El 15 de octubre de 2018, el proyecto pasó a llamarse Zeek. La razón dada es la connotación negativa asociada con la "cultura Bro" . [una]
| Hermano / Zeek | |
|---|---|
| Tipo de | Sistema de detección de intrusos en la red |
| Desarrollador | Vern Paxson |
| Escrito en | C++ [2] |
| Sistema operativo | linux |
| ultima versión | 2.5.2 (16 de octubre de 2017 ) |
| Licencia | licencia BSD |
| Sitio web | bro-ids.org |
Zeek se refiere a un sistema de detección de intrusos en la red basado en Unix que monitorea los datos de la red y detecta actividades sospechosas. Zeek primero analiza los datos de la red y selecciona la semántica de la capa de la aplicación, luego la ejecuta en analizadores controlados por eventos que comparan la actividad con los patrones que pueden dañar el sistema. El análisis incluye la detección de ataques específicos (tanto determinados por firmas como determinadas condiciones y eventos) y comportamientos anómalos (múltiples conexiones de la máquina a determinados servicios).
Zeek usa su propio lenguaje para escribir políticas que guiarán al sistema si se activan sensores o cuando se detectan nuevos ataques. Si Zeek detecta algo "interesante", se le puede indicar que recopile y envíe un registro, informe al operador en tiempo real o ejecute algún comando, como restablecer la conexión sospechosa.
Zeek está dirigido a redes con conectividad de alta velocidad para escanear grandes cantidades de datos. Mediante el uso inteligente de técnicas de filtrado de paquetes, Zeek puede lograr el rendimiento requerido en cualquier computadora, por lo que es bastante asequible.
Zeek está diseñado para usarse en redes donde se requiere flexibilidad y un alto grado de personalización del sistema. Inicialmente, el sistema se desarrolló como una plataforma de investigación para la investigación de intrusiones y el análisis de datos. No está diseñado para ser utilizado fuera de la caja. El sistema debe ser utilizado por especialistas de Unix con muchos conocimientos de redes.