PriyanshuKhambalkar/zeek-detection-rules

GitHub: PriyanshuKhambalkar/zeek-detection-rules

一套纯 Zeek 脚本编写的轻量级网络攻击检测器,覆盖暴力破解、SQL 注入与 XSS 检测,输出结构化 JSON 日志并可对接 Wazuh SIEM。

Stars: 0 | Forks: 0

# 🦉 ZEEK 检测套件 ### 定制 Zeek 网络安全监控脚本 *一系列基于规则的轻量级 Zeek 检测器,专为实时攻击检测而构建 —— 无需第三方包,无外部依赖,纯 Zeek 脚本。* ![Zeek](https://img.shields.io/badge/Zeek-6.0.9-1793D1?style=for-the-badge) ![NSM](https://img.shields.io/badge/NSM-Network%20Security%20Monitoring-critical?style=for-the-badge) ![JSON](https://img.shields.io/badge/Logs-JSON-yellow?style=for-the-badge) ![SIEM](https://img.shields.io/badge/SIEM-Wazuh%20Ready-green?style=for-the-badge) ![Platform](https://img.shields.io/badge/Platform-Debian-orange?style=for-the-badge)
--- ## ⚡ 这是什么? 本仓库是一套**定制 Zeek 检测脚本**,作为我的 **NativeDefence** 网络安全家庭实验室的一部分而构建。每个脚本都挂载到 Zeek 的事件引擎中,以识别网络上的特定攻击模式,并写入结构化的 JSON 告警,可由 SIEM (Wazuh) 接收,用于集中告警和关联。 每个检测器都是自包含的,位于其专属的文件夹中,包含相应的脚本和文档。 ## 🎯 检测器 | # | 检测器 | 检测内容 | 日志输出 | 文档 | |---|---|---|---|---| | 1 | 🔓 **暴力破解** | 来自单一来源的重复失败认证尝试 (SSH/HTTP) | `bruteforce.log` | [bruteforce-detector/README.md](bruteforce-detector/README.md) | | 2 | 💉 **SQL 注入** | HTTP 请求 (URI/参数) 中的 SQLi payload | `sqli.log` | [sqli-detector/README.md](sqli-detector/README.md) | | 3 | 🕸️ **XSS** | HTTP 请求中的跨站脚本 payload | `xss.log` | [xss-detector/README.md](xss-detector/README.md) | ## 🖥️ 环境 | 组件 | 详情 | |---|---| | Zeek 版本 | `6.0.9` | | 操作系统 | Debian (`ndos`) | | 日志格式 | JSON (`LogAscii::use_json = T`) | | 目标实验室 | DVWA 虚拟机,Windows 工作站 | | 流量来源 | Sophos SFOS 防火墙 span/mirror | ## 📁 项目结构 ``` zeek-detection-suite/ ├── README.md ├── .gitignore ├── bruteforce-detector/ │ ├── README.md │ └── bruteforce-detect.zeek ├── sqli-detector/ │ ├── README.md │ └── sqli-alert.zeek └── xss-detector/ ├── README.md └── xss-detect.zeek ``` ## ⚙️ 设置 1. 将所需检测器文件夹中的 `.zeek` 文件复制到你的 Zeek 脚本目录中。 2. 在 `local.zeek` 中加载它: ``` @load ./bruteforce-detect.zeek @load ./sqli-alert.zeek @load ./xss-detect.zeek ``` 3. 部署: ``` zeekctl deploy ``` 4. 告警将以 JSON 格式输出到 `/var/log/zeek/current/`,可通过定制的解码器/规则供 Wazuh 接收。 ## 📝 备注 - 构建并测试于 **Zeek 6.0.9**,由于此处的 `SumStats` 存在兼容性问题 —— 检测器均改用手动的基于表的跟踪方式。 - 每个检测器都是独立的 —— 可以使用其中一个、两个或全部三个。 ## 🧩 NativeDefence 的一部分 本仓库是更庞大的结构化家庭实验室(Zeek + Wazuh SIEM + Sophos 防火墙)的一个组件,该实验室是作为网络安全作品集项目而构建的。
**许可证:** MIT
标签:CISA项目, Debian, DOE合作, Homebrew安装, Rootkit, Wazuh, Zeek, 子域枚举, 安全检测脚本, 红队行动, 网络安全, 隐私保护