2. ระบบตรวจจับการบุกรุกทำงานได้อย่างไร (How an IDS works?)
2.1 What the IDS Is Watching: อะไรคือสิ่งที่ระบบ IDS จะเฝ้ามองดูบ้างนั้นสามารถที่จะแบ่งเป็นกลุ่มจากรูปแบบการเฝ้ามองได้ 3 ประเภทคือ
2.1.1 Network – Base Intrusion Detection System (NIDS)
เป็นระบบที่ทำหน้าที่เฝ้ามอง การจราจรในแต่ละส่วนของเครือข่ายหรือซับเน็ต โดยการเปลี่ยนโหมดการทำงานของ Network card แทนที่จะรับฟังข้อมูลของตนเองเพียงอย่างเดียว ก็เป็นการยอมรับข้อมูลทุกอย่างที่เข้าสู่ระบบหรือเรียกว่าโหมด promiscuous mode
2.1.2 Host – Base Intrusion Detection System (HIDS)
HIDS มีความแตกต่างจาก NIDS ในสองทางคือ การติดตั้งจะปกป้องเฉพาะเครื่องนั้นๆ ไม่ใช่ทั้งภายในซับเน็ต ส่วนโหมดการทำงานของ Network card ก็เป็นโหมดปกติ หรือ nonpromiscuous mode
2.1.3 Distributed – Base Intrusion Detection System (DIDS)
DIDS คือระบบที่รวมทั้ง ระบบตรวจจับของ NIDS และ HIDS เข้าด้วยกันโดยมีเซิฟร์เวอร์ทำหน้าที่รับรายงานการตรวจจับภายในระบบ มาเปรียบเทียบ เพื่อให้เห็นภาพรวมของทั้งเครือข่าย
จากที่ระบบ IDS ที่แบ่งเป็นกลุ่มได้ 3 ประเภทนั้นระบบได้เฝ้ามองดูอะไรบ้าง
• Application-Specific Information
สำหรับระบบ IDSs ทั้งสามประเภทที่กล่าวมาสามารถที่จะเฝ้ามอง แอปพลิเคชั่นอย่างใดอย่างหนึ่งก็ได้ เช่นการส่งข้อมูลแบบ Cleartext ของ Telnet หรือ (HTTP)
• Host-Specific Information
ในขณะที่ HIDS โดยทั่วไปไม่ต้องมองทุกอย่างที่ ที่จะเกิดขึ้นบนเครื่อง (Host) แต่เราก็สามารถที่จะทำให้มันสามารถที่จะมองดูพฤติกรรมทั้งหมดที่เกิดขึ้น สำหรับเครื่องที่เราต้องการ ได้ตั้งแต่การสร้างไฟล์ และการเข้าถึงระบบภายใน และกิจกรรมภายในเครือข่าย ถึงลูปแบล็ค มันเป็นกเรื่องปกติที่ HIDS จะทำการสร้างฐานข้อมูลในการเกิดสถานะต่างๆที่เกิดขึ้นกับระบบ (ขนาดไฟล์, สิทธิการอนุญาต, เวลาการเข้าถึงไฟล์) เพื่อที่จะใช้ในการตรวจสอบในภายหลัง
• Subnet-Specific Information
เครือข่ายโดยมากแล้วจะมีรูปแบบการจราจรของข้อมูล เช่นถ้าคุณรู้ว่าหนึ่งในเครื่องของเครือข่ายนั้นเป็น Mail Server แล้วก็ไม่ต้องแปลกใจเลยที่จะเห็นการจราจรของข้อมูล Simple Mail Transfer Protocol (SMTP) ไปมาจากเครือข่าย ถ้าคุณใช้การ ping ทุกเครื่องในเครือข่าย ทุกๆ 5 นาที เพื่อทำการดูเครือข่าย การจราจรของข้อมูลนั้นยอมรับได้ แต่ในทางกลับกันถ้าเครื่องอื่น ทำแบบเดียวกับคุณ นั้นก็น่าสงสัย ตลอดเวลาสำหรับ NIDS ที่ดีควรที่จะมีปรับแต่งการจำแนก การยอมรับพฤติกรรมต่างๆ ของซับเนตที่เราอยู่ การให้การอนุญาตการจราจรของข้อมูลที่เรารู้จัก และส่งสัญญาณเตือน เมื่อมีการส่งข้อมูลจากเครื่องที่ไม่รู้จัก หรือไม่ได้รับอนุญาต
• Distributed IDS
ในระบบ DIDS ข้อมูลที่ถูกรวบรวมและเปรียบเทียบด้วย DIDS เราจะได้เห็นภาพรวมของการจราจรภายในเครือข่ายทั้งหมด ที่จะช่วยใช้ในการวิเคราะห์ แทนการเก็บข้อมูลเฉพาะ เครื่อง หรือ เครือข่ายในซับเนตของคุณเพียงอย่างเดียว ซึ่งช่วยในการจัดการการจราจรของข้อมูลในเครือข่ายได้ดีขึ้น
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น