@Lemon
2年前 提问
1个回答
安全审计需要什么技术
delay
2年前
安全审计用到的技术包括以下三种:
基于规则库的安全审计技术
基于规则库的安全审计技术就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放入规则库中,当进行安全审计时,将收集到的审核数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击行为,该技术的效果非常之好;但是对于其他一-些非常容易产生变种的网络攻击行为,规则库就很难用完全满足要求了。
基于数理统计的安全审计技术
数理统计技术就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。但是,数理统计的最大问题在于如何设定统计量的“阀值”也就是正常数值和非正常数值的分界点,这往往取决于管理员的经验,不可避免产生误报和漏报。
基于日志数据挖掘的安全审计技术
与传统的网络安全审计系统相比,基于数据挖掘的网络安全审计系统有检测准确率高、速度快、自适应能力强等优点。带有学习能力的数据挖掘方法已经在一一些安全审计系统中得到了应用,它的主要思想是从系统使用或网络通信的“正常”数据中发现系统的“正常”运行模式,并和常规的一些攻击规则库进行关联分析,并用以检测系统攻击行为。