侵入検知と防止のためのデータマイニングの方法は何ですか？

データマイニングは、統計的および数学的手法を含むパターン認識技術を使用して、リポジトリに保存された大量のデータを転送することにより、有用な新しい相関関係、パターン、および傾向を見つけるプロセスです。事実に基づくデータセットを分析して、疑わしい関係を発見し、論理的でデータ所有者に役立つ新しい方法でレコードを要約します。

私たちのコンピュータシステムと情報のセキュリティは継続的なリスクにさらされています。 Webの大幅な成長と、Webへの侵入や攻撃のためのツールやトリックへのアクセスの増加により、侵入検知と回避がネットワークシステムの不可欠なコンポーネントになるようになりました。

侵入は、ネットワークリソース（ユーザーアカウント、ファイルシステム、システムカーネルなど）の整合性、機密性、またはアクセス可能性を脅かす一連のサービスとして表すことができます。侵入検知システムと侵入防止システムはどちらも、ネットワークトラフィックとシステムパフォーマンスを監視して悪意のあるアクティビティを検出します。前者はドキュメントを作成しますが、後者はインラインに配置され、識別された侵入を積極的に回避/ブロックできます。

侵入防止システムのサービスは、悪意のあるアクティビティを認識し、そのアクティビティに関するデータをログに記録し、アクティビティをブロック/停止しようとし、アクティビティを文書化することです。

侵入検知および防止システムの大部分は、シグネチャベースの検出または異常ベースの検出を使用します。

署名ベースの検出 −この検出アプローチでは、ドメインの専門家によって事前に構成および修正された攻撃パターンである署名を利用します。署名ベースの侵入防止システムは、これらの署名と一致するかどうかWebトラフィックを監視します。

一致が検出されると、侵入検知システムが異常に対処し、侵入防止システムがより適切なアクションを実行します。システムは一般的に動的であるため、新しいアプリケーションバージョンが表示されたり、ネットワーク構成が変更されたり、いくつかの状況が発生したりするたびに、署名を手間をかけて更新する必要があります。

主な制限は、そのような検出構造は署名に一致するケースのみを認識できることです。新しい、または以前はなじみのない侵入トリックを特定することはできません。

異常ベースの検出 −このメソッドは、プロファイルから大幅に逸脱する新しいパターンを識別するために使用される、通常のネットワーク動作（プロファイルと呼ばれる）のモデルを構築します。このような逸脱は、実際の侵入を定義したり、プロファイルに挿入する必要のある新しい動作である可能性があります。

異常検出の利点は、観察されていない新しい侵入を識別できることです。一般に、人間のアナリストは偏差を分類して、実際の侵入を定義するものを確認する必要があります。異常検出の制限要素は、誤検知の割合が高いことです。シグニチャベースの検出を改善するために、新しいデザインの侵入をシグニチャのセットに挿入できます。