วิธีการตรวจสอบการบุกรุก IDS (ไอดีเอส)
วิธีการในการตรวจสอบการบุกรุกอาจสามารถที่จะแบ่งได้ออกเป็น 2 วิธีการได้แก่ Misuse Based Detection และ Anomaly Based Detection
Misuse Based Detection
เป็นระบบการตรวจสอบโดยการใช้ signature ของข้อมูลจึงอาจเรียกว่า signature based หรือ knowledge based detection โดยปกติแล้ว การตรวจสอบด้วยระบบนี้จะสามารถตรวจสอบได้เฉพาะการโจมตีที่ทราบอยู่แล้วในระบบฐานข้อมูลโดยการเซ็ตกฎหรือตัวกรองในระบบตรวจสอบ หากเป็นการโจมตีหรือสิ่งแปลกปลอมใหม่ๆ ที่นอกเหนือจากระบบฐานข้อมูลการโจมตีแล้ว ระบบ misuse นี้จะตรวจจับไม่ได้
ระบบ Misuse Based นี้โดยทั่วไปแล้วจะทำงานคล้ายกับระบบของโปรแกรมป้องกันไวรัสซึ่งทำการเปรียบเทียบ signature ของข้อมูลที่วิ่งไปมาในระบบกับฐานข้อมูลขนาดใหญ่ที่มีอยู่แล้วซึ่งหากว่าเหมือนกับในฐานข้อมูล แสดงว่าข้อมูลดังกล่าวอาจจะเป็นการบุกรุกหรือประสงค์ร้าย ซึ่งอาจจะมีจุดอ่อนตรงที่ไม่สามารถตรวจสอบได้หากวิธีในการบุกรุกนั้นเป็นวิธีใหม่ ๆ
Anomaly Based Detection
การทำงานของระบบนี้จะเป็นการตรวจสอบ pattern ของข้อมูลหรือจะเรียกว่าพฤติกรรมต่างของข้อมูลที่วิ่งอยู่ในระบบเพื่อเรียนรู้ว่าอะไรคือสิ่งปกติและผิดปกติภายในระบบโดยที่ระบบจะมีกระบวนการเรียนรู้ด้วยตัวเอง เหมือนดังเช่นกับระบบ spam filter
โดยปกติแล้วระบบนี้จะถูกตั้งค่าโดยผู้ดูแลระบบเครือข่ายโดยที่ผู้ดูแลอาจจะกำหนดเส้นแบ่งว่าพฤติกรรมไหนถือว่าเป็นพฤติกรรมที่ปกติโดยอาจจะพิจรณาจาก traffic, พฤติกรรม, Protocol หรือขนาดของข้อมูลเป็นต้น ดังนั้นจะทราบได้ทันทีว่าพฤติกรรมไหนเป็นพฤติกรรมที่เข้าข่ายการโจมตีระบบ
ภาพประกอบจาก : http://techgenix.com
ช่องทางศึกษาเพิ่มเติมข่าวที่น่าสนใจเกี่ยวกับ : IDS
- บทความเกียวกับ Security เรื่องความปลอดภัย และ Antivirus(173)
- ถาม - ตอบ คอมพิวเตอร์(163)
- บทความเกียวกับ WebServer(133)
- แชร์ความรู้เกียวกับ Software testing(174)