Entry № 1402
Zeek
Zeek 是什么?
Zeek开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。
Zeek 由 Vern Paxson 在 LBNL 于 1995 年以 Bro 之名创建,是一款开源的网络安全监控工具。它将大流量解析为结构化日志(conn、http、dns、ssl、kerberos、files 等),并提供事件驱动的强大脚本语言。与纯签名型 IDS 不同,Zeek 更强调行为、基线与协议语义,因此非常适合 SOC 分析、事件响应、威胁猎捕与科研。它常部署在企业、ISP 和高校网络的镜像点,并可与 Suricata、SIEM 及 Corelight 等平台集成。运营者通过 Zeek 脚本丰富数据、触发 notice 并向下游检测管线输送线索。
● 示例
- 01
通过 Zeek 的 conn.log 与 ssl.log 检测异常 TLS 服务器名,识别 C2 的域前置行为。
- 02
编写 Zeek 脚本,对外发的超大 DNS 响应进行告警,识别 DNS 隧道。
● 常见问题
Zeek 是什么?
开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。 它属于网络安全的 防御与运营 分类。
Zeek 是什么意思?
开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。
如何防御 Zeek?
针对 Zeek 的防御通常结合技术控制与运营实践,详见上方完整定义。
Zeek 还有哪些其他名称?
常见的别称包括: Bro, Zeek NSM, Corelight。