安全審計需要什么技術

安全審計用到的技術包括以下三種：

• 基于規則庫的安全審計技術

  基于規則庫的安全審計技術就是將已知的攻擊行為進行特征提取，把這些特征用腳本語言等方法進行描述后放入規則庫中，當進行安全審計時，將收集到的審核數據與這些規則進行某種比較和匹配操作(關鍵字、正則表達式、模糊近似度等)，從而發現可能的網絡攻擊行為。基于規則庫的安全審計方法有其自身的局限性。對于某些特征十分明顯的網絡攻擊行為，該技術的效果非常之好;但是對于其他一-些非常容易產生變種的網絡攻擊行為，規則庫就很難用完全滿足要求了。

• 基于數理統計的安全審計技術

  數理統計技術就是首先給對象創建一個統計量的描述，比如一個網絡流量的平均值、方差等等，統計出正常情況下這些特征量的數值，然后用來對實際網絡數據包的情況進行比較，當發現實際值遠離正常數值時，就可以認為是潛在的攻擊發生。但是，數理統計的最大問題在于如何設定統計量的“閥值”也就是正常數值和非正常數值的分界點，這往往取決于管理員的經驗，不可避免產生誤報和漏報。

• 基于日志數據挖掘的安全審計技術

  與傳統的網絡安全審計系統相比，基于數據挖掘的網絡安全審計系統有檢測準確率高、速度快、自適應能力強等優點。帶有學習能力的數據挖掘方法已經在一一些安全審計系統中得到了應用，它的主要思想是從系統使用或網絡通信的“正常”數據中發現系統的“正常”運行模式，并和常規的一些攻擊規則庫進行關聯分析，并用以檢測系統攻擊行為。