การทำเหมืองข้อมูลเป็นกระบวนการในการค้นหาความสัมพันธ์ รูปแบบ และแนวโน้มใหม่ที่เป็นประโยชน์ โดยการถ่ายโอนข้อมูลจำนวนมากที่บันทึกไว้ในที่เก็บ โดยใช้เทคโนโลยีการจดจำรูปแบบ รวมทั้งเทคนิคทางสถิติและคณิตศาสตร์ เป็นการวิเคราะห์ชุดข้อมูลที่เป็นข้อเท็จจริงเพื่อค้นหาความสัมพันธ์ที่ไม่สงสัย และเพื่อสรุปบันทึกด้วยวิธีใหม่ที่มีทั้งเหตุผลและเป็นประโยชน์ต่อเจ้าของข้อมูล
ความปลอดภัยของระบบคอมพิวเตอร์และข้อมูลของเราอยู่ในความเสี่ยงอย่างต่อเนื่อง การเติบโตอย่างมากของเว็บและความสามารถในการเข้าถึงที่เพิ่มขึ้นของเครื่องมือและกลเม็ดสำหรับการบุกรุกและโจมตีเว็บได้กระตุ้นให้เกิดการตรวจหาการบุกรุกและการหลีกเลี่ยงที่จะกลายเป็นองค์ประกอบสำคัญของระบบเครือข่าย
การบุกรุกสามารถแสดงเป็นชุดของบริการใดๆ ที่คุกคามความสมบูรณ์ ความลับ หรือการเข้าถึงทรัพยากรเครือข่าย (เช่น บัญชีผู้ใช้ ระบบไฟล์ เคอร์เนลของระบบ ฯลฯ) ระบบตรวจจับการบุกรุกและระบบป้องกันการบุกรุกจะตรวจสอบการรับส่งข้อมูลเครือข่ายและประสิทธิภาพของระบบสำหรับกิจกรรมที่เป็นอันตราย เอกสารฉบับแรกจะสร้างเอกสารในขณะที่เอกสารแบบหลังอยู่ในแนวปฏิบัติและสามารถหลีกเลี่ยง/บล็อกการบุกรุกที่ระบุได้
บริการของระบบป้องกันการบุกรุกคือการจดจำกิจกรรมที่เป็นอันตราย บันทึกข้อมูลเกี่ยวกับกิจกรรมดังกล่าว พยายามบล็อก/หยุดกิจกรรม และจัดทำเอกสารกิจกรรม
ระบบตรวจจับและป้องกันการบุกรุกจำนวนมากใช้การตรวจจับตามลายเซ็นหรือการตรวจจับตามความผิดปกติ
การตรวจจับตามลายเซ็น − วิธีการตรวจจับนี้ใช้ลายเซ็น ซึ่งเป็นรูปแบบการโจมตีที่กำหนดค่าล่วงหน้าและแก้ไขโดยผู้เชี่ยวชาญด้านโดเมน ระบบป้องกันการบุกรุกตามลายเซ็นจะตรวจสอบการรับส่งข้อมูลเว็บสำหรับการจับคู่กับลายเซ็นเหล่านี้
เมื่อพบการจับคู่แล้ว ระบบตรวจจับการบุกรุกจะจัดการกับความผิดปกติและระบบป้องกันการบุกรุกจะดำเนินการที่เหมาะสมยิ่งขึ้น เนื่องจากระบบมักเป็นไดนามิก ลายเซ็นจึงต้องได้รับการอัปเดตอย่างลำบากเมื่อแอปพลิเคชันเวอร์ชันใหม่ปรากฏขึ้นหรือการเปลี่ยนแปลงในการกำหนดค่าเครือข่ายหรือหลายสถานการณ์ปรากฏขึ้น
ข้อจำกัดที่สำคัญคือโครงสร้างการตรวจจับดังกล่าวสามารถรับรู้เฉพาะกรณีที่ตรงกับลายเซ็นเท่านั้น ไม่สามารถระบุกลอุบายการบุกรุกใหม่หรือที่ไม่คุ้นเคยก่อนหน้านี้ได้
การตรวจจับตามความผิดปกติ − วิธีการนี้สร้างแบบจำลองของพฤติกรรมเครือข่ายปกติ (เรียกว่า โปรไฟล์) ที่ใช้ในการระบุรูปแบบใหม่ที่เบี่ยงเบนไปจากโปรไฟล์อย่างมาก การเบี่ยงเบนดังกล่าวสามารถกำหนดการบุกรุกที่เกิดขึ้นจริงหรืออาจเป็นพฤติกรรมใหม่ที่ต้องแทรกลงในโปรไฟล์
ประโยชน์ของการตรวจจับความผิดปกติคือสามารถระบุการบุกรุกแบบใหม่ที่ยังไม่ได้รับการสังเกต โดยทั่วไป นักวิเคราะห์ที่เป็นมนุษย์ควรแยกแยะความเบี่ยงเบนเพื่อตรวจสอบว่าสิ่งใดเป็นตัวกำหนดการบุกรุกที่แท้จริง องค์ประกอบจำกัดของการตรวจจับความผิดปกติคือเปอร์เซ็นต์ที่สูงของผลบวกลวง สามารถแทรกการออกแบบใหม่ของการบุกรุกลงในชุดลายเซ็นเพื่อปรับปรุงการตรวจจับตามลายเซ็นได้
