最後一個重要分支成立七年後 發布流量分析和網路入侵偵測系統 ,以前以 Bro 的名義分發。這是自此以來的第一個重要版本 之所以這麼做,是因為「Bro」這個名字與同名的邊緣次文化相關,而不是作者有意暗指喬治·奧威爾小說《1984》中的「老大哥」。系統程式碼是用C++寫的 在 BSD 許可證下。
Zeek 是一個流量分析平台,主要專注於但不限於安全事件監控。提供的模組用於分析和解析各種應用程式層級網路協議,考慮連接狀態並允許建立網路活動的詳細日誌(存檔)。考慮到特定基礎設施的具體情況,提出了一種特定於領域的語言來編寫監控腳本和識別異常。該系統針對高頻寬網路的使用進行了最佳化。提供API與第三方資訊系統整合並即時交換資料。
В :
- NTP 協定的分析器已完全重寫,並新增了新的 MQTT 分析器。 DNS、RDP、SMB 和 TLS 分析器的功能已擴展。對於 DNS,提供 SPF 記錄的解析,對於 DNSSEC - RRSIG、DNSKEY、DS、NSEC 和 NSEC3 以及與它們關聯的事件的選擇。 SMB分析器增加了對SMB 3.x協定的支持,並為TLS增加了對TLS 1.3的支援;
- 實現了VXLAN隧道內傳輸流的解封裝支援;
- 新增了對 NFLOG 類型連結的支援;
- 新增將擷取的資料以UTF8編碼保存在日誌中的功能;
- 腳本語言添加了對匿名函數閉包的支持,並添加了鍵值格式枚舉表的運算符(“for ( key, value in t)”),實現了Python風格的向量分離操作(“v[2: 4]”),提出了一種新結構paraglob,用於大型二進位資料集中字串遮罩的快速匹配;
- 檔案路徑、設定、套件、腳本、命名空間和函數中對名稱「bro」的所有參考均已替換為「zeek」(支援保留舊名稱以實現向後相容性)。 bro-pkg 套件管理器已重新命名為 zkg。
來源: opennet.ru