Page 79 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 79
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 6 การใช้งานระบบตรวจจับการบุกรุก IDS/IPS
การตรวจสอบความถูกต้องของ Security policy
เนื่องจาก IDS เป็นอุปกรณ์ด่านที่ 2 ต่อจาก firewall ที่สามารถตรวจจับการบุก
รุกได้ ดังนั้นในบางครั้งข้อมูลจาก IDS สามารถบ่งบอกการตั้งค่ากฎในด้านความ
ปลอดภัย (Rule) ของ ไฟลวอลล์ (Firewall) ที่ผิดพลาดได้ เช่น พบ traffic ที่ควรป้ องกัน
(Block) แต่ไม่ได้ตั้งค่า กฎในด้านความปลอดภัย (Rule) ที่ไฟลวอลล์ (Firewall) เพื่อให้
ป้ องกัน (Block)
บันทึกภัยคุกคามขององค์กร
เนื่องจาก IDS จะบันทึกเหตุการณ์ผิดปกติ การโจมตี ของภัยคุกคาม (threat)
ต่างๆที่ตรวจจับได้เอาไว้ด้วย ทําให้สามารถนําข้อมูลเหล่านี้ไปวิเคราะห์ ทําเป็นสถิติ
ศึกษารูปแบบการโจมตี เพื่อที่จะนํามาใช้หายุทธวิธีในการป้ องกัน และพัฒนาระบบ
รักษาความปลอดภัยสารสนเทศได้ต่อไป ข้อมูลเหล่านี้ยังทําให้ผู้บริหารได้เข้าใจถึงความ
เสี่ยงขององค์กรจากภัยคุกคามด้านคอมพิวเตอร์ด้วย
ลดการกระทําผิดต่อ Securlty policy
หากมีการประกาศใช้งาน IDS ผู้ใช้งานระบบทั่วไปจะเกิดความระมัดระวังใน
การใช้งานระบบ หรือกลัวในการกระทําผิด เพราะการกระทําใดๆบนระบบจะถูกจับตา
มองโดย IDS ตลอดเวลา ทําให้การละเมิดต่อ security policy ลดน้อยลง
watermark
6.2.2 รูปแบบการตรวจจับของ IDS
กลไลในการตรวจจับสิ่งผิดปกติของ IDS แบ่งออกได้เป็น 3 รูปแบบ ได้แก่
Signature-Based Detection
ใช้วิธีการเปรียบเทียบลักษณะของข้อมูลทุก packet ที่ผ่านเข้ามากับฐานข้อมูล
ของสิ่งผิดปกติ (Signature database) เพื่อตรวจหาการบุกรุก ลักษณะคล้ายกับ
โปรแกรม anti-virus คําว่า signature หมายถึงรูปแบบของภัยคุกคามที่เกิดขึ้นมาแล้ว
เมื่อพบ packet ที่มีลักษณะตรงกับ signature IDS จะทําการบันทึกเหตุการณ์และแจ้ง
เตือนทันที ตัวอย่างของ signature ได้แก่
71
