データマイニングは侵入検知および防止システムにどのように役立ちますか？

侵入は、ネットワークリソース（ユーザーアカウント、ファイルシステム、システムカーネルなど）の整合性、機密性、またはアクセス可能性を脅かす一連のサービスとして表すことができます。

侵入検知システムと侵入防止システムはどちらも、ネットワークトラフィックとシステムパフォーマンスを監視して悪意のあるアクティビティを検出します。前者はドキュメントを作成しますが、後者はインラインに配置され、識別された侵入を積極的に回避/ブロックできます。

侵入防止システムの利点は、悪意のあるアクティビティを認識し、そのアクティビティに関するデータをログに記録し、アクティビティをブロック/停止しようとし、アクティビティを文書化することです。データマイニング手法は、侵入検知および防止システムをサポートして、次のようにさまざまな方法でパフォーマンスを向上させることができます-

侵入検知のための新しいデータマイニングアルゴリズム −データマイニングアルゴリズムは、シグネチャベースと異常ベースの両方の検出に使用できます。署名ベースの検出では、トレーニングデータは「通常」または「侵入」としてラベル付けされます。

既知の侵入を識別するために分類子を導出できます。この分野の研究には、分類アルゴリズム、相関ルールマイニング、およびコストに敏感なモデリングのソフトウェアが含まれています。

異常ベースの検出は、正常な動作のモデルを構築し、それからの重要な逸脱を自動的に識別します。クラスタリング、外れ値分析、分類アルゴリズムおよび統計的手法のソフトウェアを含むいくつかのアプローチがあります。この手法は、効果的かつスケーラブルであり、大量、次元、および異質性のネットワークデータを管理できる必要があります。

関連付け、相関、および識別パターン分析は、識別分類子の選択と構築に役立ちます −関連付け、相関、および識別パターンマイニングを使用して、ネットワークデータを定義するシステム属性間の関係を検出できます。このようなデータは、侵入検知のための有益な属性の選択に関する洞察をサポートすることができます。集約されたレコードから変更された新しい属性も、特定のパターンに一致するトラフィックの要約カウントを含めて役立つ場合があります。

ストリームデータの分析 −侵入と悪意のある攻撃の一時的かつ動的な機能のため、データストリーム環境に侵入検知を実装することが重要です。さらに、イベント自体は正常である可能性がありますが、一連のイベントの要素と見なされる場合は悪意があると見なされます。

したがって、一般的に発生するイベントのシーケンスを調査し、連続するパターンを発見し、外れ値を特定することが不可欠です。進化するクラスターを発見し、データストリームに動的分類モデルを構築するための複数のデータマイニング方法も、リアルタイムの侵入検知に不可欠です。

分散データマイニング −侵入は複数の場所から解放され、いくつかの異なる宛先をターゲットにすることができます。分散データマイニング手法を使用して、複数のネットワークロケーションからのネットワークデータを探索し、これらの分散攻撃を特定できます。

視覚化およびクエリツール −検出されたいくつかの異常なパターンを検討するために、視覚化ツールにアクセスできる必要があります。このようなツールには、関連付け、識別パターン、クラスター、および外れ値を表示するための機能が含まれる場合があります。侵入検知システムには、セキュリティアナリストがネットワークデータまたは侵入検知の結果に関するクエリを実行できるようにするグラフィカルユーザーインターフェイスも必要です。