ProHoster > блог > интернет вести > Издавање на Zeek сообраќаен анализатор 3.0.0

Издавање на Zeek сообраќаен анализатор 3.0.0

Седум години по формирањето на последната значајна гранка презентирани ослободување на систем за анализа на сообраќај и мрежна детекција на упади Зик 3.0.0 , порано дистрибуиран под името Бро. Ова е прво значајно издание оттогаш преименување на проектот, посветена затоа што името Бро се поврзуваше со истоимената маргинална субкултура, а не како намерна алузија на „Големиот брат“ од романот на Џорџ Орвел „1984“ наменета од авторите. Системскиот код е напишан во C++ и дистрибуирани од под лиценцата BSD.

Zeek е платформа за аналитика на сообраќајот фокусирана првенствено на, но не ограничувајќи се на, следење на безбедносни настани. Обезбедени се модули за анализа и парсирање на различни мрежни протоколи на ниво на апликација, земајќи ја предвид состојбата на врските и овозможувајќи креирање на детален дневник (архива) на мрежната активност. Се предлага јазик специфичен за домен за пишување скрипти за следење и идентификување на аномалии, земајќи ги предвид спецификите на специфичните инфраструктури. Системот е оптимизиран за употреба во мрежи со висок пропусен опсег. Обезбеден е API за интеграција со информациски системи од трети страни и размена на податоци во реално време.

В ново издание:

  • Анализаторот за протоколот NTP е целосно препишан и додаден е нов анализатор за MQTT. Проширени се можностите на анализаторите за DNS, RDP, SMB и TLS. За DNS, предвидено е парсирање на записите со SPF, а за DNSSEC - RRSIG, DNSKEY, DS, NSEC и NSEC3 и избор на настани поврзани со нив. Додадена е поддршка за протоколот SMB 3.x на SMB анализаторот и поддршка за TLS 1.3 за TLS;
  • Имплементирана е поддршка за декапсулација на потоци кои се пренесуваат внатре во тунелите VXLAN;
  • Додадена е поддршка за врски со типот NFLOG;
  • Додадена е можност за зачувување на извлечените податоци во дневникот во кодирањето UTF8;
  • Поддршка за затворање за анонимни функции е додадена на јазикот за скриптирање, додаден е оператор за набројување табели во формат на клучна вредност („за ( клуч, вредност во t)“), имплементирани се операции за раздвојување на вектори во стилот на Python („v[2:4]“), предложена е нова структура, параглоб за брзо совпаѓање на маски за низи во големи бинарни збирки на податоци;
  • Сите референци на името „bro“ во патеките на датотеките, поставките, пакетите, скриптите, именските простори и функциите се заменети со „zeek“ (поддршката за постарите имиња е задржана за компатибилност наназад). Управувачот со пакети bro-pkg е преименуван во zkg.

Извор: opennet.ru

Додадете коментар