지크

Zeek
이 기사는 소프트웨어에 관한 것입니다.가상의 종에 대해서는 코리아 갱을 참고하세요.
지크
원본 작성자번 팍슨
초기출시1998년 1월 24일; 25년 전 (1998-01-24)[1]
안정적 해제
6.0.1[2] / 2023년 9월 12일; 8일 전(2023년 9월 12일)
저장소
기재.C++
운영체제리눅스, FreeBSD, macOS
유형네트워크 침입 탐지 시스템
면허증.BSD 라이선스
웹사이트zeek.org Edit this at Wikidata

Zeek자유-오픈 소스 소프트웨어 네트워크 분석 프레임워크입니다.번 팍슨은 1995년 로렌스 버클리 국립 연구소에서 지크에 대한 개발 작업을 시작했습니다.[3]Zeek은 NSM(Network Security Monitor)이지만 NIDS(Network Intrusion Detection System)로도 사용할 수 있습니다.[4]지크 프로젝트는 BSD 라이선스로 소프트웨어를 출시합니다.

산출량

Zeek의 목적은 네트워크 트래픽을 검사하고 Zeek이 보는 활동을 설명하는 다양한 로그를 생성하는 것입니다.[5]로그 파일의 전체 목록은 프로젝트 문서 사이트에서 확인할 수 있습니다.[6]

로그 예제

다음은 conn.log에서 JSON 형식으로 입력한 항목의 예입니다.[7]

{   "ts": 1554410064.698965,   "uid": "CMreaf3tGGK2whbqh",   "id.orig_h": "192.168.144.130",   "id.orig_p": 64277,   "id.resp_h": "192.168.144.2",   "id.resp_p": 53,   proto: udp,   "서비스": dns,   duration: 0.320463,   "orig_bytes": 94,   "resp_bytes": 316,   "conn_state": "SF",   "missed_bytes": 0,   "역사": "Dd",   "orig_pkts": 2,   "orig_ip_bytes": 150,   "resp_pkts": 2,   "resp_ip_bytes": 372,   "tunnel_부모": [] }

위협사냥

Zeek의 주요 사용 사례 중 하나는 사이버 위협 사냥입니다.[8]

이름.

그것의 주요 저자인 팍슨은 원래 소설 1984에 나오는 조지 오웰의 빅 브라더에 대한 경고로서 소프트웨어의 이름을 "브로"라고 지었습니다.2018년에 프로젝트 리더 팀은 소프트웨어 이름을 바꾸기로 결정했습니다.1990년대 LBNL에서 개발자들은 "zeek"이라는 이름의 유사 사용자로 센서를 실행하여 2018년 이름 변경에 영감을 주었습니다.[9]

지크전개

보안 팀은 네트워크에서 가시성을 확보하고자 하는 위치를 파악합니다.하나 이상의 네트워크 탭을 배포하거나 포트 미러링을 위해 스위치 SPAN 포트를 활성화하여 트래픽에 액세스할 수 있도록 합니다.이러한 가시성 지점에 액세스할 수 있는 서버에 Zeek을 배치합니다.[10]서버의 Zeek 소프트웨어는 네트워크 트래픽을 로그로 해독하여 로컬 디스크나 원격 저장소에 기록합니다.[11]

Zeek 애플리케이션 아키텍처 및 분석기

Zeek의 이벤트 엔진은 실시간 또는 기록된 네트워크 트래픽을 분석하여 중립 이벤트 로그를 생성합니다.Zeek은 공통 포트와 동적 프로토콜 탐지(시그니처 및 동작 분석 포함)를 사용하여 네트워크 프로토콜을 식별합니다.[12]

개발자들은 지크 정책 스크립트를 튜링 완전한 지크 스크립트 언어로 작성합니다.기본적으로 Zeek은 이벤트에 대한 정보를 파일에 기록하지만 분석가는 전자 메일 보내기, 경고 올리기, 시스템 명령 실행, 내부 메트릭 업데이트, 다른 Zeek 스크립트 호출 등의 다른 작업을 수행하도록 Zeek을 구성할 수도 있습니다.

Zeek 분석기는 응용 계층 디코딩, 이상 탐지, 서명 일치 및 연결 분석을 수행합니다.[13]지크의 개발자들은 추가 분석기들을 통합하기 위해 이 소프트웨어를 설계했습니다.새로운 프로토콜 분석기를 만드는 최신 방법은 Spicy 프레임워크에 의존합니다.[14]

참고문헌

  1. ^ "Bro 0.3-alpha". Retrieved 2022-08-01.
  2. ^ "Release 6.0.1". 12 September 2023. Retrieved 19 September 2023.
  3. ^ Paxson, Vern (1998-01-26). "Bro: A System for Detecting Network Intruders in Real-Time" (PDF). USENIX. Retrieved 2022-08-01.
  4. ^ McCarty, Ronald. "Bro IDS » ADMIN Magazine". ADMIN Magazine. Retrieved 2023-07-06.
  5. ^ "Zeek Network Security Monitor". 22 December 2021. Retrieved 2022-08-01.
  6. ^ "Zeek Script Reference Log Files". Zeek Documentation. Retrieved 2022-08-01.
  7. ^ Wright, Joshua (2019-12-09). "Parsing Zeek JSON Logs with JQ". SANS. Retrieved 2022-08-01.
  8. ^ Ooi, Eric (22 January 2020). "Zeekurity Zen - Part IV: Threat Hunting with Zeek". Eric Ooi. Retrieved 2022-08-01.
  9. ^ Paxson, Vern (2018-10-11). "Renaming the Bro Project".
  10. ^ "Enabling SOHO Network Monitoring". 2020-04-07. Retrieved 2022-08-01.
  11. ^ Ooi, Eric (3 January 2019). "Zeekurity Zen Part III: How to Send Zeek Logs to Splunk". Eric Ooi. Retrieved 2022-08-01.
  12. ^ Grashöfer, Jan; Titze, Christian; Hartenstein, Hannes (2019). "Attacks on Dynamic Protocol Detection of Open Source Network Security Monitoring Tools". arXiv:1912.03962 [cs.NI].
  13. ^ Sommer, Robin (2003). "Bro: An Open Source Network Intrusion Detection System". CiteSeerX 10.1.1.60.5410.
  14. ^ "Spicy". GitHub. 11 June 2022. Retrieved 2022-08-01.

외부 링크