參考了部分互聯(lián)網(wǎng)內(nèi)容，數(shù)據(jù)范圍主要包括以下幾個(gè)方面：

●完整內(nèi)容數(shù)據(jù)(PCAP)

? ? ? ? 進(jìn)行數(shù)據(jù)包分析時(shí)，常用到以下三種基本技術(shù)：

? ? ? ? 包過(guò)濾：通過(guò)各個(gè)協(xié)議的元數(shù)據(jù)或者載荷中的字段或者字段的值來(lái)分離數(shù)據(jù)包。

? ? ? ? 模式匹配：通過(guò)對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行快速搜索，搜索到那些感興趣的關(guān)鍵詞、字符串、名稱或協(xié)議模式。可以將關(guān)鍵詞組合成正則表達(dá)式，采用輔助工具進(jìn)行模式匹配。

? ? ? ? 協(xié)議字段分析：從所捕獲到的數(shù)據(jù)包中提取出協(xié)議字段中的數(shù)據(jù)。

●提取內(nèi)容數(shù)據(jù)

? ? ? ? ??包字符串?dāng)?shù)據(jù)是從包捕獲數(shù)據(jù)中導(dǎo)出來(lái)的，是介于包捕獲數(shù)據(jù)和會(huì)話數(shù)據(jù)之間的一種數(shù)據(jù)格式，該數(shù)據(jù)格式包括報(bào)文協(xié)議報(bào)頭中提取的明文字符串。其粒度接近于包捕獲數(shù)據(jù)，但在容量上比包捕獲數(shù)據(jù)更容易管理，并且可以存儲(chǔ)較長(zhǎng)時(shí)間。包字符串?dāng)?shù)據(jù)兼具包捕獲數(shù)據(jù)的完整和會(huì)話數(shù)據(jù)的速度，對(duì)存儲(chǔ)空間要求也不那么高，且可以根據(jù)用戶需求進(jìn)行自定義，因此是一種比較理想且恰當(dāng)?shù)木W(wǎng)絡(luò)安全數(shù)據(jù)類型。

●會(huì)話數(shù)據(jù)

? ? ? ? ??會(huì)話數(shù)據(jù)最常見(jiàn)的是標(biāo)準(zhǔn)的五元組數(shù)據(jù)

? ? ? ? ??會(huì)話數(shù)據(jù)最常見(jiàn)的類型有兩種：NetFlow和IPFIX。

? ? ? ? ? NetFlow提供網(wǎng)絡(luò)流量的會(huì)話級(jí)視圖，記錄下每個(gè)事務(wù)的信息。一個(gè)NetFlow流被定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。Netflow是會(huì)話數(shù)據(jù)的標(biāo)準(zhǔn)形式，它詳細(xì)描述了網(wǎng)絡(luò)流量的“誰(shuí)、什么、何時(shí)、何地”。

? ? ? ? ??IPFIX全稱為IP Flow Information Export，即IP數(shù)據(jù)流信息輸出。IPFIX默認(rèn)使用網(wǎng)絡(luò)設(shè)備的七個(gè)關(guān)鍵屬性來(lái)表示每股網(wǎng)絡(luò)流量，即源IP地址、目的IP地址、/UDP源端口、/UDP目的端口、三層協(xié)議類型、服務(wù)類型字節(jié)、輸入邏輯接口。如果不同的IP報(bào)文中所有的七個(gè)關(guān)鍵域都能匹配，那么這些IP報(bào)文都將被視為屬于同一股網(wǎng)絡(luò)流量。

●統(tǒng)計(jì)數(shù)據(jù)

●元數(shù)據(jù)

? ? ? ? ??元數(shù)據(jù)（Metadata）又稱中介數(shù)據(jù)、中繼數(shù)據(jù)，簡(jiǎn)單定義就是描述數(shù)據(jù)的數(shù)據(jù)。是指從信息資源中抽取出來(lái)的用于說(shuō)明其特征、內(nèi)容的結(jié)構(gòu)化的數(shù)據(jù)(如題名,版本、出版數(shù)據(jù)、相關(guān)說(shuō)明,包括檢索點(diǎn)等)，用于組織、描述、檢索、保存、管理信息和知識(shí)資源。比如，關(guān)于一本書（信息資源），我們?cè)趫D書館系統(tǒng)中檢索可以得到如下信息，

? ? ? ? ? 一個(gè)基本的元數(shù)據(jù)由元數(shù)據(jù)項(xiàng)目和元數(shù)據(jù)內(nèi)容的構(gòu)成。這里，“題名”就是它的元數(shù)據(jù)項(xiàng)目，“史蒂夫·喬布斯傳 (美) 沃爾特·艾薩克森著 = Steve Jobs Walter Isaacson eng”就是元數(shù)據(jù)內(nèi)容。再比如，“著者”、“出版者”都是元數(shù)據(jù)項(xiàng)目，而“艾薩克森 (Isaacson, Walter) 著”和“中信出版社”就是元數(shù)據(jù)內(nèi)容。利用元數(shù)據(jù)來(lái)描述資源后，我們就可以用來(lái)做很多的事情。比如確定資源，為資源提供檢索點(diǎn)，在不同系統(tǒng)之間進(jìn)行數(shù)據(jù)交換。

? ? ? ? ? ?為了獲取元數(shù)據(jù)，我們從網(wǎng)絡(luò)活動(dòng)中提取關(guān)鍵元素，然后利用一些外部工具來(lái)理解它。很多其他形式的元數(shù)據(jù)可以衍生自網(wǎng)絡(luò)流量，這些元數(shù)據(jù)提供了網(wǎng)絡(luò)威脅活動(dòng)中的一些關(guān)鍵重要信息。如網(wǎng)站IP地址的WHOIS輸出內(nèi)容、域名的元數(shù)據(jù)。

●日志數(shù)據(jù)

? ? ? ? ?根據(jù)日志的來(lái)源，可以把日志分為物理設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)日志和應(yīng)用程序日志。

? ? ? ? ?根據(jù)日志的記錄架構(gòu)，可以把日志分為本地日志、遠(yuǎn)程分散日志和集中管理日志。

? ? ? ? ?日志數(shù)據(jù)可以作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一個(gè)重要數(shù)據(jù)類型和來(lái)源，可通過(guò)集中管理控制臺(tái)進(jìn)行日志聚合，并通過(guò)命令行或可視化工具進(jìn)行查看，以及采用特定關(guān)鍵詞檢索、過(guò)濾、活動(dòng)模式識(shí)別、特征分析和關(guān)聯(lián)等技術(shù)進(jìn)行日志分析。

●告警數(shù)據(jù)

? ? ? ? ? 告警數(shù)據(jù)是指當(dāng)檢測(cè)系統(tǒng)中某些量的值超過(guò)了所規(guī)定的界限，或者匹配到既定的檢測(cè)規(guī)則，或者任何被配置檢查的數(shù)據(jù)出現(xiàn)異常時(shí)，系統(tǒng)自動(dòng)產(chǎn)生的警告信息。入侵檢測(cè)系統(tǒng)（IDS）是告警數(shù)據(jù)的一個(gè)重要來(lái)源，它能監(jiān)視和解析網(wǎng)絡(luò)流量。安全人員能夠在IDS的控制臺(tái)上審查告警數(shù)據(jù)。

? ? ? ? ?網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)于事件的分析往往是基于告警數(shù)據(jù)生成的。關(guān)于告警與事件的區(qū)別在于，告警允許安全人員應(yīng)答，而事件是指用戶對(duì)系統(tǒng)的行為、動(dòng)作，如修改了某個(gè)變量的值，或者用戶的登錄/注銷、站點(diǎn)的啟動(dòng)/退出等，事件不需要安全人員應(yīng)答。

總結(jié)

以上是生活随笔為你收集整理的网络安全态势感知-全流量安全分析之数据范围的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。