Page 80 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 80
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 6 การใช้งานระบบตรวจจับการบุกรุก IDS/IPS
- การพยายาม telnet เข้ายังเครื่อง server ด้วย username เป็น root ซึ่งเป็น
การละเมิดต่อ security policy
- Email ที่มี subject เป็น “Free pictures!” และมีไฟล์แนบเป็น “freepics.exe”
ซึ่งเป็นลักษณะของ malware
- การพบ log ของ OS ที่ระบบบันทึกเข้ามาใหม่เป็น code หมายเลข 645 ซึ่ง
หมายถึง การ disable ระบบตรวจสอบของเครื่อง (auditing)
Signature-Based detection มีความสามารถในการตรวจจับการบุกรุกที่เคย
เกิดขึ้นมาแล้วและมีข้อมูลในฐานข้อมูลได้ดีมาก แต่ไม่สามารถที่จะตรวจจับการบุกรุกที่
พึ่งเกิดขึ้นและยังไม่ได้ผลิตเป็น signature นอกจากนี้การดัดแปลงรูปแบบการบุกรุกให้
ต่างออกไปจากเดิมเพียงเล็กน้อยก็สามารถหลบหลีกการตรวจจับ IDS ประเภทนี้ได้ เช่น
หากผู้บุกรุกใช้ malware ส่งมากับ email ตามตัวอย่างด้านบน แต่เปลี่ยนชื่อไฟล์แนบ
จากเดิมเป็น “freepics2.exe” ก็มีความเป็นไปได้สูงที่จะทําให้ IDS ตรวจจับไม่ได้
Signature-Based detection เป็นรูปแบบกลไลการตรวจจับที่ง่ายที่สุดเพราะใช้
วิธีการเปรียบเทียบกับข้อมูล signature ในฐานข้อมูลเท่านั้น จึงไม่สามารถทําความ
เข้าใจลักษณะการรับส่งข้อมูลในระดับ network หรือ application protocol ได้ ไม่
สามารถจดจํา state ของการรับส่งได้ ไม่สามารถจดจําการ request ข้อมูลก่อนหน้า
watermark
ขณะที่กําลังตรวจสอบ request ปัจจุบัน ทําให้ไม่สามารถตรวจจับการบุกรุกที่ซับซ้อนได้
Anomaly-Based Detection
Anomaly-based detection ใช้วิธีการหาเหตุการณ์ที่เบี่ยงเบนไปจาก
เหตุการณ์ปกติ ในการตรวจจับ ซึ่งการทํางานเป็นการเปรียบเทียบเชิงสถิติ ดังนั้นการใช้
งาน IDS ประเภทนี้จําเป็นต้องให้ IDS เรียนรู้ลักษณะ traffic ปกติก่อนในช่วงระยะเวลา
หนึ่ง (training period) เพื่อใช้สร้างฐานข้อมูลที่เรียกว่า profile จากนั้นจึงจะเริ่มใช้งาน
ได้ profile จะเก็บค่าเหตุการณ์ของระบบที่อยู่ในสภาวะปกติ เช่น user, host,
bandwidth, การเชื่อมต่อ เป็นต้น ยกตัวอย่างเช่น profile ของเครือข่ายบอกว่าปกติแล้ว
มีการรับส่งข้อมูลประเภท web ที่ Internet gateway คิดเป็น 20% ของ bandwidth
72
