网络攻防学习笔记 Day97

对不同类型的资产维度数据进行采集的方法：

（1）对资产基础数据的采集。对于与资产相关的硬件数据、操作系统数据、软件数据等静态资产数据，可以采用基础的采集工具进行采集。

（2）对 CPU 占用率、内存占用率、磁盘占用率、磁盘 IO 信息等硬件运行类系统资源数据，可通过 WMI（WindowsManagement Instrumentation，Windows 管理规范）进行采集。

（3）注册表数据可以通过注册表变化插件或工具（如 ProcessMonitor）进行采集。

（4）系统函数调用数据可以通过 Hook 系统获得。这类数据可用于检测对敏感系统函数的频繁调用。

（5）与进程相关的数据可以通过进程列表采集插件来采集。

（6）端口数据主要包括各开放端口（如 TCP 端口、UDP 端口等）的数据，可通过 psutil 库获取端口数据。

（7）服务类数据，可通过 WMI 获取系统服务信息。

（8）网络类数据包括网络状态、出入流量、丢包率、网络连接情况、网卡处理的数据等。通过 WMI 可以采集网卡信息和相关的网络类数据。

（9）对用户数据可以通过系统账号插件进行采集。

（10）对权限数据可通过类似的插件进行采集，以获取不同用户的权限变化。

（11）对文件系统的数据可通过文件监控插件进行采集。

WMI 是一项核心的 Windows 管理技术，以 CIMOM（Common Information Model Object Manager，公共信息模型对象管理器）为基础，可以被视为描述操作系统构成单元的对象数据库，为各种工具软件和脚本程序提供了访问操作系统构成单元的公共接口，主要用于管理本地和远程的资产数据。WMI 可以用于访问、配置、管理和监视目标网络系统中的 Windows 资源。

SNMP 协议是专门用于管理服务器、工作站、路由器、交换机等网络节点的一种标准协议。

目前常用的漏洞数据库包括 CNNVD（China NationalVulnearability Database of Information Security，国家信息安全漏洞库）、CVE（Common Vulnerabilities andExposures，通用漏洞披露）、NVD（NationalVulnearability Database，美国国家漏洞数据库）等。

Flume 是一个高可靠的分布式海量日志采集、聚合及传输系统。Flume 是 Apache 下的一个孵化项目，最早是由 Cloudera 提供的日志收集系统，支持定制各类数据发送方，同时提供对数据进行一些简单处理的功能，可将数据传输到各种不同的数据接收方，如将数据保存为文本并存入分布式系统 HDFS 和 HBase 等。

Libpcap 库是 unix/linux 平台下的网络数据包捕获函数库，提供数据包捕获（捕获经过网卡的原始数据包）、自定义数据包发送（构造任意格式的原始数据包，并发送到目标网络）、流量采集与统计（对采集到的流量信息按照新规则进行分类和统计，并输出到制定终端）、规则过滤（提供脚本，允许用户对采集的流量数据包进行过滤）等功能。Libpcap 库是大多数网络监控软件实现的基础。

IPFIX 全称为 IPFlow Information Export，即 IP 数据流信息输出，是一个用于网络数据流信息测量的标准协议。