开源流量分析工具-Zeek的安装和使用（开源网络流量分析工具）

开源流量分析工具-Zeek的安装和使用（开源网络流量分析工具）

Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地，Zeek支持大量安全领域外的流量分析任务，包括性能测量和帮助排查问题。

​Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器（NSM），以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务，包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录，还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI，密钥标头，MIME类型和服务器响应，带回复的DNS请求，SSL证书，SMTP会话的关键内容，以及更多。默认情况下，Zeek将所有这些信息写入结构良好的制表符分隔或JSON日志文件中，这些文件适合使用外部软件进行后处理。用户还可以选择让外部数据库或SIEM产品使用，存储，处理和显示数据以进行查询。 除了日志外，Zeek还具有用于一系列分析和检测任务的内置功能，包括：

1.从HTTP会话中提取文件

2.通过与外部注册表进行接口来检测恶意软件

3.报告网络上可见的易受攻击的软件版本

4.识别流行的网络应用程序

5.检测SSH暴力破解

6.验证SSL证书链

在很高的层次上，Zeek在体系结构上分为两个主要组件。它的事件引擎（或核心）将传入的数据包流减少为一系列更高级别的事件。这些事件以与策略无关的方式反映了网络活动，即，它们描述了已看到的内容，而不是原因或意义是否重大。 例如，线路上的每个HTTP请求都变成一个相应的 (​​​libraries (​​​library

4.Libz

5.Bash (for ZeekControl)

6.Python 3.5 or greater (​​​8G 120G硬盘

root@Zeek:~# apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev

root@Zeek:~# apt-get install gnupg curlroot@Zeek:~# apt install -y automake make g++ bison flex libelf-dev libssl-dev bc

root@Zeek:~#  apt-get install python3-git python3-semantic-version

​​​

单机安装

本例安装环境：

debian10.0.5 硬件配置：4C 8G 120G硬盘

root@Zeek:~# apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev

root@Zeek:~# apt-get install gnupg curl

root@Zeek:~# apt install -y automake make g++ bison flex libelf-dev libssl-dev bc

root@Zeek:~# apt-get install python3-git python3-semantic-version

root@Zeek:~#git clone --recursive https://github.com/zeek/zeek root@Zeek:~# cd zeek root@Zeek:~#./configure root@Zeek:~#make

root@Zeek:~#make install 增加zeek环境变量

[root@Zeek ~]# vim /etc/profile 在末尾增加 export PATH=/opt/zeek/bin:$PATH

[root@Zeek ~]# source /etc/profile

初始化 [root@Zeek ~]# zeekctl [ZeekControl] > install

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。