安全審計通常基于什么進行

安全審計是基于日志進行的活動，信息安全審計主要是指對系統中與安全有關的活動的相關信息，相關信息一般指的是各種日志信息，進行識別、記錄、存儲和分析。信息安全審計的記錄用于檢查網絡上發送了哪些與安全有關的活動，對計算機網絡環境下的有關活動或行為進行系統的獨立的檢查驗證并作出相應的評價。

安全審計方法有以下這些：

• 基于規則庫的安全審計方法

  基于規則庫的安全審計方法就是將已知的攻擊行為進行特征提取，把這些特征用腳本語言等方法進行描述后放入規則庫中，當進行安全審計時，將收集到的審核數據與這些規則進行某種比較和匹配操作(關鍵字、正則表達式、模糊近似度等)，從而發現可能的網絡攻擊行為。基于規則庫的安全審計方法有其自身的局限性。對于某些特征十分明顯的網絡攻擊行為，該技術的效果非常之好;但是對于其他一-些非常容易產生變種的網絡攻擊行為，規則庫就很難用完全滿足要求了。

• 基于數理統計的安全審計方法

  數理統計方法就是首先給對象創建一個統計量的描述，比如一個網絡流量的平均值、方差等等，統計出正常情況下這些特征量的數值，然后用來對實際網絡數據包的情況進行比較，當發現實際值遠離正常數值時，就可以認為是潛在的攻擊發生。但是，數理統計的最大問題在于如何設定統計量的“閥值”也就是正常數值和非正常數值的分界點，這往往取決于管理員的經驗，不可避免產生誤報和漏報。

• 基于日志數據挖掘的安全審計方法

  與傳統的網絡安全審計系統相比，基于數據挖掘的網絡安全審計系統有檢測準確率高、速度快、自適應能力強等優點。帶有學習能力的數據挖掘方法已經在一一些安全審計系統中得到了應用，它的主要思想是從系統使用或網絡通信的“正常”數據中發現系統的“正常”運行模式，并和常規的一些攻擊規則庫進行關聯分析，并用以檢測系統攻擊行為。

• 其它安全審計方法

  安全審計是根據收集到的關于已發生事件的各種數據來發現系統漏洞和入侵行為，能為追究造成系統危害的人員責任提供證據，是一種事后監督行為。入侵檢測是在事件發生前或攻擊事件正在發生過程中，利用觀測到的數據，發現攻擊行為。兩者的目的都是發現系統入侵行為，只是入侵檢測要求有更高的實時性，因而安全審計與入侵檢測兩者在分析方法上有很大的相似之處，入侵檢測分析方法多能應用與安全審計。