网络攻防学习笔记 Day96

网络安全数据采集是指通过软件和硬件技术采集与网络安全相关的数据。这是完成网络安全态势感知任务的第一步，具有极为重要的意义。

在形成针对目标系统的网络安全态势感知过程中，需要采集的数据可以分为三个维度的数据。第一个是资产维度数据，即目标系统包含的与各类软件和硬件、运行任务相关的资产数据；第二个是漏洞维度数据，即与目前系统中可能存在的与各种漏洞相关的信息；第三个是威胁维度数据，攻击者对系统进行攻击时留下的与威胁行为相关的数据。

网络安全数据属于典型的大数据，具有 5V（Volumn，Variety，Velocity，Value，Veracity）特点：

（1）Volumn：网络流量、系统产生的日志等数据体量庞大。

（2）Variety：网络安全相关的数据种类多，来源广。

（3）Velocity：数据增长速度快，时效性要求高。

（4）Value：数据价值密度低。

（5）Veracity：数据质量不高。

常见的攻击方式包括利用后台数据库备份及恢复的功能来获取 webshell、SQL 注入、直接上传获取 webshell、使用跨站脚本攻击（Cross Site Scripting，XSS）等。

面向网络安全态势感知的资产维度数据是指各类硬件、软件等数据。从防御者角度而言，资产维度数据是指需要保护的网络系统中各类资产及不同资产之间的关联情况。资产维度数据划分为两类：静态资产信息和动态资源信息。

资产维度数据一般会与执行业务相关联，对网络系统的防御目的也是为了保证业务的正常运行，因此与业务运行相关的信息也被划分为资产维度数据。

漏洞维度数据是指网络空间存在的各类漏洞、弱点、缺陷等数据。对于使用网络安全态势感知系统的防御者而言，漏洞维度数据体现为需要防御的网络系统在资产维度可能存在的漏洞、弱点、缺陷等数据。

从漏洞被利用的方式而言，漏洞维度数据可以分为本地漏洞数据和远程漏洞数据。从威胁类型而言，漏洞维度数据可以分为获取控制、获取数据、拒绝服务类型的数据。从技术类型而言，漏洞维度数据可以分为内存破坏类漏洞数据、逻辑错误类漏洞数据、输入验证类漏洞数据、设计错误类漏洞数据、配置错误类漏洞数据等。

威胁维度数据主要是指攻击者在对网络空间的软件和硬件等资产进行攻击时遗留或暴露出来的相关数据。对于防御者而言，最关注的是攻击者可能针对目标网络系统发起的攻击行为。

威胁维度数据一般分为终端数据和流量数据。对于终端数据，防御者需要关注要保护的系统终端的各类数据，从而能从终端数据中发现并采集异常数据；对于流量数据，由于攻击者可能利用远程漏洞数据进行攻击，防御者需要关注网络流量的数据，通过网络流量数据采集威胁维度数据，以便进行态势提取。

流量数据是指对网络协议实时解码、提取元数据、对网络中的流量进行采集等操作时所形成的数据。一般而言，流量数据包括完整内容数据、提取内容数据、会话数据、统计数据、告警数据等。