數據安全分析時的數據源有哪些

數據安全分析時的數據源有以下這些：

• 網絡流量：網絡流量是最常見的數據源之一，主要分為網絡全流量和Netflow兩種。網絡全流量包含完整的網絡數據，即TCP/IP協議棧的數據，比如MAC頭、IP頭、TCP頭、HTTP頭以及HTTP載荷數據，對于分析網絡中的攻擊行為幫助非常大。常見的網絡全流量獲取方式為交換機鏡像、分光鏡和網絡分流器三種。

• 文件：文件是數據最基本的保存形式，常見的有CSV、XML、JSON和電子表格以及各類日志文件，比如Linux的系統日志和Apache的訪問日志等。

• Syslog：Syslog是在一個網絡中轉發系統日志信息的標準，是在美國加州大學伯克利軟件分布研究中心的TCP/IP系統中開發的，目前已成為工業標準協議，可用它記錄設備的日志。Syslog記錄了系統中的所有事件，管理員可以通過查看記錄隨時掌握系統狀況。系統日志通過Syslog進程記錄系統的有關事件，也可以記錄應用程序運行事件。通過適當配置，還可以實現運行Syslog協議機器之間的通信。通過分析這些網絡行為日志，可追蹤和掌握與設備和網絡有關的情況。

• SNMP：SNMP是基于TCP/IP協議族的網絡管理標準，如圖9-4所示，是一種管理網絡節點（如服務器、工作站、路由器、交換機等）的標準協議。SNMP能使網絡管理員提高管理效能，及時發現并解決網絡問題以及優化網絡。網絡管理員還可以通過SNMP接收網絡節點的通知消息和告警事件報告，從而獲知網絡出現的問題。

• 數據庫：當數據保存在數據庫中，并且不時可能發生變化，這時就需要定時甚至實時從數據庫中同步數據，通常基于JDBC來完成這些任務。JDBC（Java DataBase Connectivity）是一種用于執行SQL語句的Java API，可以為多種關系數據庫提供統一訪問接口，它由一組用Java語言編寫的類和接口組成。JDBC提供了一種基準，據此可以構建更高級的工具和接口，使數據庫開發人員能夠編寫數據庫應用程序。

• 爬蟲：當數據保存在第三方業務系統數據庫中，數據時刻可能發生變化并且無法直接訪問該數據庫時，可以使用爬蟲通過調用API、直接抓取網頁或者訪問文件的方式進行數據存取。比如做員工郵箱異地登錄檢測時，為了排除員工出差或者出外勤帶來的誤報，需要從ERP中定時同步員工的差旅情況以及門禁系統中員工的打卡情況，這就需要使用爬蟲從ERP和門禁系統的API中爬取數據。

回答所涉及的環境：聯想天逸510S、Windows 10。