PriyanshuKhambalkar/zeek-detection-rules
GitHub: PriyanshuKhambalkar/zeek-detection-rules
一套纯 Zeek 脚本编写的轻量级网络攻击检测器,覆盖暴力破解、SQL 注入与 XSS 检测,输出结构化 JSON 日志并可对接 Wazuh SIEM。
Stars: 0 | Forks: 0
# 🦉 ZEEK 检测套件
### 定制 Zeek 网络安全监控脚本
*一系列基于规则的轻量级 Zeek 检测器,专为实时攻击检测而构建 —— 无需第三方包,无外部依赖,纯 Zeek 脚本。*





---
## ⚡ 这是什么?
本仓库是一套**定制 Zeek 检测脚本**,作为我的 **NativeDefence** 网络安全家庭实验室的一部分而构建。每个脚本都挂载到 Zeek 的事件引擎中,以识别网络上的特定攻击模式,并写入结构化的 JSON 告警,可由 SIEM (Wazuh) 接收,用于集中告警和关联。
每个检测器都是自包含的,位于其专属的文件夹中,包含相应的脚本和文档。
## 🎯 检测器
| # | 检测器 | 检测内容 | 日志输出 | 文档 |
|---|---|---|---|---|
| 1 | 🔓 **暴力破解** | 来自单一来源的重复失败认证尝试 (SSH/HTTP) | `bruteforce.log` | [bruteforce-detector/README.md](bruteforce-detector/README.md) |
| 2 | 💉 **SQL 注入** | HTTP 请求 (URI/参数) 中的 SQLi payload | `sqli.log` | [sqli-detector/README.md](sqli-detector/README.md) |
| 3 | 🕸️ **XSS** | HTTP 请求中的跨站脚本 payload | `xss.log` | [xss-detector/README.md](xss-detector/README.md) |
## 🖥️ 环境
| 组件 | 详情 |
|---|---|
| Zeek 版本 | `6.0.9` |
| 操作系统 | Debian (`ndos`) |
| 日志格式 | JSON (`LogAscii::use_json = T`) |
| 目标实验室 | DVWA 虚拟机,Windows 工作站 |
| 流量来源 | Sophos SFOS 防火墙 span/mirror |
## 📁 项目结构
```
zeek-detection-suite/
├── README.md
├── .gitignore
├── bruteforce-detector/
│ ├── README.md
│ └── bruteforce-detect.zeek
├── sqli-detector/
│ ├── README.md
│ └── sqli-alert.zeek
└── xss-detector/
├── README.md
└── xss-detect.zeek
```
## ⚙️ 设置
1. 将所需检测器文件夹中的 `.zeek` 文件复制到你的 Zeek 脚本目录中。
2. 在 `local.zeek` 中加载它:
```
@load ./bruteforce-detect.zeek
@load ./sqli-alert.zeek
@load ./xss-detect.zeek
```
3. 部署:
```
zeekctl deploy
```
4. 告警将以 JSON 格式输出到 `/var/log/zeek/current/`,可通过定制的解码器/规则供 Wazuh 接收。
## 📝 备注
- 构建并测试于 **Zeek 6.0.9**,由于此处的 `SumStats` 存在兼容性问题 —— 检测器均改用手动的基于表的跟踪方式。
- 每个检测器都是独立的 —— 可以使用其中一个、两个或全部三个。
## 🧩 NativeDefence 的一部分
本仓库是更庞大的结构化家庭实验室(Zeek + Wazuh SIEM + Sophos 防火墙)的一个组件,该实验室是作为网络安全作品集项目而构建的。
**许可证:** MIT
标签:CISA项目, Debian, DOE合作, Homebrew安装, Rootkit, Wazuh, Zeek, 子域枚举, 安全检测脚本, 红队行动, 网络安全, 隐私保护