第三章 网络安全数据范围

白塔河山   ·   发表于 2021-08-17 22:08:44   ·   闲聊灌水区

1,完整内容数据:

wireshark抓包软件,包捕获数据是众数据类型之首,常见格式是PCAP数据格式。wireshark和burp和fiddler的区别:抓http协议层的报文,一般用fiddler和burpsuite。看底层网络报文用wireshark好,能看见syn ack和完整的TCP报文,着重于协议分析。

2,提取内容数据:

包字符串数据:兼具包捕获数据的完整和会话数据的速度,对存储空间要求也没有那么高,且可以根据用户需求进行自定义,是一种比较理想的网络安全数据类型。常见的格式有两种,一,只提取协议的报头信息二,只提取协议的有效载荷数据,对存储有要求,通常采用日志数据格式进行容量压缩。Justniffer软件。

3,会话数据:

小容量,能保存几个月甚至若干年。常见的是标准的五元组数据:源IP地址,源端口,目的IP地址,目的端口,传输协议。常见数据类型:NetFlow和IPFIX。会话数据能直接从网络线路上捕获,可以使用软件也可以使用硬件,大多数思科设备都具备生成NetFlow数据的能力。与其他数据类型相比,会话数据的收集难度和成本小,而价值和收益相对较高,是网络安全数据中常用的类型。

4,统计数据:

是对其他类型数据的组织,分析,wireshark提供了一些观察统计数据的方法。

5,元数据:

用于描述数据属性的信息,用来支持如指示存储位置,历史数据,资源查找,文件记录等功能。(whois查询)

6,日志数据:

日志数据记录着特定事件,特定系统、环境的状态,它的来源众多,是由设备,系统或者应用程序所生成的原始日志文件,主要包括WEB代理日志,防火墙日志,VPN身份验证日志,windows安全日志以及SYSLOG数据等。根据日志的来源,可以把日志分为物理设备日志,网络设备日志,操作系统日志和应用程序日志。

物理设备日志:由于采集数据相关的物理设备所产生的日志数据,如访问控制系统,UPS电源,电力系统,摄像头等。
网络设备日志:由防火墙,交换机,路由器,无线接入点等网络设备所产生的日志数据。企业级网络设备通常由Syslog或SNMP发送到远程服务器上。
操作系统日志:该类日志通常包含登录/注销,系统启动/关闭,执行特权指令,服务活动和错误等信息。
应用程序日志:由各种应用服务器程序所产生的日志数据,如Web服务器,数据库服务器,邮件服务器,认证服务器,文件共享服务器,DNS服务器,日志服务器等。应用程序日志的内容和形式变化较快,且很多可以自定义,对于安全人员来说收集和分析难度较大。
日志数据可以作为网络安全态势感知的一个重要数据类型和来源,可通过集中管理控制台进行日志聚合,并通过命令行或可视化工具进行查看,以及采用特定关键词检索,过滤,活动模式识别,特征分析和关联等技术进行日志分析。

7,告警数据:

入侵检测系统是告警数据的一个重要来源,安全人员能够在IDS的控制台上审查告警数据。

以上数据类型所占用的容量是不同的,通常来说,完整数据内容的容量最大,其次是提取内容数据,在这时会话数据。而相对于以上三种数据,统计数据,元数据,日志数据和告警数据的容量通常比较小。

用户名金币积分时间理由
任意 10.00 0 2021-08-23 11:11:42 一个受益终生的帖子~~
dldl 10.00 0 2021-08-18 08:08:59 一个受益终生的帖子~~

打赏我,让我更有动力~

1 Reply   |  Until 2个月前 | 501 View

任意
发表于 2个月前

有空可以一起交流危险狩猎

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者