Zeek是什么意思k在线翻译读音例句

Zeek使⽤⼿册翻译——介绍部分

介绍

0x00总览

Zeek是⼀个被动的开源⽹络流量分析器。它是⼀种⽹络监视器，可以深⼊检查连接中所有流量以查找可疑活动的迹象。但是，通

常，Zeek甚⾄在安全领域之外也⽀持各种流量分析任务，包括性能测量和帮助进⾏故障排除。

⼀个⽹站从Zeek部署中获得的最直接的好处是⼤量⽇志⽂件。这些⽇志⽂件以⾼级的⽅式记录了⽹络的活动。这些⽇志不仅包括⽹络上看

到的每个连接的全⾯记录，还包括应⽤层记录，例如所有HTTP会话及其请求的URI，密钥标头，MIME类型和服务器响应；带回复的DNS

请求；SSL证书；SMTP会话的关键内容，以及更多内容。默认情况下，Zeek将所有这些信息写⼊结构合理的制表符分隔的⽇志⽂件

中，这些⽂件适⽤于使⽤外部软件进⾏后续处理。但是，⽤户还可以从输出格式和后端中进⾏选择，以直接与例如外部数据库进⾏交互。

但是，使⽤Zeek的关键在于认识到，即使该系统⾃⾝就有的强⼤功能，从根本上来说，它还是⼀个可完全⾃定义和扩展的流量分析平台：

Zeek为⽤户提供了特定于域我本无心恋红尘 的脚本语⾔编写脚本⽤于表达任意分析任务的。从概念上讲，您可以昨夜星辰昨夜风李商隐 将Zeek视为“特定于域的Python”（或

Perl）：就像Python⼀样，该系统具有⼤量的预构建功能（“标准库”）。您不仅限于系统附带的功能，但是可以通过编写⾃⼰的代码使

Zeek以新颖的⽅式使⽤。实际上，Zeek的所有默认分析（包括所有⽇志记录）都是此类脚本的结果。没有指定到系统核⼼中的特定分

析。

Zeek在商品硬件上运⾏，因此提供了昂贵的专有解决⽅案的低成本替代⽅案。尽管价格昂贵，但是Zeek实际上远远超出了其他⽹络监视⼯

具的功能，这些⼯具通常只限于⼀⼩组硬编码的分析任务。我们特别强调，Zeek不是经典的基于签名的⼊侵检测系统（IDS）。尽管Zeek

的脚本语⾔也⽀持这种标准功能，但确实促进了范围更⼴的各种发现恶意活动的不同⽅法，包括语义滥⽤检测，异常检测和⾏为分析。

各种各样的站点都在运营中部署Zeek来保护其⽹络基础设施，包括许多⼤学，研究实验室，超级计算中⼼，开放科学社区和⼤型公司。

Zeek专门针对⾼速，⼤容量⽹络监控，现在越来越多的站点正在使⽤该系统来监控其10GE⽹络，其中⼀些站点已经转移到100GE链路。

Zeek通过⽀持可扩展的负载平衡来适应这样的⾼性能设置：⼤型站点通常运⾏“Zeek群集”，其中⾼速前端负载平衡器在适当数量的后端

PC上分配流量，所有这些后端PC在其各⾃上运⾏专⽤的Zeek实例。个别流量切⽚。中央管理器系统负责协调流程，同步后端的状态并为操

作员提供⽤于配置和访问汇总⽇志的中央管理界⾯。Zeek的集成管理框架ZeekControl开箱即⽤地⽀持此类群集设置。

0x02特征

Zeek通过其脚本语⾔⽀持⼴泛的分析。即使没有进⼀步的⾃定义，它也具有强⼤的功能集。

部署⽅式

在标准UNIX风格的系统（包括Linux，FreeBSD和MacOS）上的商⽤硬件上运⾏。

通过⽹络分接头或监视端⼝进⾏完全被动的流量分析。

⽤于捕获数据包的标准libpcap接⼝。

实时和离线分析。

集群⽀持⼤规模部署。

统⼀管理框架，可⽤于独⽴和群集设置。

在BSD许可下开源。

分析

全⾯记录活动，以进⾏离线分析和取证。

与端⼝⽆关的应⽤层分析。

⽀持许多应⽤程序层协议（包括DNS，FTP，HTTP，IRC，SMTP，SSH，SSL）。

分析通过应⽤层协议交换的⽂件内容，包括⽤于指纹识别的MD5/SHA1计算。

全⾯的IPv6⽀持。

隧道检测和分析（包括Ayiya，Teredo，GTPv1）。Zeek将隧道解封装，然后继续分析其内容，就好像没有适当的隧道⼀样。

在协议分析过程中进⾏全⾯的完整性检查。

⽀持IDS样式的模式匹配。

脚本语⾔

图灵完备的语⾔，⽤于表达任意分析任务。

基于事件的编程模型。

特定于域的数据类型，例如IP地址（透明地处理IPv4和IPv6），端⼝号和计时器。

长期⽀持跟踪和管理⽹络状态。

界⾯

默认输出为结构良好的ASCII⽇志。

ElasticSearch和DataSeries的备⽤后端。正在准备其他数据库接⼝。

外喊的拼音 部输⼊实时集成到分析中。正在准备实时数据库输⼊。

外部C库，⽤于与外部程序交换Zeek事件。带有Perl，Python和Ruby绑定。

能够从脚本语⾔内部触发任意外部进程。

0x03发展历程

Zeek的历史可以追溯到⽐许多⼈意识到的要远得多（它以前被称为“Bro”，⽽不是“Zeek”）。范恩帕克森（VernPaxson）于⼆

⼗多年前设计并实施了初始版本。范恩（Vern）于1995年在劳伦斯伯克利国家实验室（LBNL）担任研究⼈员，着⼿编写该代码。伯克利

实验室于1996年开始进⾏业务部署，⽽USENIX安全研讨会于1998年发布了原始的Bro论⽂（此后在随后的期刊中进⾏了完善）。2003

年关于端午节的古诗两句 ，美国国家科学基⾦会（NSF）开始在国际计算机科学研究所（ICSI）上⽀持Bro的研究和⾼级开发青山遮不住毕竟东流去的意思 ，Vern现在领导该⽹络和安全⼩组。

多年来，不断增长的ICSI研究⼈员和学⽣团队不断增加新功能，⽽LBNL在能源部（DOE）的资助下继续提供⽀持。

Zeek的⼤部分功能都来⾃学术研究项⽬，其结果通常在顶级会议上发布。但是，Zeek成功的关键在于它能够从早期就弥合学术界和运营机

构之间的传从军行一至七首王昌龄 统鸿沟，这为研究提供了⾄关重要的基础，以确保发达的⽅法能够应对现实世界的挑战。但是，随着Zeek的运营⽤户社区的不

断发泊船瓜洲王安石古诗朗诵 展，以研究为中⼼的开发模型最终成为系统发展的瓶颈：研究资助并没有倾向于⽀持软件开发和维护的较普通部分，即使事实证明这些

对软件开发和维护⾄关重要。最终⽤户体验。尽管Zeek的功能始终超越传统系统，但成功部署通常需要⼤量的技术知识，通常需要⼤量的

前期投资来解决Zeek陡峭的学习曲线。NSF在2010年着⼿解决这⼀差距，通过向ICSI授予SDCI计划中专门⽤于Zeek开发的赠款。有了这

种⽀持，美国国家超级计算应⽤程序中⼼（NCSA）成为该团队的核宋之问是哪个朝代的诗人 ⼼合作伙伴，并且该项⽬开始为2.0版本完全检修系统中许多⽤户可见

的部分。⾃从发布该版本以来，Zeek在各种设置的新部署中都经历了巨⼤的增长，并且Zeek团队春夜喜雨的意思是什么 现在正在努⼒通过进⼀步提升系统功能来

应对未来⽹络的挑战，以此取得成功。

0x04框架结构

架构上，Zeek分为两个主要部分。它的事件引擎（或核⼼）将传⼊的数据包流减少为⼀系列更⾼级别的事件。这些事件以政策中⽴呢组词 的⽅式

反映了⽹络活动，即，它们描述了已看到的内容，但没有说明原因，也没有说明是否有意义。例如，⽹络上的每个HTTP请求都变成⼀个相

应的http_request事件，该事件带有所涉及的IP地址和端⼝，所请求的URI以及所使⽤的HTTP版本。然⽽，该事件不传达任何进⼀步的解

释，例如，该URI是否对应于已知的恶意软件站点。

此类语义是由Zeek的第⼆个主要组件脚本解释器派⽣的，该脚本解释器执⾏⼀组⽤Zeek的⾃定义脚本语⾔编写的事件处理程序。这些脚本

可以表⽰站点的安全策略，即，当监视器检测到不同类型的活动时应采取的措施。通常，他们可以从输⼊流量中得出任何所需的属性和统计

信息。Zeek的语⾔具有⼴泛的针对特定领域的类型和⽀持功能；并且⾄关重要的是，允许脚本随着时间的推移保持状态，从⽽使它们能够

跟踪并关联跨连接和主机边界观察到的内容的演变。Zeek脚本可以⽣成实时警报，还可以按需执⾏任意外部程序，例如，触发对攻击的主

动响应。