Prohoster > Blog > tin tức mạng > Trình phân tích lưu lượng truy cập Zeek 3.0.0 đã được phát hành

Trình phân tích lưu lượng truy cập Zeek 3.0.0 đã được phát hành

Bảy năm sau khi hình thành nhánh quan trọng cuối cùng trình bày phát hành hệ thống phân tích lưu lượng và phát hiện xâm nhập mạng Zeek 3.0.0 , trước đây được phân phối dưới tên Bro. Đây là bản phát hành quan trọng đầu tiên kể từ đổi tên dự án, được cam kết vì cái tên Bro gắn liền với tiểu văn hóa bên lề cùng tên chứ không phải nhằm mục đích ám chỉ đến “Big Brother” trong tiểu thuyết “1984” của George Orwell mà các tác giả dự định. Mã hệ thống được viết bằng C++ và phân phối bởi theo giấy phép BSD.

Zeek là một nền tảng phân tích lưu lượng truy cập tập trung chủ yếu vào nhưng không giới hạn ở việc giám sát sự kiện bảo mật. Các mô-đun được cung cấp để phân tích và phân tích các giao thức mạng cấp ứng dụng khác nhau, có tính đến trạng thái kết nối và cho phép tạo nhật ký chi tiết (kho lưu trữ) hoạt động mạng. Một ngôn ngữ dành riêng cho miền được đề xuất để viết tập lệnh giám sát và xác định các điểm bất thường, có tính đến các chi tiết cụ thể của cơ sở hạ tầng cụ thể. Hệ thống được tối ưu hóa để sử dụng trong các mạng băng thông cao. API được cung cấp để tích hợp với hệ thống thông tin của bên thứ ba và trao đổi dữ liệu trong thời gian thực.

В vấn đề mới:

  • Bộ phân tích cho giao thức NTP đã được viết lại hoàn toàn và bộ phân tích mới cho MQTT đã được thêm vào. Khả năng của máy phân tích DNS, RDP, SMB và TLS đã được mở rộng. Đối với DNS, việc phân tích cú pháp các bản ghi SPF được cung cấp và đối với DNSSEC - RRSIG, DNSKEY, DS, NSEC và NSEC3 cũng như việc lựa chọn các sự kiện liên quan đến chúng. Đã thêm hỗ trợ cho giao thức SMB 3.x vào bộ phân tích SMB và hỗ trợ TLS 1.3 cho TLS;
  • Hỗ trợ giải nén các luồng truyền bên trong đường hầm VXLAN đã được triển khai;
  • Đã thêm hỗ trợ cho các liên kết với loại NFLOG;
  • Đã thêm khả năng lưu dữ liệu được trích xuất trong nhật ký ở dạng mã hóa UTF8;
  • Hỗ trợ đóng cho các hàm ẩn danh đã được thêm vào ngôn ngữ tập lệnh, toán tử liệt kê các bảng ở định dạng khóa-giá trị (“for (key, value in t)”) đã được thêm vào, các thao tác tách vectơ kiểu Python đã được triển khai (“v[2:4]”), một cấu trúc mới, paraglob, được đề xuất để khớp nhanh các mặt nạ chuỗi trong các tập dữ liệu nhị phân lớn;
  • Tất cả các tham chiếu đến tên "bro" trong đường dẫn tệp, cài đặt, gói, tập lệnh, không gian tên và chức năng đã được thay thế bằng "zeek" (hỗ trợ các tên cũ hơn được giữ lại để tương thích ngược). Trình quản lý gói bro-pkg đã được đổi tên thành zkg.

Nguồn: opennet.ru

Thêm một lời nhận xét