Pe 15 octombrie 2018, proiectul a fost redenumit Zeek. Motivul invocat este conotația negativă asociată cu „cultura fraților” . [unu]
Frate / Zeek | |
---|---|
Tip de | Sistem de detectare a intruziunilor în rețea |
Dezvoltator | Vern Paxson |
Scris in | C++ [2] |
Sistem de operare | linux |
ultima versiune | 2.5.2 (16 octombrie 2017 ) |
Licență | Licență BSD |
Site-ul web | bro-ids.org |
Zeek se referă la un sistem de detectare a intruziunilor în rețea bazat pe Unix care monitorizează datele din rețea și detectează activități suspecte. Zeek analizează mai întâi datele de rețea și selectează semantica din stratul de aplicație, apoi o execută în analizoare bazate pe evenimente care compară activitatea cu tiparele care pot deteriora sistemul. Analiza include detectarea unor atacuri specifice (ambele determinate de semnături și anumite condiții și evenimente) și comportament anormal (conexiuni multiple ale mașinii la anumite servicii).
Zeek folosește propriul limbaj pentru a scrie politici care vor ghida sistemul dacă senzorii sunt declanșați sau când sunt detectate noi atacuri. Dacă Zeek detectează ceva „interesant”, acesta poate fi instruit să colecteze și să trimită un jurnal, să informeze operatorul în timp real sau să execute o comandă, cum ar fi resetarea conexiunii suspecte.
Zeek este destinat rețelelor cu conectivitate de mare viteză pentru scanarea unor cantități mari de date. Folosind cu înțelepciune tehnicile de filtrare a pachetelor, Zeek este capabil să atingă performanța necesară pe orice computer, deci este destul de accesibil.
Zeek este destinat utilizării în rețele în care sunt necesare flexibilitate și un grad ridicat de personalizare a sistemului. Inițial, sistemul a fost dezvoltat ca o platformă de cercetare pentru cercetarea intruziunilor și analiza datelor. Nu este destinat a fi folosit din cutie. Sistemul ar trebui să fie folosit de specialiști Unix cu multe cunoștințe de rețea.