第三章 网络安全数据范围

1，完整内容数据：

wireshark抓包软件，包捕获数据是众数据类型之首，常见格式是PCAP数据格式。wireshark和burp和fiddler的区别：抓http协议层的报文，一般用fiddler和burpsuite。看底层网络报文用wireshark好，能看见syn ack和完整的TCP报文，着重于协议分析。

2，提取内容数据：

包字符串数据：兼具包捕获数据的完整和会话数据的速度，对存储空间要求也没有那么高，且可以根据用户需求进行自定义，是一种比较理想的网络安全数据类型。常见的格式有两种，一，只提取协议的报头信息二，只提取协议的有效载荷数据，对存储有要求，通常采用日志数据格式进行容量压缩。Justniffer软件。

3，会话数据：

小容量，能保存几个月甚至若干年。常见的是标准的五元组数据：源IP地址，源端口，目的IP地址，目的端口，传输协议。常见数据类型：NetFlow和IPFIX。会话数据能直接从网络线路上捕获，可以使用软件也可以使用硬件，大多数思科设备都具备生成NetFlow数据的能力。与其他数据类型相比，会话数据的收集难度和成本小，而价值和收益相对较高，是网络安全数据中常用的类型。

4，统计数据：

是对其他类型数据的组织，分析，wireshark提供了一些观察统计数据的方法。

5，元数据：

用于描述数据属性的信息，用来支持如指示存储位置，历史数据，资源查找，文件记录等功能。（whois查询）

6，日志数据：

日志数据记录着特定事件，特定系统、环境的状态，它的来源众多，是由设备，系统或者应用程序所生成的原始日志文件，主要包括WEB代理日志，防火墙日志，VPN身份验证日志，windows安全日志以及SYSLOG数据等。根据日志的来源，可以把日志分为物理设备日志，网络设备日志，操作系统日志和应用程序日志。

物理设备日志：由于采集数据相关的物理设备所产生的日志数据，如访问控制系统，UPS电源，电力系统，摄像头等。
网络设备日志:由防火墙，交换机，路由器，无线接入点等网络设备所产生的日志数据。企业级网络设备通常由Syslog或SNMP发送到远程服务器上。
操作系统日志：该类日志通常包含登录/注销，系统启动/关闭，执行特权指令，服务活动和错误等信息。
应用程序日志：由各种应用服务器程序所产生的日志数据，如Web服务器，数据库服务器，邮件服务器，认证服务器，文件共享服务器，DNS服务器，日志服务器等。应用程序日志的内容和形式变化较快，且很多可以自定义，对于安全人员来说收集和分析难度较大。
日志数据可以作为网络安全态势感知的一个重要数据类型和来源，可通过集中管理控制台进行日志聚合，并通过命令行或可视化工具进行查看，以及采用特定关键词检索，过滤，活动模式识别，特征分析和关联等技术进行日志分析。

7，告警数据：

入侵检测系统是告警数据的一个重要来源，安全人员能够在IDS的控制台上审查告警数据。

以上数据类型所占用的容量是不同的，通常来说，完整数据内容的容量最大，其次是提取内容数据，在这时会话数据。而相对于以上三种数据，统计数据，元数据，日志数据和告警数据的容量通常比较小。