บทที่ 4 ระบบตรวจจับการบุกรุก
Download
Report
Transcript บทที่ 4 ระบบตรวจจับการบุกรุก
อ.พลอยพรรณ สอนสุ วทิ ย์
[email protected]
088-2797799
ระบบตรวจจับการบุกรุก (Intrusion Detection System: IDS)
การป้ องกันการบุกรุก
การตรวจจับการบุกรุก
การตอบสนองการบุกรุก
การแก้ไขการบุกรุก
คาศัพท์ทค่ี วรทราบ
Signature
Alert
False Alarm
Sensor
Network-based IDS (NIDS)
ข้อดี
หากมีการการออกแบบระบบเครือข่ายทีม่ กี ารติดตัง้ ระบบ NIDS ทีด่ ี จะทาให้องค์กร
สามารถตรวจจับการบุกรุกของการจราจรในเครือข่ายขนาดใหญ่ได้โดยใช้อปุ กรณ์
จานวนน้อย
ติดตัง้ ง่าย
ไม่เป็ นทีส่ งั เกตของผูโ้ จมตี
ข้อเสีย
ผูผ้ ลิตบางรายมีการเพิม่ ความเร็วในการทางานของระบบ โดยจะลดประสิทธิภาพของ
การตรวจจับลง
ไม่สามารถวิเคราะห์ Packet ข้อมูลทีถ่ กู เข้ารหัสไว้ได้ ดังนัน้ จึงไม่สามารถทางาน
ได้เต็มทีใ่ นเครือข่าย VPN หรือเครือข่ายทีใ่ ช้โปรโตคอล SSL, S-HTTP
Host-based IDS (HIDS)
ข้อดี
สามารถตรวจสอบเหตุการณ์ทเ่ี กิดขึ้นทีเ่ ครื่อง Host ได้
สามารถตรวจสอบข้อมูลจราจรทีเ่ ข้ารหัสไว้ได้
สามารถตรวจสอบการใช้งานของ Application ได้ โดยดูจากประวัตกิ ารใช้งาน
ใน Audit Log File
ข้อเสีย
ต้องมีการติดตัง้ HIDS ที่ Host ทุกๆเครื่องทีต่ อ้ งการความปลอดภัย
ไม่สามารถ Scan หา Port ทีอ่ ปุ กรณ์เครือข่ายอืน่ ๆได้ เช่น Router
Switch
ระบบ HIDS จะถูกโจมตีได้งา่ ยจากการโจมตีแบบ DoS
ใช้เนื้อที่ Hard Disk มากกว่าเนื่องจากต้องเก็บ Log File
Signature-based IDS
Statistical-based IDS
Hybrid System
Audible/ Visual Alarm
Email Message
Mobile Notification
Log Entry
Trap & Trace , Back-Hacking
Exit Program
Firewall Configuration
Stop Session
Disconnect Switch, Port
Honey Pot
ข้อดี
ผูโ้ จมตีเบีย่ งเบนเป้ าหมายไปยังระบบจาลองซึง่ ไม่มขี อ้ มูลความลับ
ผูด้ ูแลระบบมีเวลาตัดสินใจว่าจะตอบสนองต่อผูโ้ จมตีอย่างไร
สามารถติดตามรูปแบบการโจมตีได้งา่ ยดาย
สามารถตรวจจับการโจมตีจากภายในได้
ข้อเสีย
กฎหมายไม่รองรับการใช้ Honey Pot
หากผูโ้ จมตีทราบว่าตกหลุมพราง Honey Pot จะเพิม่ ความรุนแรงของการโจมตี
การใช้งาน Honey Pot ต้องอาศัยความชานาญอย่างมาก