ugurkuten/zeek-ids-scripts

# Zeek IDS 脚本 一组用于检测 HTTP、UDP 和 ICMP 洪水攻击的定制 Zeek IDS 脚本。每个脚本都使用 Zeek 的 SumStats 框架来统计每个源 IP 在 2 分钟时间间隔内的请求数。在启动时应用静态阈值，并在第一个时间间隔后为每个 IP 存储动态基线，如果流量超过基线的 5 倍则触发通知。这些脚本是我本科论文的一部分。 ## 兼容性 在 Zeek 8.0 上编写和测试。这些脚本也可能在早期版本上运行，可能需要稍作调整。 ## 文件 - `http_flood.zeek` - 使用 SumStats、阈值和异常检测 HTTP 洪水 - `udp_flood.zeek` - 使用 SumStats、阈值和异常检测 UDP 洪水 - `icmp_flood.zeek` - 使用 SumStats、阈值和异常检测 ICMP 洪水 ## 使用方法 ### 选项 1 - 在网络接口上直接运行 ``` zeek -i -C http_flood.zeek zeek -i -C udp_flood.zeek zeek -i -C icmp_flood.zeek ``` ### 选项 2 - 通过 local.zeek 加载 1. 将 `.zeek` 文件复制到您的 Zeek 脚本目录（通常是 `/usr/local/zeek/share/zeek/site/`）。 2. 将以下行添加到您的 `local.zeek`： ``` @load http_flood @load udp_flood @load icmp_flood ``` 3. 确保Zeek配置了正确的网络接口。 4. 重新启动 Zeek 或重新加载配置： ``` zeekctl deploy ``` ## 要求 - Zeek 8.0 - 以下 Zeek 框架（默认包含）： - `base/frameworks/sumstats` - `base/frameworks/notice` - `base/protocols/http` ## 许可证 MIT

标签：HTTP攻击检测, ICMP攻击检测, IDS脚本, Rootkit, SumStats框架, UDP攻击检测, Zeek, 入侵检测系统, 动态基线, 安全数据湖, 开源许可, 异常检测, 流量监控, 系统部署, 网络安全, 阈值检测, 隐私保护