บทนา
ระบบตรวจจั
บการบุ
กรุ
ก หรื
อ IDS เป็
นเครื่
องมื
อที่
ใช้
สาหรั
บตรวจจั
บความพยายามบุ
กรุ
กเครื
อข่
าย โดยระบบ
จะแจ้
งเตื
อนผู
้
ดู
แลระบบเมื่
อมี
การบุ
กรุ
กหรื
อมี
การพยายามที่
จะบุ
กรุ
กเครื
อข่
าย หน้
าที่
หลั
ก คื
อ แจ้
งเตื
อนการเข้
าใช้
เครื
อข่
าย
ที่
ผิ
ดปกติ
โดยขึ
้
นอยู่
กั
บสภาวะของระบบขณะนั
้
น และบางครั
้
งไม่
สามารถตรวจจั
บการบุ
กรุ
กได้
เนื่
องจากมี
ปั
ญหาเรื่
องการ
ทางานกั
บสภาวะแวดล้
อมสวิ
ตช์
ชิ
ง (switching) เนื่
องจากทราฟฟิ
กที่
วิ่
งบนเครื
อข่
ายไม่
ได้
กระจายทั่
วไปทาให้
ยากต่
อการ
ตรวจจั
บ หรื
อในกรณี
นี
้
ใช้
แบบ signature based IDS ที่
บุ
กรุ
กไม่
ได้
ทาการอั
พเดตอยู่
เสมอ ทาให้
ไม่
สามารถตรวจจั
บการบุ
ก
รุ
กแบบใหม่
ๆได้
และยั
งเจอกั
บเทคนิ
คใหม่
ๆหรื
อ ซั
บซ้
อนของแฮกเกอร์
ที่
เรี
ยกว่
า “IDS Evasion” (Chunfu J., 2009.
Jianxiao L., 2008) โดยจะส่
งแพ็
กเก็
ตแปลก ๆ ที่
มี
การดั
ดแปลงส่
วนหั
วเพื่
อทาการหลบเลี่
ยงการทางานของ IDS แต่
โดยส่
วน
ใหญ่
แล้
ว IDS ไม่
ได้
ทาการป้
องกั
นการบุ
กรุ
กแบบทั
นที
หรื
อ real time โดยทั่
วไป IDS จะประกอบด้
วยส่
วนต่
างๆ (อรรถพล
ป้
อมสถิ
ตย์
, 2554.) ตามที่
ปรากฏในภาพที่
1
ภาพที่
1 ส่
วนประกอบของ IDS
1) ส่
วนตรวจจั
บ (Host system/Network sniffer) ทาหน้
าที่
เป็
นตั
วตรวจจั
บเหตุ
การณ์
ต่
างๆ ที่
เกิ
ดขึ
้
นในโฮสต์
หรื
อเครื
อข่
ายข้
อมู
ลจากส่
วนนี
้
เป็
นเหมื
อนอิ
นพุ
ตหลั
กที่
นาไปประมวลผลใน IDS
2) ส่
วนประมวล (Pre-processing) เป็
นส่
วนจั
ดรู
ปแบบของอิ
นพุ
ตที่
รั
บเข้
ามาเพื่
อให้
นาไปประมวลผลได้
สะดวกต่
อไป
3) ส่
วนวิ
เคราะห์
ทางสถิ
ติ
(Statistical analysis) ส่
วนวิ
เคราะห์
ผลทางสถิ
ติ
4) ส่
วนตรวจสอบลายเซ็
นตรงกั
น (Signature matching) ส่
วนวิ
เคราะห์
จากพฤติ
กรรมที่
มี
แบบแผน
แนวความคิ
ดตรงนี
้
นามาจากที่
ว่
า การบุ
กรุ
กมั
กจะมี
รู
ปแบบที่
ค่
อนข้
างแน่
นอนและมี
การทางานซ
้
าๆ ส่
วนนี
้
จะทางานได้
ก็
ต่
อเมื่
อมี
ข้
อมู
ลมากพอที่
จะวิ
เคราะห์
ได้
ว่
าพฤติ
กรรมที่
ปรากฏในระบบเป็
นรู
ปแบบของการบุ
กรุ
กหรื
อไม่
5) ฐานข้
อมู
ล (Knowledge Base) เป็
นตั
วเก็
บข้
อมู
ลเกี่
ยวกั
บพฤติ
กรรมของการบุ
กรุ
ก ข้
อมู
ลนี
้
ถู
กใช้
โดยส่
วน
ของ signature matching ข้
อมู
ลส่
วนนี
้
มี
ความสาคั
ญมากกั
บระบบ เป็
นตั
วตั
ดสิ
นเลยว่
าระบบฉลาดพอที่
จะตรวจจั
บการบุ
กรุ
ก
ได้
หรื
อไม่
6) ระบบจั
ดการแจ้
งเตื
อน (Alert Manager) ทาหน้
าที่
เป็
นตั
วตั
ดสิ
นใจว่
าจะเหตุ
การณ์
ที่
เกิ
ดขึ
้
นในระบบควร
จะต้
องเตื
อนหรื
อไม่
ระบบจะมี
ความไวมากน้
อยแค่
ไหนอยู่
ที่
ตั
วนี
้
ด้
วย
ส่
วนตรวจจั
บ
ส่
วนประมวลผล
ส่
วนจั
ดการโต้
ตอบ
ส่
วนติ
ดต่
อผู
้
ใช้
งาน
ระบบจั
ดการแจ้
ง
เตื
อน
วิ
เคราะห์
ผลสถิ
ติ
ส่
วนตรวจสอบ
ลายเซ็
นตรงกั
น
ฐานข้
อมู
ล
อุ
ปกรณ์
เก็
บ
ข้
อมู
ลหลั
ก
