Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1402

Zeek

审核人Cybersecurity entrepreneur & security researcher

Zeek 是什么?

Zeek开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。


Zeek 由 Vern Paxson 在 LBNL 于 1995 年以 Bro 之名创建,是一款开源的网络安全监控工具。它将大流量解析为结构化日志(conn、http、dns、ssl、kerberos、files 等),并提供事件驱动的强大脚本语言。与纯签名型 IDS 不同,Zeek 更强调行为、基线与协议语义,因此非常适合 SOC 分析、事件响应、威胁猎捕与科研。它常部署在企业、ISP 和高校网络的镜像点,并可与 Suricata、SIEM 及 Corelight 等平台集成。运营者通过 Zeek 脚本丰富数据、触发 notice 并向下游检测管线输送线索。

示例

  1. 01

    通过 Zeek 的 conn.log 与 ssl.log 检测异常 TLS 服务器名,识别 C2 的域前置行为。

  2. 02

    编写 Zeek 脚本,对外发的超大 DNS 响应进行告警,识别 DNS 隧道。

常见问题

Zeek 是什么?

开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。 它属于网络安全的 防御与运营 分类。

Zeek 是什么意思?

开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。

如何防御 Zeek?

针对 Zeek 的防御通常结合技术控制与运营实践,详见上方完整定义。

Zeek 还有哪些其他名称?

常见的别称包括: Bro, Zeek NSM, Corelight。

相关术语

另见