參考了部分互聯網內容，數據范圍主要包括以下幾個方面：

●完整內容數據(PCAP)

? ? ? ? 進行數據包分析時，常用到以下三種基本技術：

? ? ? ? 包過濾：通過各個協議的元數據或者載荷中的字段或者字段的值來分離數據包。

? ? ? ? 模式匹配：通過對數據包的內容進行快速搜索，搜索到那些感興趣的關鍵詞、字符串、名稱或協議模式?？梢詫㈥P鍵詞組合成正則表達式，采用輔助工具進行模式匹配。

? ? ? ? 協議字段分析：從所捕獲到的數據包中提取出協議字段中的數據。

●提取內容數據

? ? ? ? ??包字符串數據是從包捕獲數據中導出來的，是介于包捕獲數據和會話數據之間的一種數據格式，該數據格式包括報文協議報頭中提取的明文字符串。其粒度接近于包捕獲數據，但在容量上比包捕獲數據更容易管理，并且可以存儲較長時間。包字符串數據兼具包捕獲數據的完整和會話數據的速度，對存儲空間要求也不那么高，且可以根據用戶需求進行自定義，因此是一種比較理想且恰當的網絡安全數據類型。

●會話數據

? ? ? ? ??會話數據最常見的是標準的五元組數據

? ? ? ? ??會話數據最常見的類型有兩種：NetFlow和IPFIX。

? ? ? ? ? NetFlow提供網絡流量的會話級視圖，記錄下每個事務的信息。一個NetFlow流被定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流，且所有數據包具有共同的傳輸層源、目的端口號。Netflow是會話數據的標準形式，它詳細描述了網絡流量的“誰、什么、何時、何地”。

? ? ? ? ??IPFIX全稱為IP Flow Information Export，即IP數據流信息輸出。IPFIX默認使用網絡設備的七個關鍵屬性來表示每股網絡流量，即源IP地址、目的IP地址、/UDP源端口、/UDP目的端口、三層協議類型、服務類型字節、輸入邏輯接口。如果不同的IP報文中所有的七個關鍵域都能匹配，那么這些IP報文都將被視為屬于同一股網絡流量。

●統計數據

●元數據

? ? ? ? ??元數據（Metadata）又稱中介數據、中繼數據，簡單定義就是描述數據的數據。是指從信息資源中抽取出來的用于說明其特征、內容的結構化的數據(如題名,版本、出版數據、相關說明,包括檢索點等)，用于組織、描述、檢索、保存、管理信息和知識資源。比如，關于一本書（信息資源），我們在圖書館系統中檢索可以得到如下信息，

? ? ? ? ? 一個基本的元數據由元數據項目和元數據內容的構成。這里，“題名”就是它的元數據項目，“史蒂夫·喬布斯傳 (美) 沃爾特·艾薩克森著 = Steve Jobs Walter Isaacson eng”就是元數據內容。再比如，“著者”、“出版者”都是元數據項目，而“艾薩克森 (Isaacson, Walter) 著”和“中信出版社”就是元數據內容。利用元數據來描述資源后，我們就可以用來做很多的事情。比如確定資源，為資源提供檢索點，在不同系統之間進行數據交換。

? ? ? ? ? ?為了獲取元數據，我們從網絡活動中提取關鍵元素，然后利用一些外部工具來理解它。很多其他形式的元數據可以衍生自網絡流量，這些元數據提供了網絡威脅活動中的一些關鍵重要信息。如網站IP地址的WHOIS輸出內容、域名的元數據。

●日志數據

? ? ? ? ?根據日志的來源，可以把日志分為物理設備日志、網絡設備日志、操作系統日志和應用程序日志。

? ? ? ? ?根據日志的記錄架構，可以把日志分為本地日志、遠程分散日志和集中管理日志。

? ? ? ? ?日志數據可以作為網絡安全態勢感知的一個重要數據類型和來源，可通過集中管理控制臺進行日志聚合，并通過命令行或可視化工具進行查看，以及采用特定關鍵詞檢索、過濾、活動模式識別、特征分析和關聯等技術進行日志分析。

●告警數據

? ? ? ? ? 告警數據是指當檢測系統中某些量的值超過了所規定的界限，或者匹配到既定的檢測規則，或者任何被配置檢查的數據出現異常時，系統自動產生的警告信息。入侵檢測系統（IDS）是告警數據的一個重要來源，它能監視和解析網絡流量。安全人員能夠在IDS的控制臺上審查告警數據。

? ? ? ? ?網絡安全態勢感知對于事件的分析往往是基于告警數據生成的。關于告警與事件的區別在于，告警允許安全人員應答，而事件是指用戶對系統的行為、動作，如修改了某個變量的值，或者用戶的登錄/注銷、站點的啟動/退出等，事件不需要安全人員應答。

總結

以上是生活随笔為你收集整理的网络安全态势感知-全流量安全分析之数据范围的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。