Zeek 實戰 — 快速構建流量安全能力

本書深入介紹流量安全分析工具Zeek，內容涵蓋環境搭建、工具安裝、基礎應用和Zeek腳本編程等多個方面。同時，本書還結合網絡安全工作中的實際需求向讀者展示以Zeek為基礎快速搭建一套相對完整的流量分析體系的過程。 全書共分3部分: 第1部分（第1章）著重介紹網絡流量分析在網絡安全工作中的重要意義，以及一個完整流量分析體系的大致框架；第2部分（第2～5章）為基礎篇，著重介紹Zeek的基本功能及使用方法，並在第5章中通過6個示例向讀者展示Zeek在實際場景中的運用；第3部分（第6～8章）為進階篇，重點介紹使用Zeek時需要瞭解的腳本編程內容及相關功能框架，並在第8章中通過示例向讀者展示如何將一個流量分析目標最終落地成可運行的Zeek腳本。 本書適合作為信息安全從業人員、流量分析相關工作者的工具書，同時可供對Zeek或流量分析領域感興趣的開發人員、廣大科技工作者和研究人員參考。

目錄

 

 

第1章網絡流量與網絡安全第1章網絡流量與網絡安全1

1.1網絡與安全1

1.2流量與網絡3

1.3流量分析4

1.4經驗與總結7

基礎篇

第2章Zeek介紹112.1Zeek是什麽11

2.2Zeek的特點13

2.2.1部署使用14

2.2.2內置功能15

2.2.3開發語言15

2.3Zeek的功能架構16

2.4Zeek的應用場景18

2.5Zeek的版本與相關資源21

2.6經驗與總結21

第3章搭建環境23

3.1本書運行環境23

3.1.1安裝VirtualBox24

3.1.2創建虛擬機26

3.1.3安裝Ubuntu Desktop操作系統26

3.1.4優化運行環境30

3.1.5配置網絡34

3.2從外部源安裝Zeek39

3.3從源代碼安裝Zeek42

3.4運行Zeek42

3.5經驗與總結44

第4章認識與使用Zeek45

4.1目錄結構45

4.2zeek命令與zeekctl命令52

4.2.1zeek命令52

4.2.2zeekctl命令56

4.3分析日誌（logging）58

4.3.1日誌的功能60

4.3.2日誌的存儲63

4.4conn.log日誌文件64

4.4.1uid字段65

4.4.2orig、resp與local等字段72

4.4.3conn_state與history字段73

4.5加載腳本76

4.6zeekcut工具77

4.7zeekygen工具80

4.8btest框架82

4.9經驗與總結87

第5章基礎應用示例88

5.1發現網絡資產88

5.2網絡掃描93

5.3SSH暴力破解96

5.4SQL註入99

5.5文件解析102

5.6可視化分析108

5.7經驗與總結118

Zeek實戰——快速構建流量安全能力目錄進階篇

第6章Zeek腳本1216.1“Hello World！”程序121

6.2基本語法122

6.3運算符（operator）124

6.3.1算術運算符124

6.3.2邏輯運算符124

6.3.3關系運算符125

6.3.4位運算符125

6.3.5賦值運算符126

6.3.6其他運算符126

6.4數據類型（types）127

6.4.1int、count、double數據類型127

6.4.2bool數據類型130

6.4.3enum數據類型130

6.4.4string數據類型133

6.4.5time、interval數據類型135

6.4.6pattern數據類型137

6.4.7port、addr、subnet數據類型138

6.4.8set、vector、table數據類型139

6.4.9record數據類型147

6.4.10file數據類型148

6.4.11opaque數據類型149

6.4.12function、event、hook數據類型150

6.4.13any數據類型155

6.5聲明（declarations）155

6.5.1module、export聲明155

6.5.2global、local聲明158

6.5.3const聲明160

6.5.4option聲明160

6.5.5type聲明161

6.5.6redef聲明161

6.5.7function、event、hook聲明162

6.6語句（statements）163

6.6.1add、delete語句163

6.6.2print語句163

6.6.3event、schedule語句164

6.6.4for、while、next語句165

6.6.5if、else、switch、fallthrough語句168

6.6.6when語句170

6.6.7break語句172

6.6.8return語句172

6.7屬性（attributes）173

6.7.1&redef屬性173

6.7.2&priority屬性173

6.7.3&log屬性173

6.7.4&optional屬性173

6.7.5&default屬性173

6.7.6&add_func、&delete_func屬性174

6.7.7&create_expire、&read_expire、&write_expire、&expire_func屬性175

6.7.8&on_change屬性177

6.7.9&raw_output屬性178

6.7.10&error_handler屬性179

6.7.11&type_column屬性179

6.7.12&backend、&broker_store、&broker_allow_complex_type屬性179

6.7.13&deprecated屬性179

6.8指令（directives）179

6.8.1@DIR、@FILENAME指令179

6.8.2@deprecated指令180

6.8.3@load、@loadplugin、@loadsigs、@unload指令180

6.8.4@prefixes指令181

6.8.5@if、@ifdef、@ifndef、@else、@endif指令181

6.8.6@DEBUG指令183

6.9模塊、命名空間與作用域183

6.9.1全局模塊184

6.9.2符號的作用域185

6.9.3符號檢索的順序187

6.10常用數據結構188

6.10.1GLOBAL::conn_id結構188

6.10.2GLOBAL::endpoint結構189

6.10.3GLOBAL::connection結構189

6.11經驗與總結190

第7章Zeek框架192

7.1日誌框架（Log::）192

7.1.1日誌流193

7.1.2過濾器194

7.1.3輸出端195

7.1.4代碼示例195

7.2輸入框架（Input::）197

7.2.1讀取至table類型197

7.2.2讀取至Files::框架200

7.2.3讀取至event事件200

7.2.4數據來源201

7.3配置框架（Config::）202

7.4統計框架（SumStats::）206

7.4.1基礎概念及使用方法206

7.4.2關鍵數據結構及接口208

7.5通知框架（Notice::）211

7.5.1基礎使用方法212

7.5.2添加action214

7.5.3Weird::模塊216

7.6文件框架（Files::）217

7.6.1文件視角217

7.6.2分析器222

7.6.3本地文件分析225

7.7情報框架（Intel::）227

7.7.1形成情報數據227

7.7.2查詢情報的邏輯229

7.7.3命中之後的行為229

7.7.4代碼示例229

7.8特徵框架（Signatures::）231

7.8.1基本功能232

7.8.2特徵語法234

7.9經驗與總結239

第8章進階應用示例242

8.1常用資源242

8.2分析目標243

8.3規劃腳本243

8.4實現功能244

8.5經驗與總結247