数据安全分析时的数据源有哪些

数据安全分析时的数据源有以下这些：

• 网络流量：网络流量是最常见的数据源之一，主要分为网络全流量和Netflow两种。网络全流量包含完整的网络数据，即TCP/IP协议栈的数据，比如MAC头、IP头、TCP头、HTTP头以及HTTP载荷数据，对于分析网络中的攻击行为帮助非常大。常见的网络全流量获取方式为交换机镜像、分光镜和网络分流器三种。

• 文件：文件是数据最基本的保存形式，常见的有CSV、XML、JSON和电子表格以及各类日志文件，比如Linux的系统日志和Apache的访问日志等。

• Syslog：Syslog是在一个网络中转发系统日志信息的标准，是在美国加州大学伯克利软件分布研究中心的TCP/IP系统中开发的，目前已成为工业标准协议，可用它记录设备的日志。Syslog记录了系统中的所有事件，管理员可以通过查看记录随时掌握系统状况。系统日志通过Syslog进程记录系统的有关事件，也可以记录应用程序运行事件。通过适当配置，还可以实现运行Syslog协议机器之间的通信。通过分析这些网络行为日志，可追踪和掌握与设备和网络有关的情况。

• SNMP：SNMP是基于TCP/IP协议族的网络管理标准，如图9-4所示，是一种管理网络节点（如服务器、工作站、路由器、交换机等）的标准协议。SNMP能使网络管理员提高管理效能，及时发现并解决网络问题以及优化网络。网络管理员还可以通过SNMP接收网络节点的通知消息和告警事件报告，从而获知网络出现的问题。

• 数据库：当数据保存在数据库中，并且不时可能发生变化，这时就需要定时甚至实时从数据库中同步数据，通常基于JDBC来完成这些任务。JDBC（Java DataBase Connectivity）是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问接口，它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准，据此可以构建更高级的工具和接口，使数据库开发人员能够编写数据库应用程序。

• 爬虫：当数据保存在第三方业务系统数据库中，数据时刻可能发生变化并且无法直接访问该数据库时，可以使用爬虫通过调用API、直接抓取网页或者访问文件的方式进行数据存取。比如做员工邮箱异地登录检测时，为了排除员工出差或者出外勤带来的误报，需要从ERP中定时同步员工的差旅情况以及门禁系统中员工的打卡情况，这就需要使用爬虫从ERP和门禁系统的API中爬取数据。