相對于其他審計數據源比操作系統審計記錄有哪些特點

相對于其他審計數據源比操作系統審計記錄有以下特點：

• 數據源可靠性高：審計系統是安全操作系統的重要組成部分，安全操作系統為審計系統和審計記錄提供了安全保護措施。只有系統管理員才有權對審計系統進行配置與管理，包括特權用戶在內的其他用戶無權訪問與審計系統相關的數據，從而提高了審計記錄數據源的可靠性。

• 審計事件劃分粒度小：審計系統從操作系統低層獲取事件信息，沒有經過高層抽象，具有較小的事件粒度，因而為個體事件的追蹤奠定了基礎。例如，系統管理員可以設定對特定資源訪問的具體用戶行為進行審計，能夠對用戶的具體行為進行監督。此外，較小的事件粒度也使篡改和偽造審計記錄更加困難。

• 審計記錄具有連續性與完備性：只有系統管理員才有權決定審計系統的啟動與停止，審計系統的連續工作保證了審計記錄的連續性。此外，審計系統對審計記錄的存儲有嚴栺的管理，不會丟失任何設定的審計記錄，保證了審計記錄的完備性。

• 不同操作系統審計記錄數據栺式不兼容：針對某個操作系統審計記錄，建立的入侵檢測模型不能直接應用于其他操作系統審計記錄，降低了檢測模型的可移植性和可擴展性。由于針對不同操作系統設計的入侵檢測系統之間不能相互理解，為多個入侵檢測系統相互協作帶來了難題。

• 數據栺式不適應機器學習：審計記錄的數據栺式主要用于系統管理員閱讀和分析，操作系統開發商并沒有從滿足入侵檢測建模的需求設計審計記錄數據栺式。但入侵檢測系統需要使用機器學習算法訓練檢測模型，因此，在訓練檢測模型之前，不得不進行大量審計記錄預處理工作。

• 審計記錄數量龐大：由于審計記錄具有較小的事件粒度，而且審計事件數量眾多，導致審計記錄數量十分龐大。必須對原始審計記錄進行精簡，過濾掉審計記錄中與入侵檢測無關的冗余信息。否則，將占用過多的存儲和計算資源。

回答所涉及的環境：聯想天逸510S、Windows 10。