项目的配置文件介绍

FlowMeter 的配置主要是通过 Zeek 的重定义(redefine)机制来完成的,而不是一个独立的配置文件。这意味着用户可以在 Zeek 的配置文件中或者直接通过命令行参数调整 FlowMeter 的行为。例如:

  • 在配置文件中更改参数:

    # 在任意 Zeek 配置文件(如 site.local.zeek)中添加以下行来改变默认设置
redefine FlowMeter::bulk_min_length = 3;

  • 或者通过命令行:

    zeek -C "redefine FlowMeter::bulk_min_length = 3;" flowmeter -r your.pcap

主要可配置参数包括 FlowMeter::bulk_min_length, FlowMeter::bulk_timeout, 等,它们控制了子流识别、传输块处理等关键行为的阈值。

小结

Zeek FlowMeter 的使用围绕着 Zeek 的运行环境进行,通过脚本和配置选项来控制其行为。了解这些基本元素是成功部署和利用 FlowMeter 特征提取能力的关键。确保遵循正确的路径安装和配置脚本,以及理解如何通过 Zeek 的机制自定义参数,对于优化流量分析至关重要。

zeek-flowmeter A Zeek script to generate features based on timing, volume and metadata for traffic classification. zeek-flowmeter 项目地址: https://gitcode.com/gh_mirrors/ze/zeek-flowmeter

尚绮令Imogen
关注
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的...
zeek流量分析工具安装使用
hxhabcd123的博客
02-21 5855
本文档记录流量分析工具 zeek安装过程以及如何使用它来分析 pcap 流量文件
流量监控分析工具-ZEEK
single7_的博客
05-01 2575
0x01 About ZEEK 0x01a 什么是zeek Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 3094
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 8989
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安全监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
zeek基本事件
Kagamigawa Noelle
08-30 752
base/bif/event.bif.bro 原文链接 这里列举独立于协议的事件(部分与TCP和UDP有关)。 OS_version_found 当发现操作系统时产生,与p0f有关 anonymization_mapping 匿名映射?deprecated,不知道什么意思 bro_done bro脚本执行结束 bro_init bro脚本开始执行 bro_script_loaded 脚...
流量分析的瑞士军刀:Zeek
qq_40907977的博客
05-15 1833
介绍 Zeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析。本文主要是将 Zeek 结合被动扫描器的一些实践的介绍,以及 Zeek 部署的踩过的一些坑。 地址 :https://github.com/hardenedlinux/hardenedlinux-zeek-script 安装 Zeek安装还是比较简单的,笔者主要是在 Mac 上以及 Linux 上安装。这两个操作
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。入门查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分...
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
Zeek分析工具(ZAT) ZAT Python软件包支持使用Pandas,scikit-learn和Spark处理和分析Zeek数据安装$ pip install zat入门在Raspberry Pi上安装!最近的改进大日志文件的更快/更小熊猫的数据帧:更好的熊猫数据框到...
docker-zeek:Zeek IDS Dockerfile
05-06
docker imagesREPOSITORY TAG SIZEblacktop/zeek latest 41.6MBblacktop/zeek 3.2 41.6MBblacktop/zeek 3.1 39MBblacktop/zeek 3.0 39MBblacktop/zeek elastic 102MBblacktop/zeek kafka 47.2MBblacktop/zeek ...
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing ...
多台三相逆变器并联(本模型为三台并联,市面上多为两台并联)matlab simulink仿真 功能:实现并联系统中各逆变器输出
最新发布
10-09
多台三相逆变器并联(本模型为三台并联,市面上多为两台并联)matlab simulink仿真。 功能:实现并联系统中各逆变器输出功率均分。 (有能力的话还可以研究下垂特性、功率指令以及静态功工作点三者之间的联系) 控制策略:VSG控制策略(同步机控制) 逆变器主电路:三相逆变器,LCL滤波电路,VSG控制模块。 VSG控制模块:定、转子方程,dq变,电压电流双闭环,预同步,pwm发生器。
Ringtones波点音乐-《Lightning Moment》.mp3
10-09
Ringtones波点音乐-《Lightning Moment》.mp3
onnx2onnx-0.3.1.tar.gz
10-09
onnx2onnx-0.3.1.tar
网页商城系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
10-09
网页商城系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
实现卡尔曼滤波器,扩展卡尔曼滤波器,双卡尔曼滤波器和平方根卡尔曼滤波器Matlab代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
RATIONALYST:预训练过程监督改进推理机制
10-09
内容概要:RATIONALYST 是一种预训练推理模型,旨在改进大型语言模型(LLMs)在处理数学、常识、科学和逻辑推理等多种任务时的表现。通过对来自大规模未标注数据集中提取的隐含推理论据进行训练,解决了传统模型在模拟日常沟通中的逻辑跳跃而带来的推理由不足的问题。相较于现有的同类系统,如GPT-4及其他相同大小或更大的验证模型,RATIONALYST 在七个典型的基准测试上表现得更好。 适合人群:自然语言处理研究员与高级工程师。 使用场景及目标:研究者可以利用 RATIONALYST 提高对复杂语言和逻辑的理解能力,从而在不同的应用场景下提升系统的准确度和稳定性。 其他说明:本论文还附带发布了 GitHub 上该项目的所有代码,可供下载用于继续探索或者作为教学材料帮助相关人员更好地理解这一新的方法和技术路径。
STM32F1 HAL库定时器输入捕获代码
10-09
STM32F1 HAL库定时器输入捕获代码
可持续发展数据库的决策边界可视化(LUsvm-3.23)matlab代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
windows安装zeek
09-26
在Windows上安装Zeek (前身为Bro) 需要一些额外步骤,因为它是基于Unix-like环境的工具,而Windows不是其官方支持平台。以下是简要的安装流程: 1. **安装MinGW**: - Zeek需要一个兼容的Unix环境才能运行。MinGW...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尚绮令Imogen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值