Khai phá dữ liệu là quá trình tìm kiếm các mối tương quan, các mẫu và xu hướng mới hữu ích bằng cách chuyển qua một lượng lớn dữ liệu được lưu trong các kho lưu trữ, sử dụng các công nghệ nhận dạng mẫu bao gồm các kỹ thuật thống kê và toán học. Đó là việc phân tích các tập dữ liệu thực tế để phát hiện ra các mối quan hệ không đáng nghi ngờ và để tóm tắt các bản ghi theo các phương pháp mới vừa hợp lý vừa hữu ích cho chủ sở hữu dữ liệu.
Bảo mật của hệ thống máy tính và thông tin của chúng tôi thường xuyên gặp rủi ro. Sự phát triển vượt bậc của web và khả năng truy cập ngày càng tăng của các công cụ và thủ thuật để xâm nhập và tấn công các trang web đã thúc đẩy việc phát hiện và tránh xâm nhập trở thành một thành phần thiết yếu của các hệ thống được nối mạng.
Sự xâm nhập có thể được biểu thị dưới dạng bất kỳ tập hợp dịch vụ nào đe dọa tính toàn vẹn, tính bảo mật hoặc khả năng truy cập của tài nguyên mạng (ví dụ:tài khoản người dùng, hệ thống tệp, hạt nhân hệ thống, v.v.). Hệ thống phát hiện xâm nhập và hệ thống ngăn chặn xâm nhập đều giám sát lưu lượng mạng và hiệu suất hệ thống để tìm các hoạt động độc hại. Tài liệu trước tạo ra các tài liệu trong khi tài liệu thứ hai được đặt trong dòng và có thể chủ động tránh / chặn các hành vi xâm nhập đã được xác định.
Dịch vụ của hệ thống ngăn chặn xâm nhập là nhận dạng hoạt động độc hại, ghi dữ liệu về hoạt động đã nói, cố gắng chặn / dừng hoạt động và ghi lại hoạt động.
Phần lớn các hệ thống phát hiện và ngăn chặn xâm nhập sử dụng tính năng phát hiện dựa trên chữ ký hoặc dựa trên sự bất thường.
Phát hiện dựa trên chữ ký - Phương pháp phát hiện này sử dụng chữ ký, là các mẫu tấn công được các chuyên gia miền định cấu hình sẵn và sửa chữa. Hệ thống ngăn chặn xâm nhập dựa trên chữ ký giám sát lưu lượng truy cập web để tìm các điểm trùng khớp với các chữ ký này.
Khi phát hiện ra sự trùng khớp, hệ thống phát hiện xâm nhập sẽ giải quyết sự bất thường và hệ thống ngăn chặn xâm nhập sẽ thực hiện các hành động thích hợp hơn. Do các hệ thống nói chung là động, các chữ ký bắt buộc phải được cập nhật một cách cẩn thận bất cứ khi nào các phiên bản ứng dụng mới xuất hiện hoặc các thay đổi trong cấu hình mạng hoặc một số tình huống xuất hiện.
Hạn chế chính là cấu trúc phát hiện như vậy chỉ có thể nhận ra các trường hợp khớp với các chữ ký. Nó không thể xác định các thủ thuật xâm nhập mới hoặc không quen thuộc trước đây.
Phát hiện dựa trên sự bất thường - Phương pháp này xây dựng các mô hình về hành vi mạng bình thường (được gọi là các cấu hình) được sử dụng để xác định các mẫu mới về cơ bản sai lệch so với các cấu hình. Những sai lệch như vậy có thể xác định các hành vi xâm nhập thực tế hoặc chỉ đơn giản là các hành vi mới cần được chèn vào cấu hình.
Lợi ích của việc phát hiện bất thường là nó có thể xác định các cuộc xâm nhập mới chưa được quan sát thấy. Nói chung, một nhà phân tích con người nên sắp xếp các sai lệch để xác định chắc chắn cái nào xác định các cuộc xâm nhập thực sự. Một yếu tố hạn chế của phát hiện bất thường là tỷ lệ dương tính giả cao. Các thiết kế xâm nhập mới có thể được chèn vào tập hợp các chữ ký để cải thiện khả năng phát hiện dựa trên chữ ký.