Transcript บทที่ 4 ระบบตรวจจับการบุกรุก

อ.พลอยพรรณ สอนสุ วทิ ย์
[email protected]
088-2797799

ระบบตรวจจับการบุกรุก (Intrusion Detection System: IDS)
 การป้ องกันการบุกรุก
 การตรวจจับการบุกรุก
 การตอบสนองการบุกรุก
 การแก้ไขการบุกรุก

คาศัพท์ทค่ี วรทราบ
 Signature
 Alert
 False Alarm
 Sensor

Network-based IDS (NIDS)

ข้อดี
 หากมีการการออกแบบระบบเครือข่ายทีม่ กี ารติดตัง้ ระบบ NIDS ทีด่ ี จะทาให้องค์กร
สามารถตรวจจับการบุกรุกของการจราจรในเครือข่ายขนาดใหญ่ได้โดยใช้อปุ กรณ์
จานวนน้อย
 ติดตัง้ ง่าย
 ไม่เป็ นทีส่ งั เกตของผูโ้ จมตี

ข้อเสีย
 ผูผ้ ลิตบางรายมีการเพิม่ ความเร็วในการทางานของระบบ โดยจะลดประสิทธิภาพของ
การตรวจจับลง
 ไม่สามารถวิเคราะห์ Packet ข้อมูลทีถ่ กู เข้ารหัสไว้ได้ ดังนัน้ จึงไม่สามารถทางาน
ได้เต็มทีใ่ นเครือข่าย VPN หรือเครือข่ายทีใ่ ช้โปรโตคอล SSL, S-HTTP

Host-based IDS (HIDS)

ข้อดี
 สามารถตรวจสอบเหตุการณ์ทเ่ี กิดขึ้นทีเ่ ครื่อง Host ได้
 สามารถตรวจสอบข้อมูลจราจรทีเ่ ข้ารหัสไว้ได้
 สามารถตรวจสอบการใช้งานของ Application ได้ โดยดูจากประวัตกิ ารใช้งาน
ใน Audit Log File

ข้อเสีย
 ต้องมีการติดตัง้ HIDS ที่ Host ทุกๆเครื่องทีต่ อ้ งการความปลอดภัย
 ไม่สามารถ Scan หา Port ทีอ่ ปุ กรณ์เครือข่ายอืน่ ๆได้ เช่น Router
Switch
 ระบบ HIDS จะถูกโจมตีได้งา่ ยจากการโจมตีแบบ DoS
 ใช้เนื้อที่ Hard Disk มากกว่าเนื่องจากต้องเก็บ Log File

Signature-based IDS

Statistical-based IDS

Hybrid System









Audible/ Visual Alarm
Email Message
Mobile Notification
Log Entry
Trap & Trace , Back-Hacking
Exit Program
Firewall Configuration
Stop Session
Disconnect Switch, Port

Honey Pot

ข้อดี





ผูโ้ จมตีเบีย่ งเบนเป้ าหมายไปยังระบบจาลองซึง่ ไม่มขี อ้ มูลความลับ
ผูด้ ูแลระบบมีเวลาตัดสินใจว่าจะตอบสนองต่อผูโ้ จมตีอย่างไร
สามารถติดตามรูปแบบการโจมตีได้งา่ ยดาย
สามารถตรวจจับการโจมตีจากภายในได้
ข้อเสีย
 กฎหมายไม่รองรับการใช้ Honey Pot
 หากผูโ้ จมตีทราบว่าตกหลุมพราง Honey Pot จะเพิม่ ความรุนแรงของการโจมตี
 การใช้งาน Honey Pot ต้องอาศัยความชานาญอย่างมาก