Page 81 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 81
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 6 การใช้งานระบบตรวจจับการบุกรุก IDS/IPS
ในช่วงเวลาทํางานปกติ ทันทีที่ IDS พบว่ามีการรับส่งข้อมูลประเภท web ที่ Internet
gateway เกินค่า threshold ที่คาดไว้ จะมีการส่งแจ้งเตือนไปยังผู้ดูแลระบบทันที
นอกจากนี้ยังสามารถปรับเปลี่ยน profile ให้ตรวจจับตามที่ต้องการได้ เช่น
กําหนดจํานวน email ที่รับส่งใน 1 วันต่อ 1 ผู้ใช้งาน หรือ จํานวนการ login เข้า server
ทั้งที่สําเร็จและไม่สําเร็จต่อวัน หรือ ระดับการทํางานของ CPU ของเครื่อง server เป็น
ต้น และเนื่องจาก IDS ประเภทนี้ไม่จําเป็นต้องอัพเดท signature เหมือน signature-
based IDS ทําให้สามารถตรวจจับการบุกรุกแบบ zero-day attack ได้ ยกตัวอย่าง เช่น
มีการบุกรุกจาก malware ชนิดใหม่ ที่ทําให้เกิดการใช้งาน CPU อย่างมาก มีการส่ง
email จํานวนมาก สร้าง network connection จํานวนมากในระยะเวลาอันสั้น ซึ่งทําให้
เกิดเหตุการณ์ที่เบี่ยงเบนไปจากเหตุการณ์ปกติอย่างชัดเจน
ปัญหาของวิธีการตรวจจับวิธีนี้คือ ความถูกต้องของ profile เนื่องจากรูปแบบ
ของการรับส่งข้อมูลมีความซับซ้อนมากขึ้นเรื่อยๆ ในบางองค์กรที่มีการใช้งาน
หลากหลาย application หลาย protocol ยิ่งทําให้ยากในการปรับจูน profile ทําให้เกิด
ปัญหาของการเกิด false positive จํานวนมาก ยกตัวอย่างเช่น ในการทํางานบํารุงรักษา
ระบบปกติจะมีการสํารองข้อมูล (backup) ซึ่งจะมีการส่งไฟล์ขนาดใหญ่ เดือนละ 1 ครั้ง
ซึ่งเป็นไปได้ว่าขณะที่ IDS กําลังเรียนรู้พฤติกรรมปกติเพื่อทํา profile ไม่ได้เห็น
watermark
เหตุการณ์นี้ ทําให้ IDS แจ้งเตือนการ backup ข้อมูลนี้ว่าเป็นเหตุการณ์ผิดปกติได้
Stateful Protocol Analysis
การตรวจจับแบบ Stateful Protocol Analysis เป็นการตรวจจับหาสิ่งปกติ บน
protocol เฉพาะนั้นๆ โดยการเปรียบเทียบกับ protocol profile ที่ถูกจัดทําไว้แล้ว
Stateful Protocol Analysis ต่างจาก Anomaly-based detection ตรงที่ profile ถูก
สร้างขึ้นไว้แล้วจาก vendor แต่ละรายที่ใช้ protocol นั้นๆ ในการรับส่งข้อมูล ไม่ได้เกิด
จากการเรียนรู้ลักษณะพฤติกรรมปกติของเครือข่ายหรือเครื่องบนเครื่องข่าย
คําว่า stateful นั้นหมายความว่า IDS จะสามารถจดจํา request ก่อนหน้าของ
การรับส่งข้อมูลได้ ทําให้ IDS เข้าใจและติดตาม state ของ network, transport, และ
73
