Zeek实战--快速构建流量安全能力

本书深入介绍流量安全 分析工具Zeek，内容涵盖 环境搭建、工具安装、基础 应用和Zeek脚本编程等多 个方面。同时，本书还结合 网络安全工作中的实际需求 向读者展示以Zeek为基础 快速搭建一套相对完整的流 量分析体系的过程。 全书共分3部分：第1部 分（第1章）着重介绍网络 流量分析在网络安全工作中 的重要意义，以及一个完整 流量分析体系的大致框架； 第2部分（第2～5章）为基 础篇，着重介绍Zeek的基 本功能及使用方法，并在第 5章中通过6个示例向读者展 示Zeek在实际场景中的运 用；第3部分（第6～8章） 为进阶篇，重点介绍使用 Zeek时需要了解的脚本编 程内容及相关功能框架，并 在第8章中通过示例向读者 展示如何将一个流量分析目 标最终落地成可运行的 Zeek脚本。 本书适合作为信息安全 从业人员、流量分析相关工 作者的工具书，同时可供对 Zeek或流量分析领域感兴 趣的开发人员、广大科技工 作者和研究人员参考。

高勇，CISA、CISSP、CISP、PMP、ISO27001LA认证专家，先后在华为、平安等头部企业从事信息安全工作，当前主要聚焦在金融数据安全领域。同时也是一个Geek，热衷于钻研各种安全技术，并乐此不疲。

第1章 网络流量与网络安全 1.1 网络与安全 1.2 流量与网络 1.3 流量分析 1.4 经验与总结 基础篇 第2章 Zeek介绍 2.1 Zeek是什么 2.2 Zeek的特点 2.2.1 部署使用 2.2.2 内置功能 2.2.3 开发语言 2.3 Zeek的功能架构 2.4 Zeek的应用场景 2.5 Zeek的版本与相关资源 2.6 经验与总结 第3章 搭建环境 3.1 本书运行环境 3.1.1 安装VirtualBox 3.1.2 创建虚拟机 3.1.3 安装Ubuntu Desktop操作系统 3.1.4 优化运行环境 3.1.5 配置网络 3.2 从外部源安装Zeek 3.3 从源代码安装Zeek 3.4 运行Zeek 3.5 经验与总结 第4章 认识与使用Zeek 4.1 目录结构 4.2 zeek命令与zeekctl命令 4.2.1 zeek命令 4.2.2 zeekctl命令 4.3 分析日志（logging) 4.3.1 日志的功能 4.3.2 日志的存储 4.4 conn.log日志文件 4.4.1 uid字段 4.4.2 orig、resp与local等字段 4.4.3 conn_state与history字段 4.5 加载脚本 4.6 zeek-cut工具 4.7 zeekygen工具 4.8 btest框架 4.9 经验与总结 第5章 基础应用示例 5.1 发现网络资产 5.2 网络扫描 5.3 SSH暴力破解 5.4 SQL入 5.5 文件解析