最后一个重要分支成立七年后 发布流量分析和网络入侵检测系统 ,以前以 Bro 的名义发行。 这是自此以来的第一个重要版本 之所以这么做,是因为“Bro”这个名字与同名的边缘亚文化相关,而不是作者有意暗指乔治·奥威尔小说《1984》中的“老大哥”。 系统代码是用C++编写的 在 BSD 许可下。
Zeek 是一个流量分析平台,主要专注于但不限于安全事件监控。 提供的模块用于分析和解析各种应用程序级网络协议,考虑连接状态并允许创建网络活动的详细日志(存档)。 考虑到特定基础设施的具体情况,提出了一种特定于领域的语言来编写监控脚本和识别异常。 该系统针对高带宽网络的使用进行了优化。 提供API与第三方信息系统集成并实时交换数据。
В :
- NTP 协议的分析器已完全重写,并添加了新的 MQTT 分析器。 DNS、RDP、SMB 和 TLS 分析器的功能已得到扩展。 对于 DNS,提供 SPF 记录的解析,对于 DNSSEC - RRSIG、DNSKEY、DS、NSEC 和 NSEC3 以及与它们关联的事件的选择。 SMB分析器增加了对SMB 3.x协议的支持,并为TLS增加了对TLS 1.3的支持;
- 实现了对VXLAN隧道内传输流的解封装支持;
- 添加了对 NFLOG 类型链接的支持;
- 新增将提取的数据以UTF8编码保存在日志中的功能;
- 脚本语言添加了对匿名函数闭包的支持,添加了键值格式枚举表的运算符(“for ( key, value in t)”),实现了Python风格的向量分离操作(“v[2:4]”),提出了一种新结构paraglob,用于大型二进制数据集中字符串掩码的快速匹配;
- 文件路径、设置、包、脚本、命名空间和函数中对名称“bro”的所有引用均已替换为“zeek”(支持保留旧名称以实现向后兼容性)。 bro-pkg 包管理器已重命名为 zkg。
来源: opennet.ru