@不喜丶不悲
2年前 提问
1个回答
相对于其他审计数据源比操作系统审计记录有哪些特点
帅末
2年前
相对于其他审计数据源比操作系统审计记录有以下特点:
数据源可靠性高:审计系统是安全操作系统的重要组成部分,安全操作系统为审计系统和审计记录提供了安全保护措施。只有系统管理员才有权对审计系统进行配置与管理,包括特权用户在内的其他用户无权访问与审计系统相关的数据,从而提高了审计记录数据源的可靠性。
审计事件划分粒度小:审计系统从操作系统低层获取事件信息,没有经过高层抽象,具有较小的事件粒度,因而为个体事件的追踪奠定了基础。例如,系统管理员可以设定对特定资源访问的具体用户行为进行审计,能够对用户的具体行为进行监督。此外,较小的事件粒度也使篡改和伪造审计记录更加困难。
审计记录具有连续性与完备性:只有系统管理员才有权决定审计系统的启动与停止,审计系统的连续工作保证了审计记录的连续性。此外,审计系统对审计记录的存储有严栺的管理,不会丢失任何设定的审计记录,保证了审计记录的完备性。
不同操作系统审计记录数据栺式不兼容:针对某个操作系统审计记录,建立的入侵检测模型不能直接应用于其他操作系统审计记录,降低了检测模型的可移植性和可扩展性。由于针对不同操作系统设计的入侵检测系统之间不能相互理解,为多个入侵检测系统相互协作带来了难题。
数据栺式不适应机器学习:审计记录的数据栺式主要用于系统管理员阅读和分析,操作系统开发商并没有从满足入侵检测建模的需求设计审计记录数据栺式。但入侵检测系统需要使用机器学习算法训练检测模型,因此,在训练检测模型之前,不得不进行大量审计记录预处理工作。
审计记录数量庞大:由于审计记录具有较小的事件粒度,而且审计事件数量众多,导致审计记录数量十分庞大。必须对原始审计记录进行精简,过滤掉审计记录中与入侵检测无关的冗余信息。否则,将占用过多的存储和计算资源。