Page 77 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 77
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 6 การใช้งานระบบตรวจจับการบุกรุก IDS/IPS
6.1.1 Network-based IDS
เป็น IDS ที่ถูกติดตั้งในลักษณะขวาง network traffic บริเวณจุดที่เป็นทางเข้า
หรือทางออกของ network segment ที่ต้องการตรวจจับ เพื่อให้อุปกรณ์ IDS สามารถ
มองเห็นข้อมูลที่เข้าออกทั้งหมดและวิเคราะห์พฤติกรรมการรับส่งข้อมูลทั้งในระดับ
network layer และ application layer
6.1.2 Host-based IDS
IDS ชนิดนี้จะเป็น software ที่ติดตั้งอยู่บน server ที่มีความสําคัญ เพื่อ
ตรวจจับเหตุการณ์หรือพฤติกรรมผิดปกติที่เกิดขึ้นเฉพาะ server นั้น เช่น การ login เข้า
ระบบผิดซํ้ากันหลายครั้ง การเข้าระบบในช่วงเวลาที่ไม่ใช่เวลาทํางานปกติ หรือการส่ง
ไฟล์ขนาดใหญ่ออกไปยังเครื่องคอมพิวเตอร์อื่น เป็นต้น โดยทั่วไปแล้วเหตุการณ์ที่
Host-based IDS สามารถเฝ้ าระวังได้ ได้แก่ network traffic (ของ server นี้เท่านั้น),
system log, running process, application activity, การเข้าถึงและการเปลี่ยนแปลง
ของไฟล์, การเปลี่ยนแปลงของค่า configuration ของระบบ
6.1.3 Network Behavior Analysis IDS
ใช้ตรวจหา network traffic flow ที่ผิดปกติ เช่น การโจมตีแบบ Denial of
watermark
Service (DoS), การเข้ามาของ malware, การกระทําผิดต่อมาตรการรักษาความ
ปลอดภัยสารสนเทศ เช่น มีการรับส่งข้อมูลระหว่าง server โดยที่ไม่ได้รับอนุญาต ฯลฯ
โดยทั่วไปจะติดตั้งเพื่อเฝ้ าระวัง traffic flow ในเครือข่ายภายในขององค์กร หรือระหว่าง
องค์กรกับภายนอก
6.1.4 Wireless IDS
ใช้เฝ้ าระวัง wireless network traffic เพื่อวิเคราะห์การรับส่งข้อมูลผ่าน
protocol ของ wireless ใน network layer โดยเฉพาะ เช่น การเข้าถึงโดยไม่ได้รับ
อนุญาต, rogue access point, การพยายามโจมตีค้นหา WEP key ฯลฯ และไม่มีวัตุ
69
