WikiDer > Зик
Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) (Узнайте, как и когда удалить этот шаблон сообщения)
|
Оригинальный автор (ы) | Верн Паксон |
---|---|
Стабильный выпуск | 3.2.2[1] / 7 октября 2020 |
Репозиторий | |
Написано в | C ++ |
Операционная система | Linux, FreeBSD, macOS |
Тип | Система обнаружения сетевых вторжений |
Лицензия | Лицензия BSD |
Интернет сайт | зик |
Зик (ранее Братан)[2] это бесплатное программное обеспечение с открытым исходным кодом структура сетевого анализа; он был впервые разработан в 1994 г. Верн Паксон и первоначально был назван со ссылкой на Джордж Оруэллс Большой брат из его романа Девятнадцать восемьдесят четыре. Его можно использовать как система обнаружения сетевых вторжений (NIDS), но с дополнительным анализом сетевых событий в реальном времени.[3] Выпускается под Лицензия BSD.
Архитектура приложения Zeek
IP-пакеты, захваченные с помощью pcap передаются механизму событий, который принимает или отклоняет их. Принятые пакеты пересылаются интерпретатору сценария политики.
Механизм событий анализирует текущий или записанный сетевой трафик или файлы трассировки для генерации нейтральных событий. Он генерирует события, когда «что-то» происходит. Это может быть вызвано процессом Zeek, например, сразу после инициализации или непосредственно перед завершением процесса Zeek, а также из-за чего-то, что происходит в анализируемой сети (или файле трассировки), например, при обнаружении Zeek HTTP-запроса или новое TCP-соединение. Zeek использует общие порты и динамическое обнаружение протоколов (включая сигнатуры, а также поведенческий анализ), чтобы сделать наилучшее предположение при интерпретации сетевых протоколов. События нейтральны с точки зрения политики в том смысле, что они не являются хорошими или плохими, а просто сигнализируют сценарию, что что-то произошло.
События обрабатываются сценариями политик, которые анализируют события для создания политик действий. Скрипты написаны на Тьюринг завершен Язык сценариев Zeek. По умолчанию Zeek просто записывает информацию о событиях в файлы (Zeek также поддерживает запись событий в двоичном формате); однако его можно настроить для выполнения других действий, таких как отправка электронного письма, создание предупреждения, выполнение системной команды, обновление внутренней метрики и даже вызов другого скрипта Zeek. Поведение по умолчанию производит Поток данных, передающихся по сети-подобный вывод (журнал подключений), а также информация о событиях приложения. Скрипты Zeek могут считывать данные из внешних файлов, таких как черные списки, для использования в скриптах политик Zeek.
Анализаторы Zeek
Большинство анализаторов Zeek расположены в механизме обработки событий Zeek с сопутствующим сценарием политики. Сценарий политики может быть изменен пользователем. Анализаторы выполняют декодирование прикладного уровня, обнаружение аномалий, сопоставление сигнатур и анализ соединений.[4] Zeek был разработан так, чтобы легко включать дополнительные анализаторы. Некоторые анализаторы прикладного уровня, включенные в Zeek, среди прочего включают HTTP, FTP, SMTP и DNS. К другим анализаторам, не относящимся к прикладному уровню, относятся анализаторы, обнаруживающие сканирование хоста или портов, промежуточные хосты и син-флуд. Zeek также включает обнаружение сигнатур и позволяет импортировать сигнатуры Snort.
Рекомендации
- ^ «Выпуск 3.2.2». 7 октября 2020 г.. Получено 20 октября 2020.
- ^ Паксон, Верн (11 октября 2018 г.). "Переименование проекта Bro".
- ^ Маккарти, Рональд. "Bro IDS» ADMIN Magazine ". Журнал ADMIN. Получено 2018-07-11.
- ^ Соммер, Робин (2003). «Братан: система обнаружения вторжений в сеть с открытым исходным кодом». Мюнхен, Германия: Департамент компьютерных наук TU München. CiteSeerX 10.1.1.60.5410. Цитировать журнал требует
| журнал =
(помощь)
внешняя ссылка
- Монитор сетевой безопасности Zeek
- Братан: система обнаружения сетевых злоумышленников в режиме реального времени - Верн Паксон
- АНБ не создано из магии - Брюс Шнайер
Эта статья о программном обеспечении безопасности заглушка. Вы можете помочь Википедии расширяя это. |
Этот Unix-связанная статья является заглушка. Вы можете помочь Википедии расширяя это. |