침입은 네트워크 리소스(예:사용자 계정, 파일 시스템, 시스템 커널 등)의 무결성, 기밀성 또는 액세스 가능성을 위협하는 모든 서비스 세트로 나타낼 수 있습니다.
침입 탐지 시스템과 침입 방지 시스템은 모두 네트워크 트래픽과 악성 활동에 대한 시스템 성능을 모니터링합니다. 전자는 문서를 생성하는 반면 후자는 인라인에 위치하여 식별된 침입을 능동적으로 방지/차단할 수 있습니다.
침입 방지 시스템의 장점은 악의적인 활동을 인식하고, 해당 활동에 대한 데이터를 기록하고, 활동을 차단/중지하고, 활동을 문서화하는 것입니다. 데이터 마이닝 방법은 침입 탐지 및 방지 시스템을 지원하여 다음과 같이 다양한 방식으로 성능을 향상시킬 수 있습니다. -
침입 탐지를 위한 새로운 데이터 마이닝 알고리즘 − 데이터 마이닝 알고리즘은 서명 기반 및 이상 기반 탐지 모두에 사용할 수 있습니다. 서명 기반 탐지에서 훈련 데이터는 "정상" 또는 "침입"으로 레이블이 지정됩니다.
분류기는 알려진 침입을 식별하기 위해 파생될 수 있습니다. 이 분야의 연구에는 분류 알고리즘, 연관 규칙 마이닝 및 비용에 민감한 모델링 소프트웨어가 포함되었습니다.
이상 기반 탐지는 정상적인 행동의 모델을 구성하고 이로부터 중요한 편차를 자동으로 식별합니다. 클러스터링 소프트웨어, 이상치 분석, 분류 알고리즘 및 통계 방법을 포함한 여러 접근 방식이 있습니다. 기술은 효과적이고 확장 가능해야 하며 대용량, 차원 및 이질성의 네트워크 데이터를 관리할 수 있어야 합니다.
연관, 상관 관계 및 판별 패턴 분석은 판별 분류자를 선택하고 구축하는 데 도움이 됩니다. - 연관, 상관 및 판별 패턴 마이닝은 네트워크 데이터를 정의하는 시스템 속성 간의 관계를 발견하는 데 사용할 수 있습니다. 그러한 데이터는 침입 탐지를 위한 유익한 속성 선택에 관한 통찰력을 뒷받침할 수 있습니다. 특정 패턴과 일치하는 트래픽의 요약 수를 포함하여 집계된 레코드에서 변경된 새 속성도 도움이 될 수 있습니다.
스트림 데이터 분석 − 침입 및 악의적인 공격의 일시적이고 동적인 특성으로 인해 데이터 스트림 환경에서 침입 탐지를 구현하는 것이 중요합니다. 또한 이벤트는 그 자체로 정상적일 수 있지만 이벤트 시퀀스의 요소로 간주되는 경우 악성으로 간주됩니다.
따라서 일반적으로 어떤 일련의 사건이 발생하는지 연구하고, 순차적인 패턴을 발견하고, 이상치(outlier)를 식별하는 것이 필수적입니다. 진화하는 클러스터를 발견하고 데이터 스트림에서 동적 분류 모델을 구성하기 위한 여러 데이터 마이닝 방법이 있으며 실시간 침입 탐지에도 필수적입니다.
분산 데이터 마이닝 − 침입은 여러 위치에서 해제되고 여러 다른 대상을 대상으로 할 수 있습니다. 분산 데이터 마이닝 방법을 사용하여 여러 네트워크 위치에서 네트워크 데이터를 탐색하여 이러한 분산 공격을 식별할 수 있습니다.
시각화 및 쿼리 도구 − 감지된 일부 비정상적인 패턴을 고려하기 위해 시각화 도구에 액세스할 수 있어야 합니다. 이러한 도구에는 연관, 판별 패턴, 클러스터 및 이상값을 보기 위한 기능이 포함될 수 있습니다. 침입 감지 시스템에는 보안 분석가가 네트워크 데이터 또는 침입 감지 결과와 관련된 쿼리를 제기할 수 있는 그래픽 사용자 인터페이스도 있어야 합니다.