zeek 是一个被动的开源网络流量分析器,可深入检查网络连接上的所有流量以查找可疑活动的迹象。因其可扩展性强、可开箱即用等特点,被称为 “流量分析里的瑞士军刀”。
不同于 Snort 等基于流量签名检测的入侵检测系统(IDS),zeek 是基于网络连接来分析可疑行为的。具体地说,Zeek 会对每个网络中传输的数据包,从中提取出发送端的 IP 和端口以及接收端的 IP 和端口,从而通过四元组定义一个网络连接,并且将具有相同四元组的数据包收集在一起,再通过对应的 TCP、UDP 协议解析,对数据包进行排序重组,最后将其中携带的应用层数据交由应用层协议解析器,从而提取出数据包中所包含的所有内容,包括但不限于:应用层协议字段、传输的文件内容、协议记录等。
但是,了解Zeek的关键在于认识到,即使该系统具有开箱即用的强大功能,但从根本上来说,它还是一个可完全自定义和扩展的流量分析平台:Zeek为用户提供了特定于域的 Turing-完整的脚本语言用于表达任意分析任务。从概念上讲,您可以将Zeek视为 “特定于网络流量的 Python”:就像Python一样,该系统具有大量的预构建功能(“标准库”),但您不仅限于系统附带的功能,但可以通过编写自己的代码使Zeek以新颖的方式使用。实际上,Zeek的所有默认分析(包括所有日志记录)都是此类脚本的结果。没有硬编码到系统核心中的特定分析。