Sự xâm nhập có thể được biểu thị dưới dạng bất kỳ tập hợp dịch vụ nào đe dọa tính toàn vẹn, tính bảo mật hoặc khả năng truy cập của tài nguyên mạng (ví dụ:tài khoản người dùng, hệ thống tệp, hạt nhân hệ thống, v.v.).
Hệ thống phát hiện xâm nhập và hệ thống ngăn chặn xâm nhập đều giám sát lưu lượng mạng và hiệu suất của hệ thống đối với các hoạt động độc hại. Tài liệu trước tạo ra các tài liệu trong khi tài liệu sau được đặt trong dòng và có thể chủ động tránh / chặn các hành vi xâm nhập đã được xác định.
Ưu điểm của hệ thống ngăn chặn xâm nhập là nhận ra hoạt động độc hại, ghi dữ liệu về hoạt động đã nói, cố gắng chặn / dừng hoạt động và ghi lại hoạt động. Các phương pháp khai thác dữ liệu có thể hỗ trợ hệ thống phát hiện và ngăn chặn xâm nhập để cải thiện hiệu suất của nó theo nhiều cách như sau -
Các thuật toán khai thác dữ liệu mới để phát hiện xâm nhập - Các thuật toán khai thác dữ liệu có thể được sử dụng cho cả phát hiện dựa trên chữ ký và dựa trên sự bất thường. Trong phát hiện dựa trên chữ ký, dữ liệu đào tạo được gắn nhãn là "bình thường" hoặc "xâm nhập.
Một bộ phân loại có thể được dẫn xuất để xác định các hành vi xâm nhập đã biết. Nghiên cứu trong lĩnh vực này liên quan đến phần mềm của các thuật toán phân loại, khai thác quy tắc kết hợp và mô hình nhạy cảm với chi phí.
Tính năng phát hiện dựa trên sự bất thường xây dựng các mô hình về hành vi bình thường và tự động xác định các sai lệch quan trọng từ đó. Có một số cách tiếp cận bao gồm phần mềm phân nhóm, phân tích ngoại lệ, các thuật toán phân loại và phương pháp thống kê. Các kỹ thuật này phải hiệu quả và có thể mở rộng, đồng thời có khả năng quản lý dữ liệu mạng có khối lượng lớn, không đồng nhất và không đồng nhất.
Phân tích liên kết, tương quan và mẫu phân biệt giúp chọn và xây dựng các bộ phân loại phân biệt - Khai thác mô hình liên kết, tương quan và phân biệt có thể được sử dụng để khám phá các mối quan hệ giữa các thuộc tính hệ thống xác định dữ liệu mạng. Dữ liệu như vậy có thể hỗ trợ cái nhìn sâu sắc liên quan đến việc lựa chọn các thuộc tính có lợi để phát hiện xâm nhập. Các thuộc tính mới được thay đổi từ các bản ghi tổng hợp cũng có thể hữu ích, bao gồm cả tổng số lưu lượng truy cập phù hợp với một mẫu cụ thể.
Phân tích dữ liệu luồng - Do tính năng động và thoáng qua của các cuộc xâm nhập và các cuộc tấn công độc hại, điều quan trọng là phải triển khai phát hiện xâm nhập trong môi trường dòng dữ liệu. Hơn nữa, một sự kiện có thể tự nó là bình thường, nhưng được coi là độc hại nếu được coi là một phần tử của chuỗi sự kiện.
Do đó, điều cần thiết là phải nghiên cứu những chuỗi sự kiện thường gặp phải, khám phá các mô hình tuần tự và xác định các ngoại lệ. Có nhiều phương pháp khai thác dữ liệu để phát hiện các cụm đang phát triển và xây dựng các mô hình phân loại động trong các luồng dữ liệu cũng rất cần thiết để phát hiện xâm nhập theo thời gian thực.
Khai thác dữ liệu phân tán - Các cuộc xâm nhập có thể được phát hành từ nhiều địa điểm và nhắm mục tiêu đến một số điểm đến khác nhau. Các phương pháp khai thác dữ liệu phân tán có thể được sử dụng để khám phá dữ liệu mạng từ nhiều vị trí mạng nhằm xác định các cuộc tấn công phân tán này.
Công cụ trực quan hóa và truy vấn - Các công cụ trực quan hóa nên có thể truy cập được để xem xét một số mẫu dị thường được phát hiện. Các công cụ như vậy có thể liên quan đến các tính năng để xem các liên kết, các mẫu phân biệt, các cụm và các ngoại lệ. Hệ thống phát hiện xâm nhập cũng phải có giao diện người dùng đồ họa cho phép các nhà phân tích bảo mật đặt ra các truy vấn liên quan đến dữ liệu mạng hoặc kết quả phát hiện xâm nhập.