Zeek網(wǎng)絡(luò)流量分析和安全監(jiān)控框架

Zeek 是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)分析框架，它與我們知道的典型 IDS 大不相同。

Zeek 在關(guān)注網(wǎng)絡(luò)安全監(jiān)控的同時(shí)，也為更通用的網(wǎng)絡(luò)流量分析提供了一個(gè)全面的平臺(tái)。

特性：

• 深度分析：Zeek 附帶了許多協(xié)議的分析器，支持應(yīng)用層的高級(jí)語(yǔ)義分析
• 具有適應(yīng)性和靈活性： Zeek 的特定域腳本語(yǔ)言支持站點(diǎn)特定的監(jiān)視策略，并意味著它不限于任何特定的檢測(cè)方法。
• 高效： Zeek 以高性能網(wǎng)絡(luò)為目標(biāo)，在各種大型站點(diǎn)上運(yùn)行
• 高度穩(wěn)定：Zeek 對(duì)它監(jiān)視的網(wǎng)絡(luò)保持廣泛的應(yīng)用層狀態(tài)，并提供網(wǎng)絡(luò)活動(dòng)的高級(jí)存檔。

 使用方式：

在所有依賴項(xiàng)準(zhǔn)備就緒后，構(gòu)建和安裝：

./configure && make && sudo make install

寫(xiě)你的第一個(gè) Zeek 腳本：

# File "hello.zeek"

event zeek_init()
    {
    print "Hello World!";
    }

運(yùn)行它：

zeek hello.zeek