Зик - Zeek

Зик
Оригинальный автор (ы)Верн Паксон
Стабильный выпуск
3.2.2[1] / 7 октября 2020; 47 дней назад (7 октября 2020 г.)
Репозиторий
Отредактируйте это в Викиданных
Написано вC ++
Операционная системаLinux, FreeBSD, macOS
ТипСистема обнаружения сетевых вторжений
ЛицензияЛицензия BSD
Интернет сайтзик.org Отредактируйте это в Викиданных

Зик (ранее Братан)[2] это бесплатное программное обеспечение с открытым исходным кодом структура сетевого анализа; он был впервые разработан в 1994 г. Верн Паксон и первоначально был назван со ссылкой на Джордж Оруэлл с Большой брат из его романа Девятнадцать восемьдесят четыре. Его можно использовать как система обнаружения сетевых вторжений (NIDS), но с дополнительным анализом сетевых событий в реальном времени.[3] Выпускается под Лицензия BSD.

Архитектура приложения Zeek

IP-пакеты, захваченные с помощью pcap передаются механизму событий, который принимает или отклоняет их. Принятые пакеты пересылаются интерпретатору сценария политики.

Механизм событий анализирует текущий или записанный сетевой трафик или файлы трассировки для генерации нейтральных событий. Он генерирует события, когда «что-то» происходит. Это может быть вызвано процессом Zeek, например, сразу после инициализации или непосредственно перед завершением процесса Zeek, а также из-за чего-то, что происходит в анализируемой сети (или файле трассировки), например, при обнаружении Zeek HTTP-запроса или новое TCP-соединение. Zeek использует общие порты и динамическое обнаружение протоколов (включая сигнатуры, а также поведенческий анализ), чтобы сделать наилучшее предположение при интерпретации сетевых протоколов. События нейтральны с точки зрения политики в том смысле, что они не являются хорошими или плохими, а просто сигнализируют сценарию, что что-то произошло.

События обрабатываются сценариями политик, которые анализируют события для создания политик действий. Скрипты написаны на Тьюринг завершен Язык сценариев Zeek. По умолчанию Zeek просто записывает информацию о событиях в файлы (Zeek также поддерживает запись событий в двоичном формате); однако его можно настроить для выполнения других действий, таких как отправка электронного письма, создание предупреждения, выполнение системной команды, обновление внутренней метрики и даже вызов другого скрипта Zeek. Поведение по умолчанию производит Поток данных, передающихся по сети -подобный вывод (журнал подключений), а также информация о событиях приложения. Скрипты Zeek могут считывать данные из внешних файлов, таких как черные списки, для использования в скриптах политик Zeek.

Анализаторы Zeek

Большинство анализаторов Zeek расположены в механизме обработки событий Zeek с сопутствующим сценарием политики. Сценарий политики может быть изменен пользователем. Анализаторы выполняют декодирование прикладного уровня, обнаружение аномалий, сопоставление сигнатур и анализ соединений.[4] Zeek был разработан так, чтобы легко включать дополнительные анализаторы. Некоторые анализаторы прикладного уровня, включенные в Zeek, среди прочего включают HTTP, FTP, SMTP и DNS. К другим анализаторам, не относящимся к прикладному уровню, относятся анализаторы, обнаруживающие сканирование хоста или портов, промежуточные хосты и син-флуд. Zeek также включает обнаружение сигнатур и позволяет импортировать сигнатуры Snort.

Рекомендации

  1. ^ «Выпуск 3.2.2». 7 октября 2020 г.. Получено 20 октября 2020.
  2. ^ Паксон, Верн (11 октября 2018 г.). "Переименование проекта Bro".
  3. ^ Маккарти, Рональд. "Bro IDS» ADMIN Magazine ". Журнал ADMIN. Получено 2018-07-11.
  4. ^ Соммер, Робин (2003). «Братан: система обнаружения вторжений в сеть с открытым исходным кодом». Мюнхен, Германия: Департамент компьютерных наук TU München. CiteSeerX  10.1.1.60.5410. Цитировать журнал требует | журнал = (помощь)

внешняя ссылка