Zeek实战—快速构建流量安全能力

第1章

网络流量与网络安全

1.2流量与网络

从宏观角度进行观察,如果将计算机网络看作一个整体,可以很容易抽象出它是由以下3个部分组成的。

1.网络终端。指连接在网络中的、能够产生或消费网络流量的软/硬件系统,是网络流量在正常情况下的起点或终点。

2.网络结构。指能够决定网络流量流动方式的软/硬件系统,是是网络流量的中转点。

3.网络流量。指一切正在网络中传输的数据。

可以看出,网络终端及网络结构与网络流量有关,也就是说这两个部分实际上取决于其在网络流量中起到的作用。

网络流量对网络是有决定性意义的。一方面,它是网络的组成部分;另一方面,它可以描述网络以及网络终端、网络结构。

分析网络流量不仅能识别网络中承载的实际业务,还能够提前识别、发现网络中的恶意行为,而这些都对网络安全有着实际且重要的作用。

随着当前大数据分析技术的发展,网络流量本身就是一个优良的数据源。使用大数据分析可以对网络流量进行多维度的侧写,识别正常或异常的网络行为,提升网络安全人员识别风险的能力。更进一步地说,通过对网络流量的充分了解、分析,可以使组织的网络安全逐渐形成态势感知的能力,从而进一步提高组织的安全水平。

1.3 流量分析

既然网络流量对于网络安全有重大的意义,那么针对网络流量的分析也就应该成为组织内网络安全人员的一项例行工作。

第2章

Zeek介绍

2.1Zeek是什么

Zeek是一款开源的网络流量分析工具。

Zeek可以被应用在任何需要流量分析的场景中,如网络性能分析、网络问题分析等。

相较于通用型的流量分析工具,Zeek更专注于网络安全,这点体现在Zeek默认内置了大量的网络安全相关的分析框架与脚本。有别于信息安全领域传统的防火墙(firewall)、入侵防御系统(IPS)或入侵检测系统(IDS),Zeek更聚焦在为用户提供对网络流量的获取、表达及分析的能力上。Zeek的核心能力之一就是将获取到的网络流量转化成格式化的文本,也即Zeek日志。Zeek日志不仅包含了如时间戳、源IP地址、源端口、目的IP地址、目的端口等基本网络连接信息,还包含了应用层的相关信息。以HTTP协议为例,Zeek的HTTP日志文件http.log包含了HTTP协议请求的URI、请求报文头、MIME类型、服务端响应等信息。

2.2 Zeek的特点

1.开源

2.开放式设计

3.高度自定义

4.适用场景丰富

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/684067.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Ps:曝光度

曝光度 Exposure命令在处理图像时,尤其是针对 32 位 HDR 图像,通常在线性颜色空间(即灰度系数为 1.0)中执行计算,这意味着它对图像的亮度进行直接和线性的调整。 这种处理方式特别适合处理高动态范围内容,因…

java常用API和库中的排序算法探讨

Java 在其标准库中提供了丰富的API和库来处理数组、集合、容器对象等的排序。以下是对这些常用API和库中的排序算法的介绍和详细讲解: 1. Arrays 类 java.util.Arrays 类提供了静态方法来对数组进行排序。它可以对基本数据类型数组以及对象数组进行排序。 对基本数…

holidaywork8

多进程 #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <sys/socket.h> #include <netinet/in.h>#define PORT 8080 #define MAX_CLIENTS 5void handle_client(int client_socket) {char buf…

【PyQt6】QScreen 屏幕截屏

文章目录 0 环境1 简介2 QScreen 类2.1 获取 QScreen 的对象2.2 QScreen 的常见信息 3. 示例代码 0 环境 - Python 3.12.1 - PyQt6 6.6.1 pip install PyQt6 PyQt6-Qt6 6.6.1 默认安装PyQt6-sip 13.6.…

【流程图——讲解】

流程图介绍 流程图介绍 流程图介绍 流程图是一种图表&#xff0c;它展示了工作流程或过程中的步骤顺序&#xff0c;它通常由不同的符号表示&#xff0c;每个符号都代表一个步骤或过程中的一个元素&#xff0c;流程图非常有用&#xff0c;因为它们可以提供清晰、视觉化的过程表…

SAP PP学习笔记- 豆知识01 - 怎么查询既存品目

SAP系统当中已经有哪些品目要怎么查询呢&#xff1f; 1&#xff0c;MM60 品目一览 这里可以输入Plant&#xff0c;然后可以查询该工厂的所有品目。 2&#xff0c;SE16 > MARA MARA 品目一般Data&#xff0c;存放的是品目基本信息。 如果要查询该品目属于哪个Plant&#x…

英语题不会怎么搜答案?分享五个支持答案和解析的工具 #学习方法#媒体

在大学的学习过程中&#xff0c;我们常常会遇到一些难以解决的问题&#xff0c;有时候甚至会感到束手无策。然而&#xff0c;如今的技术发展给我们提供了新的解决方案。搜题软件作为一种强大的学习工具&#xff0c;正在被越来越多的大学生所接受和使用。今天&#xff0c;我将为…

2007-2021年上市公司内控信息披露指数/上市公司内部控制信息披露指数数据

2007-2021年上市公司内控信息披露指数/上市公司内部控制信息披露指数数据 1、时间&#xff1a;2007-2021年 2、范围&#xff1a;上市公司 3、指标&#xff1a;证券代码、证券简称、辖区、证监会行业、申万行业、内部环境、风险评估、控制活动、信息与沟通、内部监督、内部控…

【JavaScript】使用 XMLHttpRequest 和 Fetch API

文章目录 1. XMLHttpRequest发送GET请求发送POST请求 2. Fetch API发送GET请求发送POST请求 3. 对比与总结XMLHttpRequestFetch API 4. 总结 在前端开发中&#xff0c; 与服务器进行数据交互是不可避免的需求&#xff0c;而 JavaScript 提供了多种方式来实现 HTTP 请求。本篇博…

[Python] 文件

这篇是Python基础语法的一个结尾了&#xff0c;还是可莉跟着大家一起学习哦~ 可莉将这篇博客收录在&#xff1a;《Python》 可莉推荐的优质博主主页&#xff1a;Keven ’ s blog 目录 一、文件是什么 二、常用的文件操作函数 1、打开文件 2、关闭文件 3、读取文件 read( ) …

开源力量:揭示开源软件如何成为技术演进与社会发展的引擎

文章目录 导言01 开源软件如何推动技术创新1.1 开放的创新模式1.2 快速迭代和反馈循环1.3 共享知识和资源1.4 生态系统的建设和扩展1.5 开放标准和互操作性 02 开源软件的商业模式2.1 支持和服务模式2.2 基于订阅的模式2.3 专有附加组件模式2.4 开源软件作为平台模式2.5 双重许…

Leetcode With Golang 二叉树 part1

这一部分主要来梳理二叉树题目最简单最基础的部分&#xff0c;包括遍历&#xff0c;一些简单题目。 一、Leecode 144 - 二叉树的前序遍历 https://leetcode.cn/problems/binary-tree-preorder-traversal/description/ 二叉树的遍历是入门。我们需要在程序一开始就创建一个空…

LabVIEW荧光显微镜下微管运动仿真系统开发

LabVIEW荧光显微镜下微管运动仿真系统开发 在生物医学研究中&#xff0c;对微管运动的观察和分析至关重要。介绍了一个基于LabVIEW的仿真系统&#xff0c;模拟荧光显微镜下微管的运动过程。该系统提供了一个高效、可靠的工具&#xff0c;用于研究微管与运动蛋白&#xff08;如…

【教学类-19-07】20240214《ABAB式-规律黏贴18格-手工纸15*15CM-一页一种图案,A空,竖向、有边框》(中班)

背景需求 利用15*15CM手工纸制作AB色块手环&#xff08;手工纸自带色彩&#xff09; 素材准备 代码展示 作者&#xff1a;阿夏 时间&#xff1a;2024年2月14日 名称&#xff1a;正方形数字卡片AB图案 _ 华光彩云_CNKI A的位置有图案 A空18格 AB向 一页一种图案&#xff0c;…

OAuth 2.0 协议介绍【实现 GitHub 第三方登录】

OAuth&#xff08;是 Open Authorization 开放授权的缩写&#xff09;,在全世界得到广泛应用&#xff0c;目前的版本是2.0版。 本文会对OAuth 2.0的设计思路和运行流程&#xff0c;做一个简明通俗的解释&#xff0c;主要参考材料为RFC 6749。 OAuth 2.0 是一个开放标准&#…

vmware workstation群晖虚拟机vmdk文件导出

为了防止群晖虚拟机中整个挂掉&#xff0c;里面的文件导不出来&#xff0c;尝试直接从vmdk中获取内容。 1、想采用diskgenius去读取文件&#xff0c;发现volume1是空的。只能读取群晖的系统文件。 2、选择另一个linux系统的虚拟机&#xff0c;选择对应的vmdk 3、如果有文件管理…

【JAVA-Day81】 线程休眠: Java 中暂停线程执行的方法 ⏸️

线程休眠&#xff1a; Java 中暂停线程执行的方法 ⏸️&#x1f4a4; 线程休眠&#xff1a; Java 中暂停线程执行的方法 ⏸️&#x1f4a4;摘要 &#x1f4dd;引言 &#x1f680;正文 &#x1f4da;一、什么是线程休眠 ⏸️二、线程什么情况下会休眠 ❓三、模拟线程休眠 &#…

236. 二叉树的最近公共祖先 - 力扣(LeetCode)

题目描述 给定一个二叉树, 找到该树中两个指定节点的最近公共祖先。 百度百科中最近公共祖先的定义为&#xff1a;“对于有根树 T 的两个节点 p、q&#xff0c;最近公共祖先表示为一个节点 x&#xff0c;满足 x 是 p、q 的祖先且 x 的深度尽可能大&#xff08;一个节点也可以…

2024 前端面试题 附录1

这里记录的是今天看到的其他的知识点 原篇地址&#xff1a;2024 前端面试题&#xff08;GPT回答 示例代码 解释&#xff09;No.1 - No.20 目录 这里记录的是今天看到的其他的知识点原篇地址&#xff1a;[2024 前端面试题&#xff08;GPT回答 示例代码 解释&#xff09;No.…

基于Echarts的可视化项目

整体的效果 概览区域 <!-- 概览区域模块制作 --><div class"panel overview"><div class"inner"><ul><li><h4>2190</h4><span><i class"icon-dot"></i>设备总数</span></…