开源流量分析工具-Zeek的安装和使用

Posted Cyber Security

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源流量分析工具-Zeek的安装和使用相关的知识,希望对你有一定的参考价值。

Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题。

zeek架构

Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。
 
新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容,以及更多。默认情况下,Zeek将所有这些信息写入结构良好的制表符分隔或JSON日志文件中,这些文件适合使用外部软件进行后处理。用户还可以选择让外部数据库或SIEM产品使用,存储,处理和显示数据以进行查询。
 
除了日志外,Zeek还具有用于一系列分析和检测任务的内置功能,包括:
 
    1.从HTTP会话中提取文件
    2.通过与外部注册表进行接口来检测恶意软件
    3.报告网络上可见的易受攻击的软件版本
    4.识别流行的网络应用程序
    5.检测SSH暴力破解
    6.验证SSL证书链
 
在很高的层次上,Zeek在体系结构上分为两个主要组件。它的事件引擎(或核心)将传入的数据包流减少为一系列更高级别的事件。这些事件以与策略无关的方式反映了网络活动,即,它们描述了已看到的内容,而不是原因或意义是否重大。
 
例如,线路上的每个HTTP请求都变成一个相应的 http_request事件,该事件带有所涉及的IP地址和端口,所请求的URI以及所使用的HTTP版本。但是,该事件未传达任何进一步的解释,例如该URI是否对应于已知的恶意软件站点。
 
事件引擎组件包括多个子组件,特别是包括以下内容的包处理管道:输入源,包分析,会话分析和文件分析。输入源从网络接口摄取传入的网络流量。数据包分析处理较低级别的协议,从链路层一直开始。会话分析处理应用程序层协议,例如HTTP,FTP等。文件分析剖析了通过会话传输的文件的内容。事件引擎提供了一个插件架构,可以从Zeek核心代码库的外部添加其中的任何一个,从而可以根据需要扩展Zeek的功能。
 
与事件相关的语义是由Zeek的第二个主要组件脚本解释器派生的,该脚本解释器执行一组用Zeek的自定义脚本语言编写的事件处理程序。这些脚本可以表示站点的安全策略,例如,当监视器检测到不同类型的活动时要采取的操作。
 
更一般而言,脚本可以从输入流量中得出任何所需的属性和统计信息。实际上,Zeek的所有默认输出都来自发行版中包含的脚本。Zeek的语言带有广泛的特定于域的类型和支持功能。至关重要的是,Zeek的语言允许脚本随时间保持状态,从而使脚本能够跟踪并关联跨连接和主机边界观察到的内容的演变。Zeek脚本可以生成实时警报,还可以根据需要执行任意外部程序。人们可能会使用此功能来触发对攻击的主动响应。

 

以上是关于开源流量分析工具-Zeek的安装和使用的主要内容,如果未能解决你的问题,请参考以下文章

Clickhouse(流量分析(三).路径分析案例)

Memsniff:一款开源的memcached流量分析工具

Android应用流量测试

分析网络流量工具

Goreplay开源工具的介绍,安装及使用 (Linux)

流量回放工具之 goreplay 核心源码分析