- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全与可视化
如何使用pfring加速Zeek流量分析
简介 zeek Zeek是一个开源网络流量分析器。许多用户将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 /zeek 编译 cd zeek-X.X.X . /usr/local/zeek/bin/zeek | grep pcap 编写配置文件 配置文件位于/usr/local/zeek/etc/node.cfg 编写如下配置文件: [logger-1] 终端输入如下命令进入zeek控制台: /usr/local/zeek/bin/zeekctl 首先使用install加载配置,使用start,stop命令开始和关闭zeek. zeek配置文件更改 只需在Zeek配置文件中对应的worker配置下添加下面一句即可 env_vars=PF_RING_FT_CONF=/etc/pf_ring/ft-rules.conf 例如: [
2.3K51发布于 2021-04-19 - 来自专栏FreeBuf
流量分析的瑞士军刀:Zeek
Zeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析。 本文主要是将 Zeek 结合被动扫描器的一些实践的介绍,以及 Zeek 部署的踩过的一些坑。 安装 Zeek 的安装还是比较简单的,笔者主要是在 Mac 上以及 Linux 上安装。 Zeek 结合被动扫描器的玩法 上面讲的都是 Zeek 的安装,下面聊一下 Zeek 和被动扫描器的结合。 Zeek 对于 http 解析的日志都会存储在 /usr/local/zeek/logs 中。 总结 其实 Zeek 有很多高级玩法,你完全可以将 Zeek 改造成一个 IDS 产品。Zeek 脚本的强大能力赋予其无限的可能性,比如在流量中发现 sql 注入。
3.1K20发布于 2020-05-14 - 来自专栏WalkingCloud
【实践】开源IDS网络流量分析与监控系统Zeek对接GrayLog
官方文档 https://github.com/zeek/zeek https://docs.zeek.org/ 参考链接 https://linux.cn/article-14770-1.html 具体实现思路,以及要解决的问题汇总 1、zeek的部署(能否rpm包的方式部署,编译部署太耗费时间) 2、流量镜像问题:zeek服务器的网卡如何配置混杂模式,交换机流量镜像如何配置 3、zeek的流量分析日志读取问题 、下载zeek的CentOS7的rpm包并部署zeek https://zeek.org/get-zeek/ 由于网速问题,我这边手动提前下载好zeek相关的rpm依赖包 1、安装zeek /etc vim node.cfg 修改interface为当前实际网卡 5、vim local.zeek cd /opt/zeek/share/zeek/site/ vim local.zeek 如下位置添加以下行: @load policy/tuning/json-logs.zeek 6、启动zeek zeekctl [ZeekControl] > deploy 7、查看zeek
6.4K31编辑于 2023-02-23 - 来自专栏FreeBuf
通过ZAT结合机器学习进行威胁检测
全流量日志数据 今天这篇文章主要是介绍通过zat处理zeek的全流量数据的分析方法。 zeek是开源NIDS入侵检测引擎,目前使用较多的是互联网公司的风控业务。zeek中提供了一种供zeek分析的工具zat。 zat工具包处理zeek输出具备了多种的方法其中如下: 处理日志数据动态轮询 Zeek记录到Pandas数据框和Scikit-Learn 动态监视files.log并进行VirusTotal查询 动态监控 针对zeek的http.log日志进行查询,这里主要是针对UA头的数据进行 ? 输出结果 ? 通过遍历zeek的ssl.log文件来确定tor流量这里贴出部分代码 ? 输出结果如下: ? ?
1.7K20发布于 2020-07-28 - 来自专栏Elastic Stack专栏
如何安装Elastic SIEM和Elastic Endpoint Security
就我而言,我只有Elasticsearch,Kibana和Zeek。 service kibana restart 配置Beats(Zeek)SSL 下一步,我们需要为运行Zeek和Beats的主机配置SSL。 首先将证书复制到运行Zeek的主机上,然后使用正确的权限创建证书目录。您需要同时复制Zeek证书和CA证书。 mkdir /etc/filebeat/certs/ca -pcp ca/ca.crt /etc/filebeat/certs/cacp zeek/zeek.crt /etc/filebeat/certscp zeek/zeek.key /etc/filebeat/certschmod 770 -R /etc/filebeat/certs 接下来,我们需要将更改添加到 /etc/filebeat/filebeat.yml
7.9K40发布于 2020-12-08 - 来自专栏FreeBuf
RITA:一款功能强大的真实情报威胁分析工具
RITA能够以TSV格式来读取Bro/Zeek日志,该工具当前支持以下几个主要功能: 1、Beacon检测:搜索目标网络中的所有Beacon行为标记; 2、DNS隧道检测:搜索基于DNS的隐蔽通信信道标记 5、网络:为了结合Bro/Zeek来不作流量,我们需要至少两块网卡,其中一个负责系统的管理,另一块负责捕捉端口流量。 获取数据(生成Bro/Zeek日志) 选项1:生成PCAP 使用一个数据包嗅探工具生成PCAP文件,例如tcpdump和wireshark等等。 ,你可能需要编译Bro/Zeek源码,这个脚本可以完成自动化编译。 RITA自动化安全器默认会对Bro/Zeek源码进行预编译,只需要在运行安装器的时候提供“—disable-bro”参数即可。
1.7K10发布于 2019-11-11 - 来自专栏Elastic Stack专栏
为什么在 Kibana 中分配自定义数据视图 ID 很重要
星期一 – Sheldon:Sheldon 在 Kibana 中研究 zeek 日志。他注意到没有现成的数据视图,于是创建了一个名为 Zeek 的数据视图,索引模式为 zeek-*。 她知道 Zeek 数据已导入,但不知道 Sheldon 已经创建了一个数据视图。急于上手的她创建了一个自己的数据视图,名为 Zeek Logs,同样指向 zeek-*。 他又创建了一个 zeek-* 的数据视图,这次命名为 Dem Zeeky Zeek Logs,并分配了另一个随机生成的数据视图 ID,例如 b331a8a5-d7e1-412d-b83f-c5d9672ab0c1 例如,用户会注意到以下数据视图:zeek-1, zeek-2, zeek-3, zeek-4 和 zeek-5。 可视化 1 使用 zeek-1 数据视图创建可视化 2 使用 zeek-2 数据视图创建可视化 3 使用 zeek-3 数据视图创建可视化 4 使用 zeek-4 数据视图创建可视化 5 使用 zeek
36010编辑于 2025-06-17 - 来自专栏网络安全与可视化
PF_RING ZC | 高速流量处理DPDK替代方案
image.png PF_RING ZC加速Zeek Zeek是一个开源网络流量分析器。许多用户将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。 Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。使用PF_RING ZC(zero copy)驱动程序可实现极高的数据包捕获/传输速度,极大提升Zeek的流量处理能力。
2.9K41发布于 2021-06-04 - 来自专栏FreeBuf
2023版云安全开源工具TOP10
Zeek/Bro 和Suricata类似,这也是一款流量监控工具,能够发现异常行为和可疑活动,因此它与传统的基于规则的IDS有所不同。 Zeek支持用户查看事前、事中的攻击活动,并具备一定的智能交互功能。Zeek的程序语言可根据用户需求定制,因此能够通过一些运算符(如 AND、OR、NOT 等)构建复杂的逻辑条件。 传送门:https://zeek.org/ 8.
1.6K40编辑于 2023-02-24 - 来自专栏FreeBuf
VAST:一款功能强大的跨空间和时间的可视化网络遥测引擎
核心功能 高流量数据处理:支持每秒导入超过10万个事件的多种日志格式,包括Zeek、Suricata、JSON和CSV。 build build --target install cmake --build build --target integration 工具使用 开启一个VAST节点: vast start 导入Zeek 日志: zcat *.log.gz | vast import zeek 针对过去一小时的数据执行一次查询,以JSON格式呈现结果: vast export json ':timestamp > 1 hour
90320发布于 2021-07-02 - 来自专栏AI SPPECH
086_数字取证高级技术:网络流量取证与入侵检测实战指南——从数据包捕获到威胁情报关联的全面分析方法
企业级流量捕获解决方案 Zeek(原Bro): 开源的网络安全监控框架 强大的脚本语言支持自定义分析 实时流量分析和日志生成 适合大规模网络监控 Suricata: 开源的高性能入侵检测系统 网络安全监控框架 Zeek(原Bro)是一个强大的开源网络安全监控框架,提供了深入的网络流量分析和安全事件检测能力。 Zeek基础架构 核心组件: 主引擎 输入引擎 脚本引擎 日志引擎 通信系统 数据结构: 连接记录 通知记录 日志记录 分析状态 工作流程: 数据包处理流程 协议解析过程 脚本执行机制 Zeek脚本开发 Zeek脚本语言: 基本语法 数据类型 控制结构 函数和事件 脚本开发流程: 脚本结构和组织 模块开发 脚本测试和调试 性能优化 常用事件处理: 连接事件 文件事件 Zeek高级分析技巧 自定义脚本开发: 事件处理脚本编写 协议分析器扩展 统计分析脚本 告警和通知脚本 # 示例Zeek脚本:检测异常DNS查询 module DnsMonitor; export
68320编辑于 2025-11-16 - 来自专栏浪浪山下那个村
bolo 编译镜像添加jvm参数
--server_port=${SERVER_PORT} \ --lute_http=${LUTE_HTTP} 编译 执行下面命令 docker build -t "zeek skins/bolo-fantastic \ -v /dockerData/bolo/bolo-NeoEase:/opt/bolo/skins//bolo-NeoEase-mod \ zeek
69330编辑于 2022-08-26 - 来自专栏浪浪山下那个村
idea卡顿且报错:UI was frozen for xxxxx ms问题解决
317987] WARN - .diagnostic.PerformanceWatcher - UI was frozen for 5750ms, details saved to /home/zeek WARN - s.ui.configuration.SdkDetector - No version is returned for detected SDK IDEA JDK at /home/zeek 450790] WARN - .diagnostic.PerformanceWatcher - UI was frozen for 12256ms, details saved to /home/zeek
1.1K10编辑于 2022-07-16 - 来自专栏浪浪山下那个村
C语言命令行参数和java的区别
[0]); } } 编译之后执行下面命令(代码工程详见:https://git.zeekling.cn/zeekling/test_java): java -classpath /home/zeek
88930编辑于 2022-08-26 - 来自专栏技术汇总专栏
Python在网络安全与密码学领域的技术实践指南
使用Bro/Zeek进行入侵检测Bro/Zeek是一款用于网络入侵检测和网络流量分析的开源软件,可以实时监控网络并发现异常行为。 # 使用Bro/Zeek脚本进行网络流量分析# 示例脚本可以在https://github.com/zeek/zeek-scripts找到安全编码实践1.
64530编辑于 2024-05-12 - 来自专栏绿盟科技研究通讯
攻击溯源-基于因果关系的攻击溯源图构建技术
文献[8]提出了一个新的开源平台zeek-osquery,该平台主要是针对网络侧与终端侧数据的细粒度的因果挖掘来实现实时的入侵检测。其关键技术是将操作系统级的日志与网络侧日志实时关联。 Zeek-osquery可以灵活地适应不同的检测场景,因为osquery主机是从Zeek脚本直接管理的,所有的数据处理都可以在Zeek中实现。 例如,检测从互联网下载的已执行文件,通过SSH跳转检测攻击者的横向移动[18],或向Zeek提供从主机获得的内核TLS密钥,用于解密和检查网络流量。 zeek-osquery使用流这一术语来表示两台主机之间的通信,该流表示为一个包含IP地址,主机端口和协议相关信息的5元组。使用socket来抽象流。 DBLP, 2005. 8 Steffen Haas, Robin Sommer, Mathias Fischer,zeek-osquery: Host-Network Correlation for
3.7K20发布于 2020-09-08 - 来自专栏浪浪山下那个村
kali rolling 跟新后连不上wifi修复
原因分析 执行命令查看linux内核版本 zeek@kali ~ uname -r 5.8.0-kali1-amd64 鉴于这个网卡驱动依赖linux头文件,于是查看系统中linux头文件,执行命令
1.6K20编辑于 2022-08-26 - 来自专栏kali blog
Kali Purple发布
如常见的arkime GVM TheHive Zeek等工具。对于新版kali Purple 在安装和使用中都增加了紫色的元素。
36810编辑于 2025-07-28 - 来自专栏湛卢工作室
ZeroLogon(CVE-2020-1472) 分析与狩猎
可以参考SOC Prime Team利用zeek编写的Threat Hunting Rule: title: Possible CVE-2020-1472 (zerologon) description github.com/SecuraBV/CVE-2020-1472 tags: - attack.lateral_movement - attack.T1210 logsource: product: zeek
3.7K50发布于 2020-10-23 - 来自专栏腾讯云Elasticsearch Service
Beats:运用 Filebeat module 分析 nginx 日志
mongodb mssql mysql nats netflow osquery panw postgresql rabbitmq redis santa suricata system traefik zeek system.yml.disabled logstash.yml.disabled traefik.yml.disabled mongodb.yml.disabled zeek.yml.disabled
5.2K82发布于 2020-07-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号