다음은 침입 탐지를 위해 데이터 마이닝 기술을 사용하거나 생성할 수 있는 영역이며 다음과 같습니다. -
침입 탐지를 위한 데이터 마이닝 알고리즘 개발 − 데이터 마이닝 알고리즘은 오용 감지 및 이상 감지에 사용할 수 있습니다. 오용 감지에서 교육 정보는 "정상" 또는 "침입"으로 표시됩니다. 그런 다음 분류자를 변경하여 알려진 침입을 감지할 수 있습니다.
이 분야에는 분류 알고리즘, 연관 규칙 마이닝 및 비용에 민감한 모델링의 적용을 포함하는 여러 연구가 있습니다. 이상 감지는 정상적인 행동의 모델을 구성하고 이 모델에서 상당한 편차를 자동으로 감지하며 지도 또는 비지도 학습을 활용할 수 있습니다.
지도 기법에서 모델은 "정상"이라고 하는 교육 데이터를 기반으로 생성됩니다. 비지도 기법에서는 훈련 데이터에 대한 데이터가 제공되지 않습니다. 이상 탐지 연구에는 분류 알고리즘, 통계적 방법, 클러스터링 및 이상치 분석의 적용이 포함되었습니다. 기존의 기술은 효과적이고 확장 가능하며 대용량, 차원 및 이질성의 네트워크 데이터를 관리할 수 있습니다.
차별적인 속성을 선택하고 구성하는 데 도움이 되는 연관성 및 상관 관계 분석 및 집계 - 연관 및 상관 마이닝은 네트워크 데이터를 정의하는 시스템 속성 간의 관계를 발견하는 데 사용할 수 있습니다. 이러한 데이터는 침입 탐지를 위한 유용한 속성 선택에 관한 통찰력을 지원할 수 있습니다. 특정 패턴과 일치하는 트래픽의 요약 수를 포함하여 집계된 데이터에서 변경된 새 속성도 유용할 수 있습니다.
스트림 데이터 분석 − 침입 및 악의적인 공격의 일시적이고 동적인 특성으로 인해 데이터 스트림 환경에서 침입 탐지를 수행하는 것이 중요합니다. 또한 이벤트는 정상적일 수 있지만 이벤트 시퀀스의 요소로 볼 경우 악성으로 간주됩니다.
따라서 함께 자주 접하게 되는 일련의 활동을 연구하고, 순차적 패턴을 발견하고, 이상치를 식별하는 것이 중요합니다. 진화하는 클러스터를 찾고 데이터 스트림에서 동적 분류 모델을 구축하기 위한 기타 데이터 마이닝 기술도 실시간 침입 탐지에 중요합니다.
분산 데이터 마이닝 − 침입은 여러 영역에서 해제될 수 있으며 다양한 대상을 대상으로 할 수 있습니다. 분산 데이터 마이닝 기술은 여러 네트워크 영역의 네트워크 데이터를 분석하여 이러한 분산 공격을 탐지하는 데 사용할 수 있습니다.
시각화 및 쿼리 도구 − 감지된 이상 패턴을 보려면 시각화 도구에 액세스할 수 있어야 합니다. 이러한 도구에는 연관, 클러스터 및 이상값을 보기 위한 기능이 포함될 수 있습니다. 침입 감지 시스템에는 보안 분석가가 네트워크 데이터 또는 침입 감지 결과에 대한 쿼리를 제기할 수 있는 그래픽 사용자 인터페이스도 있어야 합니다.