Zeek 7 正式发布！一款广受欢迎的开源网络安全监控工具

在网络安全领域，Zeek（前称Bro）一直是一款广受欢迎的开源网络安全监控工具。作为一个被广泛使用的被动流量分析器，Zeek不仅能记录网络活动，还能检测网络中的异常行为。因此，每次新版本的发布都会引起广泛关注。2024年8月，Zeek 7 正式发布，带来了其核心架构的重大升级，以及许多全新功能。

本篇文章将深入探讨 Zeek 7 的主要改进，并分析这些改进对网络安全监控的重要影响。

• Zeek官网：

https://zeek.org/

• Zeek 7发布公告

https://zeek.org/2024/08/27/introducing-zeek-7/

• Zeek 7下载：

https://zeek.org/get-zeek/

Zeek 7 在其核心架构上进行了全面的重构，这一过程旨在将系统模块化、现代化，以提高整体性能和可扩展性。这种架构升级对 Zeek 的长期发展具有深远的影响。

Zeek 7 的核心架构采用了模块化设计，这意味着系统的各个组件被拆分为独立的模块，可以根据需要进行加载或禁用。这种设计使得 Zeek 在处理不同规模和复杂度的网络时更加灵活。例如，用户可以根据网络环境的需求，选择性地启用或禁用特定的流量分析模块，从而优化系统性能并减少不必要的资源消耗。

通过对架构的重构，Zeek 7 实现了更高效的数据处理能力。例如，在处理大量数据包时，新的架构可以更快地过滤和分析数据，从而减少了延迟。此外，Zeek 7 引入了多线程支持，允许并行处理不同类型的网络流量。这一改进极大地提高了 Zeek 处理高吞吐量网络的能力，使其能够更好地适应现代网络的需求。

Zeek 7 的模块化设计还提升了系统的可扩展性。用户可以根据需要开发和集成新的模块，以实现特定的功能。例如，企业可以为其网络开发定制的流量分析器，并将其无缝集成到 Zeek 中。此外，Zeek 7 还支持与其他安全工具的集成，如SIEM系统、威胁情报平台等，为用户提供更全面的安全监控能力。

全新的 Telemetry 框架

Telemetry 是 Zeek 用于监控和报告其自身性能和状态的关键组件。在 Zeek 7 中，Telemetry 框架得到了彻底的改进，从而提高了数据收集和监控的效率。

在之前的版本中，Zeek 的 Telemetry 框架依赖于 Broker 和 CAF（C++ Actor Framework）来进行操作。然而，这种依赖关系往往导致性能问题，尤其是在需要将大量数据聚合到管理节点时。Zeek 7 通过与 Prometheus 的无缝集成解决了这个问题。新的框架直接使用 prometheus-cpp 和 civetweb 进行操作，避免了之前的瓶颈。

新的 Telemetry 框架支持 Prometheus 的 HTTP 服务发现，这使得集群中各个节点的指标抓取更加高效。通过这种方式，用户可以实时监控每个节点的性能状态，并迅速检测和处理潜在的问题。这种改进大大简化了 Telemetry 的部署和维护，同时提高了系统的稳定性。

Zeek 7 还提供了更多的选项来定制 Telemetry 的行为。用户可以根据自身需求选择哪些指标需要被监控，以及如何收集和处理这些数据。例如，用户可以设置特定的阈值，当系统性能指标超过这些阈值时，触发告警机制。这种灵活性使得 Zeek 7 更加适合复杂的企业网络环境。

Spicy 1.11 编译器升级

Spicy 是 Zeek 中的一个重要组件，用于协议分析和解析。在 Zeek 7 中，Spicy 1.11 带来了编译器技术的重大改进，这些改进不仅加速了操作，还提升了代码的可靠性。

Spicy 1.11 编译器经过优化，操作速度提高了高达30%。这一改进特别体现在某些协议的处理上，例如在处理复杂的嵌套协议时，新的编译器能够更快地解析和分析数据，从而减少系统延迟。这一性能提升对需要实时处理大量数据的企业来说尤为重要。

新的编译器还增强了错误检测的能力。在编写和调试分析脚本时，Spicy 1.11 可以更早、更准确地发现潜在的代码错误。这一改进减少了调试时间，提高了开发效率。此外，编译器还提供了更详细的错误信息，使开发人员能够更快地定位和修复问题。

Spicy 1.11 的另一个重要改进是其扩展性。用户可以更轻松地扩展编译器的功能，以支持新的协议和数据格式。这使得 Zeek 7 能够适应不断变化的网络环境，并及时应对新出现的威胁。

Zeek 抽象机器（ZAM）

Zeek 7 的另一个重大创新是引入了 Zeek 抽象机器（ZAM）。ZAM 是一个可选的脚本优化引擎，旨在通过改变脚本的执行模式来提高性能。

在传统的 Zeek 执行模型中，脚本被解析成抽象语法树（AST），并逐节点进行解释执行。这种方法虽然灵活，但在处理复杂脚本时往往会导致性能瓶颈。ZAM 通过将这些抽象语法树编译成低级形式，从而加快了执行速度。这种低级形式更接近于机器码，可以直接在硬件上高效运行。

ZAM 的引入显著提升了 Zeek 处理复杂分析任务的能力。例如，在需要实时分析大量网络数据包的情况下，ZAM 可以显著减少处理时间，并提高整体系统的吞吐量。这一改进对需要高性能和低延迟的网络环境尤其有利。

值得注意的是，ZAM 是一个可选的优化引擎。对于那些已经适应现有脚本执行模式的用户，可以选择不使用 ZAM，继续沿用传统的执行模式。然而，对于那些需要更高性能的用户，ZAM 提供了一个强大的选项来进一步优化 Zeek 的性能。

增强的脚本语言和分析器配置

Zeek 7 还对其脚本语言和分析器配置进行了多项改进，使用户能够更灵活地定制和优化系统的行为。

在 Zeek 7 中，脚本语言得到了增强，使其更加简洁和高效。新的语法特性和库函数使得编写和维护分析脚本变得更加容易。例如，新增的函数允许用户更高效地处理复杂的数据结构，从而减少脚本的复杂度和运行时间。

Zeek 7 引入了多个新的分析器，进一步扩展了其协议支持范围。其中，基于 Spicy 的 QUIC 和 LDAP 分析器是最值得关注的。这些分析器利用了 Spicy 1.11 的编译器改进，能够更快速、更准确地解析和分析这些复杂协议。此外，Zeek 7 还增强了对 HTTP 升级和 WebSocket 分析的支持，使其能够更全面地监控和分析现代网络流量。

JSON 是现代网络中常见的数据交换格式。Zeek 7 对 JSON 的处理能力进行了显著提升，尤其是在日志写入和深度封装嵌套的处理上。通过新的优化，Zeek 7 能够更高效地解析和生成 JSON 数据，从而减少了系统的开销，并提高了数据处理的准确性。