บทที่ 4 ระบบตรวจจับการบุกรุก อ.พลอยพรรณ สอนสุวิทย์ Ployphan.en@gmail.com 088-2797799
1. ระบบตรวจจับการบุกรุกและความสำคัญ ระบบตรวจจับการบุกรุก (Intrusion Detection System: IDS) การป้องกันการบุกรุก การตรวจจับการบุกรุก การตอบสนองการบุกรุก การแก้ไขการบุกรุก คำศัพท์ที่ควรทราบ Signature Alert False Alarm Sensor
2. สถาปัตยกรรมของระบบตรวจจับการุกรุก Network-based IDS (NIDS)
สรุปข้อดีข้อเสียของระบบ NIDS ติดตั้งง่าย ไม่เป็นที่สังเกตของผู้โจมตี
สรุปข้อดีข้อเสียของระบบ NIDS ผู้ผลิตบางรายมีการเพิ่มความเร็วในการทำงานของระบบ โดยจะลดประสิทธิภาพของการตรวจจับลง ไม่สามารถวิเคราะห์ Packet ข้อมูลที่ถูกเข้ารหัสไว้ได้ ดังนั้น จึงไม่สามารถทำงานได้เต็มที่ในเครือข่าย VPN หรือเครือข่ายที่ใช้โปรโตคอล SSL, S-HTTP
Host-based IDS (HIDS)
สรุปข้อดีข้อเสียของระบบ HIDS สามารถตรวจสอบเหตุการณ์ที่เกิดขึ้นที่เครื่อง Host ได้ สามารถตรวจสอบข้อมูลจราจรที่เข้ารหัสไว้ได้ สามารถตรวจสอบการใช้งานของ Application ได้ โดยดูจากประวัติการใช้งานใน Audit Log File
สรุปข้อดีข้อเสียของระบบ HIDS ต้องมีการติดตั้ง HIDS ที่ Host ทุกๆเครื่องที่ต้องการความปลอดภัย ไม่สามารถ Scan หา Port ที่อุปกรณ์เครือข่ายอื่นๆได้ เช่น Router Switch ระบบ HIDS จะถูกโจมตีได้ง่ายจากการโจมตีแบบ DoS ใช้เนื้อที่ Hard Disk มากกว่าเนื่องจากต้องเก็บ Log File
3. วิธีในการตรวจจับของระบบตรวจจับการบุกรุก Signature-based IDS Statistical-based IDS Hybrid System
4. การตอบสนองของการตรวจจับการบุกรุก Audible/ Visual Alarm Email Message Mobile Notification Log Entry Trap & Trace , Back-Hacking Exit Program Firewall Configuration Stop Session Disconnect Switch, Port
เครื่องมือรักษาความปลอดภัยชนิดอื่นๆ Honey Pot
สรุปข้อดีข้อเสียของการทำ Honey Pot ผู้โจมตีเบี่ยงเบนเป้าหมายไปยังระบบจำลองซึ่งไม่มีข้อมูลความลับ ผู้ดูแลระบบมีเวลาตัดสินใจว่าจะตอบสนองต่อผู้โจมตีอย่างไร สามารถติดตามรูปแบบการโจมตีได้ง่ายดาย สามารถตรวจจับการโจมตีจากภายในได้ ข้อเสีย กฎหมายไม่รองรับการใช้ Honey Pot หากผู้โจมตีทราบว่าตกหลุมพราง Honey Pot จะเพิ่มความรุนแรงของการโจมตี การใช้งาน Honey Pot ต้องอาศัยความชำนาญอย่างมาก