Zeek (Bro)와 Snort 3의 차이점

Snort는 심층 패킷 검사를 수행 한 다음 서명을 적용하는 전통적인 IDS / IPS입니다. 공격을 탐지 (그리고 차단할 수 있음)하기위한 트래픽입니다.

Zeek는 IDS라고 주장하지 않고 대신 네트워크 모니터 및 트래픽 분석기라고 주장합니다. From 자체 설명 :

Zeek는 수동적 인 오픈 소스 네트워크 트래픽 분석기입니다. 주로 보안 모니터입니다. 의심스러운 활동의 징후가 있는지 링크의 모든 트래픽을 심층적으로 검사합니다. 그러나 일반적으로 Zeek는 성능 측정 및 문제 해결 지원을 포함하여 보안 영역 외부에서도 광범위한 트래픽 분석 작업을 지원합니다.

내가 아는 한 (예 : 다른 사람들과의 토론에서 얻은 것) 따라서 Zeek는 트래픽의 세부 사항을 캡처하고이를 일부 분석 시스템으로 전달하는 데 더 많이 사용됩니다. 공격에 관한 분석은 주로 Zeek 외부에서 이루어지며 Zeek의 초점은 트래픽에 대한 자세한 정보를 수집하는 것입니다. 때때로 환경에서 사용되는 프로토콜에 특정한 사용자 정의 프로토콜 해부 기가 추가됩니다. 예를 들어 Bro / Zeek는 트래픽 세부 정보를 얻기 위해 Darktrace에서 사용되는 것 같습니다.

Snort 또는 Suricata와 같은 고전적인 서명 기반 IDS가 대신 실제 IDS로 더 많이 사용됩니다. 즉, 특정 공격 서명을 일치시키는 데 초점이 맞춰져 있습니다. 예를 들어 시스코는 새로운 공격이 발생할 때 가입자에게 새로운 서명을 제공합니다. 하지만 Snort 또는 Suricata가 트래픽에 대한 정보 만 수집하고 이러한 트래픽 세부 정보를 Zeek가 일반적으로 사용되는 방식과 유사하게 더 큰 시스템에 공급하는 데 사용되는 몇 가지 사례도 알고 있습니다.

즉, 다음과 같습니다. 중복 기능. 그러나 이러한 도구의 기본 목표는 다르므로 사용 사례이기도합니다.

둘 다 NIDS ( 네트워크 침입 탐지 시스템). 주요 차이점은 탐지 방법입니다. 예를 들어 snort에서 탐지는 규칙을 사용하여 소프트웨어 내에서 이루어집니다. 반면에 Bro / Zeek는 파일에 대한 정보를 덤프하는 방식으로 작동하며 다른 도구로 탐지를 수행해야합니다. 그러나 저는 형제에서 원하는대로 네트워크 대화에 레이블을 지정할 수있는 플러그인을 Lua에서 만들 수 있다고 생각합니다. 아마도 더 많은 차이점 (라이센스, 형식 파일 등)이있을 수 있지만 지금은 그것이 제 마음에 떠오른 것입니다.

댓글

• 답변 해 주셔서 감사합니다. 하지만 ' 더 구체적인 것에 관심이 있습니다. zeek가 코나 트가 할 수없는 공격 유형을 감지 할 수 있습니까? 아니면 리소스가 덜 필요합니까?
• @ustavsaat, 어떤 공격을 탐지하고 싶으십니까? 그러면 " 작업에 적합한 도구를 찾거나 " 다른 사람에게 내가 가지고있는 것을 제안하도록 RITA 와 같이 고려되지 않습니다.