Zeek
Zeek 是什么?
Zeek开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。
Zeek 由 Vern Paxson 在 LBNL 于 1995 年以 Bro 之名创建,是一款开源的网络安全监控工具。它将大流量解析为结构化日志(conn、http、dns、ssl、kerberos、files 等),并提供事件驱动的强大脚本语言。与纯签名型 IDS 不同,Zeek 更强调行为、基线与协议语义,因此非常适合 SOC 分析、事件响应、威胁猎捕与科研。它常部署在企业、ISP 和高校网络的镜像点,并可与 Suricata、SIEM 及 Corelight 等平台集成。运营者通过 Zeek 脚本丰富数据、触发 notice 并向下游检测管线输送线索。
● 示例
- 01
通过 Zeek 的 conn.log 与 ssl.log 检测异常 TLS 服务器名,识别 C2 的域前置行为。
- 02
编写 Zeek 脚本,对外发的超大 DNS 响应进行告警,识别 DNS 隧道。
● 常见问题
Zeek 是什么?
开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。 它属于网络安全的 防御与运营 分类。
Zeek 是什么意思?
开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。
Zeek 是如何工作的?
Zeek 由 Vern Paxson 在 LBNL 于 1995 年以 Bro 之名创建,是一款开源的网络安全监控工具。它将大流量解析为结构化日志(conn、http、dns、ssl、kerberos、files 等),并提供事件驱动的强大脚本语言。与纯签名型 IDS 不同,Zeek 更强调行为、基线与协议语义,因此非常适合 SOC 分析、事件响应、威胁猎捕与科研。它常部署在企业、ISP 和高校网络的镜像点,并可与 Suricata、SIEM 及 Corelight 等平台集成。运营者通过 Zeek 脚本丰富数据、触发 notice 并向下游检测管线输送线索。
如何防御 Zeek?
针对 Zeek 的防御通常结合技术控制与运营实践,详见上方完整定义。
Zeek 还有哪些其他名称?
常见的别称包括: Bro, Zeek NSM, Corelight。
● 相关术语
- forensics-ir№ 722
网络取证
对网络流量与元数据进行采集、记录和分析,用于调查安全事件并重建攻击者行为。
- network-security№ 547
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
- defense-ops№ 1117
Suricata
由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- network-security№ 295
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- network-security№ 048
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
● 参见
- № 1245Wireshark