流量监控分析工具-ZEEK

最新推荐文章于 2025-10-31 13:55:07 发布
原创 最新推荐文章于 2025-10-31 13:55:07 发布 · 3.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Zeek是一个开源的网络流量分析器,广泛用于网络安全监控和流量分析任务。它提供丰富的日志记录,包括应用程序层记录,支持HTTP、DNS、SSL等多个方面的详细信息。此外,Zeek内置多种分析和检测功能,如文件提取、恶意软件检测等,并拥有可扩展的脚本语言。Zeek可在商品硬件上运行,适用于高速网络监控,并支持集群部署以适应高性能设置。它主要用于事务数据和提取内容的收集,是安全团队理解网络流量的重要工具。

0x01 About ZEEK

0x01a 什么是zeek

Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。

新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI密钥标头MIME类型服务器响应带回复的DNS请求SSL证书SMTP会话的关键内容,以及更多。默认情况下,Zeek将所有这些信息写入结构良好的制表符分隔或JSON日志文件中,这些文件适合使用外部软件进行后处理。用户还可以选择让外部数据库或SIEM产品使用,存储,处理和显示数据以进行查询。

除了日志外,Zeek还具有用于一系列分析和检测任务的内置功能,包括:

  1. 从HTTP会话中提取文件
  2. 通过与外部注册表进行接口来检测恶意软件
  3. 报告网络上可见的易受攻击的软件版本
  4. 识别流行的网络应用程序
  5. 检测SSH暴力破解
  6. 验证SSL证书链

除了“开箱即用”提供如此强大的功能外,Zeek还是一个完全可定制且可扩展的流量分析平台。Zeek为用户提供了一种特定于域的图灵完备的脚本语言,用于表达任意分析任务。将Zeek语言视为“特定于域的Python”(或Perl):就像Python一样,该系统具有大量的预建功能(“标准库”),但用户也可以使用Zeek通过编写自定义代码以新颖的方式。实际上,Zeek的所有默认分析(包括日志记录)都是通过脚本完成的。没有将具体的分析硬编码到系统

最低0.47元/天 解锁文章
senjy7
关注
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 3603
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 9377
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
必备!20款开源网络安全工具推荐
Galaxy_0的博客
12-09 1624
一些热门开源安全工具通常由充满热情的志愿者开发和维护,并定期更新和改进,能够紧跟不断变化的威胁发展态势,具备了较好的成本效益和应用灵活性。本文Zeek的前身为Bro,是一款性能良好的开源网络安全监控工具,可以实时分析网络流量,帮助用户监测网络活动、安全威胁和运行性能。Zeek是一款被动网络嗅探器,因此不会生成任何流量干扰网络正常运行。它可以用于监控包括HTTP、SMTP、DNS和SSH的众多网络协议,还可以检测和警报恶意软件、僵尸网络和拒绝服务攻击等安全威胁。
Zeek网络安全分析框架深入体验
weixin_35756130的博客
05-18 1166
网络安全领域随着技术的不断进步而演变,面临的挑战也日益复杂。恶意攻击、数据泄露等事件频发,让网络的安全防护变得更加重要。随着传统防御技术的局限性逐渐暴露,网络安全从业者开始寻求更加智能、灵活的解决方案。在面对复杂多变的网络环境时,可能需要分析一些非标准或自定义协议。Zeek支持用户定义协议解析器,通过编写解析逻辑来处理这些特定的流量。以下是创建一个简单的用户自定义协议解析器的基本步骤:定义新协议的事件类型:在Zeek脚本中声明新的事件类型,用于描述自定义协议的关键数据结构。
安全监控工具Zeek(Bro)的网络流量分析
最新发布
2501_93893240的博客
10-31 239
的组合,为安全团队提供细粒度的网络行为洞察,日均处理能力可达TB级流量,是现代SOC体系的核心组件。
zeek之部署安装
zz2230633069的博客
01-19 9809
一、安装依赖 RPM/基于RedHat的Linux(CentOS7是这个版本): sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel DEB/基于Debian的 Linux: sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python
zeek:一款流量分析探针
猪肉炖白菜
09-25 2012
关于Zeek日志文件的介绍,方便你了解zeekZeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。.........
网络流量分析 | Zeek(上)
weixin_43831376的博客
05-17 1610
Zeek 是一个开源且商用的网络监控流量分析工具,许多的运维人员将 Zeek 作为网络安全监控器(Network Security Monitor,NSM),以支持可疑或恶意活动的调查。在安全领域之外,Zeek 还可被用于各种流量分析,包括性能测量和故障排除。而在开始接触 Zeek 之前,需要先简单区分一下网络监控(Network Monitoring)和网络安全监控(Network Security Monitoring)。
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 5631
强大的网络流量分析工具 ZEEK
bro流量分析(改名zeek)ips,ids
sun007700的专栏
03-21 1020
流量分析的瑞士军刀:Zeek - FreeBuf网络安全行业门户 bro流量分析(改名zeek- babyth - 博客园 bro在计算机取证方面具有十分有效的作用。它可以通过pcap包来获取入侵者留下的痕迹。 Bro Snort Wireshark&Tshark 优势 高级的 异常检测 正则表达式,签名 流量分析 关注数据 连接对象, 事件 数据包, 数据流 协议剖析 可编程性.
22、Zeek网络流量分析工具全解析
7z8x2c4v6b9的博客
09-12 185
本文全面解析了Zeek网络流量分析工具的原理和使用方法。Zeek是一款功能强大的被动式开源网络流量分析器,广泛用于网络安全监控、入侵检测和流量分析。文章从Zeek的基本概念、事件引擎和策略脚本解释器的工作机制入手,详细介绍了如何通过ZeekControl启动和管理Zeek实例,并结合离线和实时流量分析的实践操作,展示了Zeek在实际网络环境中的应用。此外,还涵盖了Mininet模拟网络拓扑、tcpdump捕获流量、日志分析等关键步骤,为读者提供了一套完整的Zeek使用指南。无论是初学者还是网络安全专业人员,
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
CTF中的网络流量分析工具、技术与实战案例
weixin_65409651的博客
08-26 2326
网络流量分析是一项通过捕获和检查网络数据包来解析网络活动的技术。分析者可以识别网络中的恶意活动、异常行为或数据泄露等问题。网络流量分析在CTF竞赛中常用于重建网络攻击过程、提取敏感数据、识别命令与控制(C2)通信等任务。
深入了解Zeek:网络流量分析与安全监控利器
Zeek是一款被动式的开源网络流量分析器,主要用作安全监控工具,它会检查网络链路上的所有流量,以发现可疑活动的迹象。Zeek可以在基于标准UNIX系统的通用硬件上运行,可作为被动式网络监控工具使用。在受监控的网络...
Zeek 网络流量分析和安全监控框架-搭建教程
Gyingxm的博客
07-25 1259
选择下载Linux Binaries选择添加软件源并手动安装,指的是复制命令行执行。下面的命行永远安装最新的LTS版本的zeek,对应的系统版本是CenTOS7。
强大的zeek流量分析工具安装与使用
kuokay的博客
03-31 2052
Zeek(原名Bro)是一款开源的网络流量分析框架,专注于实时网络监控、安全检测与协议分析。它不仅是入侵检测系统(IDS),更是一个强大的网络取证和威胁狩猎平台。Zeek运行时生成的日志默认存储在 /opt/zeek/logs/current/(默认安装路径)中,每个文件对应不同的协议或分析模块。文件名描述conn.log所有网络连接记录(IP、端口、协议、流量大小、持续时间等)http.logHTTP请求详情(URL、请求方法、User-Agent、状态码、MIME类型等)dns.log。
zeek系列之:流量数据采集流量探针zeek安装部署
热门推荐
g5703129的博客
08-11 1万+
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安全监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
Zeek实战—快速构建流量安全能力
lpx1249115962的博客
02-15 1283
使用大数据分析可以对网络流量进行多维度的侧写,识别正常或异常的网络行为,提升网络安全人员识别风险的能力。更进一步地说,通过对网络流量的充分了解、分析,可以使组织的网络安全逐渐形成态势感知的能力,从而进一步提高组织的安全水平。分析网络流量不仅能识别网络中承载的实际业务,还能够提前识别、发现网络中的恶意行为,而这些都对网络安全有着实际且重要的作用。指连接在网络中的、能够产生或消费网络流量的软/硬件系统,是网络流量在正常情况下的起点或终点。指能够决定网络流量流动方式的软/硬件系统,是是网络流量的中转点。
(zeek流量分析)在日志中使用中文
qq_18108421的博客
11-15 1518
(zeek流量分析)在日志中使用中文 在zeek的最新版本(3.0.0)中,新增加了对UTF-8的支持,使得日志中可以出现中文字符 具体效果如下: 使用方法如下: 1.获取相应日志流的filter对象,或者新建一个filter对象: 2.配置filter对象的config属性 3.重新给目标日志流添加filter对象 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值