โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > เปิดตัวตัววิเคราะห์การรับส่งข้อมูล Zeek 3.0.0

เปิดตัวตัววิเคราะห์การรับส่งข้อมูล Zeek 3.0.0

เจ็ดปีหลังจากการก่อตั้งสาขาสำคัญสุดท้าย นำเสนอ การเปิดตัวการวิเคราะห์การรับส่งข้อมูลและระบบตรวจจับการบุกรุกเครือข่าย ซีค 3.0.0 เดิมจำหน่ายภายใต้ชื่อพี่. นี่เป็นการเปิดตัวครั้งสำคัญครั้งแรกนับตั้งแต่นั้นมา เปลี่ยนชื่อโครงการมุ่งมั่นเพราะชื่อ Bro มีความเกี่ยวข้องกับวัฒนธรรมย่อยชายขอบที่มีชื่อเดียวกัน และไม่ใช่เป็นการพาดพิงถึง "พี่ใหญ่" จากนวนิยายเรื่อง "1984" ของจอร์จ ออร์เวลล์ ที่ผู้เขียนตั้งใจไว้ รหัสระบบเขียนด้วยภาษา C++ และ จัดจำหน่ายโดย ภายใต้ใบอนุญาต BSD

Zeek เป็นแพลตฟอร์มการวิเคราะห์การรับส่งข้อมูลที่เน้นแต่ไม่จำกัดเพียงการตรวจสอบเหตุการณ์ด้านความปลอดภัย โมดูลมีไว้สำหรับการวิเคราะห์และแยกวิเคราะห์โปรโตคอลเครือข่ายระดับแอปพลิเคชันต่างๆ โดยคำนึงถึงสถานะของการเชื่อมต่อ และอนุญาตให้สร้างบันทึกโดยละเอียด (เก็บถาวร) ของกิจกรรมเครือข่าย มีการเสนอภาษาเฉพาะโดเมนสำหรับการเขียนสคริปต์ตรวจสอบและระบุความผิดปกติ โดยคำนึงถึงลักษณะเฉพาะของโครงสร้างพื้นฐานเฉพาะ ระบบได้รับการปรับให้เหมาะสมสำหรับการใช้งานในเครือข่ายแบนด์วิธสูง API มีไว้เพื่อการบูรณาการกับระบบข้อมูลของบุคคลที่สามและการแลกเปลี่ยนข้อมูลแบบเรียลไทม์

В ปัญหาใหม่:

  • เครื่องวิเคราะห์สำหรับโปรโตคอล NTP ได้รับการเขียนใหม่ทั้งหมดและมีการเพิ่มเครื่องวิเคราะห์ใหม่สำหรับ MQTT ความสามารถของตัววิเคราะห์สำหรับ DNS, RDP, SMB และ TLS ได้รับการขยายแล้ว สำหรับ DNS จะมีการแยกวิเคราะห์ระเบียน SPF และสำหรับ DNSSEC - RRSIG, DNSKEY, DS, NSEC และ NSEC3 และการเลือกเหตุการณ์ที่เกี่ยวข้อง เพิ่มการรองรับโปรโตคอล SMB 3.x ให้กับตัววิเคราะห์ SMB และรองรับ TLS 1.3 สำหรับ TLS
  • มีการนำการสนับสนุน deencapsulation ของสตรีมที่ส่งภายในอุโมงค์ VXLAN ไปใช้แล้ว
  • เพิ่มการรองรับลิงก์ประเภท NFLOG
  • เพิ่มความสามารถในการบันทึกข้อมูลที่แยกออกมาในบันทึกในการเข้ารหัส UTF8
  • เพิ่มการรองรับการปิดฟังก์ชั่นที่ไม่ระบุชื่อในภาษาสคริปต์แล้ว มีการเพิ่มตัวดำเนินการสำหรับการแจกแจงตารางในรูปแบบคีย์-ค่า (“สำหรับ (คีย์, ค่าใน t)”) การดำเนินการแยกเวกเตอร์สไตล์ Python ได้ถูกนำมาใช้ (“v[2:4]”) ซึ่งเป็นโครงสร้างใหม่ paraglob ได้รับการเสนอสำหรับการจับคู่สตริงมาสก์อย่างรวดเร็วในชุดข้อมูลไบนารีขนาดใหญ่
  • การอ้างอิงถึงชื่อ "bro" ทั้งหมดในพาธไฟล์ การตั้งค่า แพ็คเกจ สคริปต์ เนมสเปซ และฟังก์ชันต่างๆ ถูกแทนที่ด้วย "zeek" (รองรับชื่อเก่าๆ ที่ยังคงอยู่สำหรับความเข้ากันได้แบบย้อนหลัง) ตัวจัดการแพ็คเกจ bro-pkg ถูกเปลี่ยนชื่อเป็น zkg

ที่มา: opennet.ru

เพิ่มความคิดเห็น