데이터 마이닝은 통계적, 수학적 기법을 포함한 패턴 인식 기술을 사용하여 저장소에 저장된 많은 양의 데이터를 전송하여 유용한 새로운 상관 관계, 패턴 및 추세를 찾는 프로세스입니다. 의심하지 않은 관계를 발견하고 데이터 소유자에게 논리적이고 도움이 되는 새로운 방법으로 기록을 요약하기 위한 사실 데이터 세트의 분석입니다.
당사 컴퓨터 시스템 및 정보의 보안은 지속적인 위험에 노출되어 있습니다. 웹의 엄청난 성장과 웹 침입 및 공격을 위한 도구 및 트릭의 접근성 증가로 인해 침입 탐지 및 회피가 네트워크 시스템의 필수 구성 요소가 되었습니다.
침입은 네트워크 리소스(예:사용자 계정, 파일 시스템, 시스템 커널 등)의 무결성, 기밀성 또는 액세스 가능성을 위협하는 서비스 집합으로 나타낼 수 있습니다. 침입 탐지 시스템과 침입 방지 시스템은 모두 네트워크 트래픽과 악의적인 활동에 대한 시스템 성능을 모니터링합니다. 전자는 문서를 생성하는 반면 후자는 인라인에 위치하여 식별된 침입을 능동적으로 방지/차단할 수 있습니다.
침입 방지 시스템의 서비스는 악의적인 활동을 인식하고 해당 활동에 대한 데이터를 기록하고 활동을 차단/중지하고 활동을 문서화하는 것입니다.
대부분의 침입 탐지 및 방지 시스템은 시그니처 기반 탐지 또는 이상 징후 기반 탐지를 사용합니다.
서명 기반 감지 − 이 탐지 접근 방식은 도메인 전문가가 미리 구성하고 수정한 공격 패턴인 서명을 활용합니다. 서명 기반 침입 방지 시스템은 이러한 서명과 일치하는지 웹 트래픽을 모니터링합니다.
일치하는 항목이 발견되면 침입 감지 시스템이 이상 현상을 해결하고 침입 방지 시스템이 보다 적절한 조치를 취합니다. 시스템은 일반적으로 동적이기 때문에 새로운 애플리케이션 버전이 나타나거나 네트워크 구성의 변경 또는 여러 상황이 나타날 때마다 서명을 힘들게 업데이트해야 합니다.
주요 제한 사항은 이러한 탐지 구조가 서명과 일치하는 경우만 인식할 수 있다는 것입니다. 새롭거나 이전에 익숙하지 않은 침입 트릭을 식별할 수 없습니다.
이상 기반 감지 - 이 방법은 프로파일에서 상당히 벗어나는 새로운 패턴을 식별하는 데 사용되는 일반 네트워크 동작(프로파일로 알려짐)의 모델을 구성합니다. 이러한 편차는 실제 침입을 정의하거나 단순히 프로필에 삽입해야 하는 새로운 동작일 수 있습니다.
이상 탐지의 이점은 관찰되지 않은 새로운 침입을 식별할 수 있다는 것입니다. 일반적으로 인간 분석가는 편차를 분류하여 실제 침입을 정의하는 항목을 확인해야 합니다. 이상 탐지의 제한 요소는 높은 비율의 오탐지입니다. 서명 기반 탐지를 개선하기 위해 새로운 침입 설계를 서명 세트에 삽입할 수 있습니다.