คิดว่าหลายๆ คนคงจะเคยได้ยินคำๆ นี้กันใช่ไหมครับ Intrusion Detection System (IDS) และ Intrusion Prevention System (IPS) หรือจะเรียกว่าระบบการตรวจสอบและป้องกันการบุกรุกก็ว่าได้นะครับซึ่งโดยปกติ แล้วจะแบ่งออกเป็น 2 แบบด้วยกันครับคือ Host-Based และ Network Based System?
- Host-Based:?ก็คือระบบการ ตรวจสอบการบุกรุกที่อยู่ในเครื่องคอมพิวเตอร์แต่ละเครื่องยังไงหละครับ โดยหลักการแล้วก็จะมี program เล็กๆ หรือที่เค้าเรียกว่า agent เป็นตัวที่คอยตรวจสอบและเฝ้ามองข้อมูลต่างๆ ที่วิ่งเข้าวิ่งออกบนตัวคอมพิวเตอร์ที่ติดตั้ง agent ตัวดังกล่าวนี้
- Network-Based System:? ก็จะเป็นอีกระบบที่ใหญ่ขึ้นมาจากระบบ Host-Based นั่นเอง เพราะจะมีการวางอุปกรณ์เซ็นเซอร์ที่ใช้คอยตรวจสอบ package ที่วิ่งอยู่บนระบบเครือข่ายและประมวลผล package ต่อ package กันไปเลยก็ว่าได้ โดยเซ็นเซอร์ดังกล่าวจะถูกวางไว้ในจุดที่ต้องการทำการตรวจสอบโดยอาจจะเชื่อม ต่อเข้าไปยัง hub หรือ switch ซึ่งอาจจำเป็นที่จะต้องเปิดฟังก์ชั่น Port mirroring หรือ Network tap
วิธีการในการตรวจสอบการบุกรุกอาจสามารถที่จะแบ่งได้ออกเป็น 2 วิธีการได้แก่ Misuse Based Detection และ Anomaly Based Detection
- Misuse Based Detection
- เป็นระบบการตรวจสอบโดยการใช้?signature ของข้อมูลจึงเป็นที่มาของอีกชือหนึ่งนั่นคือ signature based หรือ knowledge based detection
- โดย ปกติแล้ว การตรวจสอบด้วยระบบนี้จะสามารถตรวจสอบได้เฉพาะการโจมตีที่ทราบอยู่แล้วใน ระบบฐานข้อมูล โดยการเซ็ตกฎหรือตัวกรองในระบบตรวจสอบ หากเป็นการโจมตีหรือสิ่งแปลกปลอมใหม่ๆ ที่นอกเหนือจากระบบฐานข้อมูลการโจมตีแล้ว ระบบ misuse นี้จะตรวจจับไม่ได้
- ระบบ Misuse Based นี้โดยทั่วไปแล้วจะทำงานคล้ายกับระบบของโปรแกรมป้องกันไวรัสซึ่งทำการเปรียบ เทียบ signature ของข้อมูลที่วิ่งไปมาในระบบกับฐานข้อมูลขนาดใหญ่ที่มีอยู่แล้วซึ่งหากว่า เหมือนกับในฐานข้อมูลก็แสดงว่าข้อมูลดังกล่าวอาจจะเป็นการบุกรุกหรือประสงค์ ร้ายนั่นเอง ซึ่งอาจจะมีจุดอ่อนตรงที่ไม่สามารถตรวจสอบได้หากวิธีในการบุกรุกนั้นเป็น วิธีใหม่ๆ
- Anomaly Based Detection
- การ ทำงานของระบบนี้จะเป็นการตรวจสอบ pattern ของข้อมูลหรือจะเรียกว่าพฤติกรรมต่างของข้อมูลที่วิ่งอยู่ในระบบเพื่อเรียน รู้ว่าอะไรคือสิ่งปกติและผิดปกติภายในระบบโดยที่ระบบจะมีกระบวนการเรียนรู้ ด้วยตัวเอง เหมือนดังเช่นกับระบบ spam filter
- โดยปกติ แล้วระบบนี้จะถูกตั้งค่าโดยผู้ดูแลระบบเครือข่ายโดยที่ผู้ดูแลอาจจะกำหนด เส้นแบ่งว่าพฤติกรรมไหนถือว่าเป็นพฤติกรรมที่ปกติโดยอาจจะพิจรณาจาก traffic, พฤติกรรม, protocol หรือขนาดของข้อมูลเป็นต้น ดังนั้นจะทราบได้ทันทีว่าพฤติกรรมไหนเป็นพฤติกรรมที่เข้าข่ายการโจมตีระบบ นั่นเอง
- เนื่องจากระบบ Anomaly Based นั้นสามารถที่จะเรียนรู้ได้ด้วยตนเอง ดังนั้นระบบดังกล่าวนี้ก็จะสามารถเรียนรู้วิธีหรือพฤติกรรมใหม่ๆ ที่ใช้ในการโจมตีระบบได้นั่นเองแต่ก็อาจจะทำงานผิดผลาดได้นั่นหมายถึงไม่มี การส่งสัญญาณเตือนเมื่อมีการโจมตีเพราะเข้าใจว่าเป็นพฤติกรรมที่ปกติในระบบ เครือข่าย
ดังนั้นในปัจจุบันนี้ ระบบ IDS ที่ขายตามท้องตลาดจึงได้ผนวกวิธีการทั้งสองเข้าด้วยกันเพื่อเสริมความแข็งแกร่งนั่นเอง
ส่วนไอ้เจ้า IPS ก็ไม่มีอะไรมากไปกว่า IDS ซักเท่าไหร่หรอกครับ ให้คิดง่ายๆ นะครับว่า IDS คือระบบตรวจสอบส่วน IPS คือระบบตรวจสอบและป้องกันนั่นเองครับ ก็คือเมื่อรู้แล้วว่านี้คือการโจมตีหรือการมุ่งร้ายก็จะตัดการทำงานหรือการ เชื่อมต่อโดยทันทีนั่นเองครับ ซึ่งโดยส่วนใหญ่แล้ว IPS ก็คือ Firewall + IDS System นั่นแหละครับ ไม่ต้องคิดมาก
Thanks : EasyZone
ไม่มีความคิดเห็น:
แสดงความคิดเห็น