7) ส่
วนติ
ดต่
อผู
้
ใช้
งาน (User Interface) เป็
นส่
วนที่
โต้
ตอบกั
บผู
้
ใช้
อาจจะเป็
นการแสดงผลที่
หน้
าจอ ส่
ง
เสี
ยงเตื
อนถึ
งการบุ
กรุ
ก สั่
งพิ
มพ์
เป็
น hardcopy หรื
อแม้
แต่
เชื่
อมกั
บ pager/โทรศั
พท์
นอกจากนี
้
user interface ยั
งเป็
นส่
วน
โต้
ตอบระหว่
างผู
้
ใช้
กั
บระบบเพื่
อเปลี่
ยนแปลงหรื
ออั
พเดทข้
อมู
ลใน knowledge base
8) ส่
วนจั
ดการโต้
ตอบ (Response Manager) รั
บข้
อมู
ลจาก alert manager เพื่
อนามาตั
ดสิ
นใจว่
าจะโต้
ตอบ
กั
บการบุ
กรุ
กอย่
าง
ในปั
จุ
บั
นเทคโนโลยี
ด้
านความปลอดภั
ยระบบสารสนเทศได้
ก้
าวไปข้
างหน้
าอย่
างรวดเร็
ว ซอฟต์
แวร์
และ
ฮาร์
ดแวร์
ต่
างๆ ที่
เกี่
ยวข้
องกั
บความปลอดภั
ยด้
านสารสนเทศได้
ถู
กวิ
จั
ยและพั
ฒนาขึ
้
นเพื่
อตอบสนองความต้
องการของผู
้
ใช้
มากขึ
้
นฮั
นนี่
พอทจึ
งเป็
นระบบความปลอดภั
ยอี
กชนิ
ดหนึ
่
งที่
ได้
ถู
กพั
ฒนาอย่
างต่
อเนื่
องและรวดเร็
ว ซึ
่
งฮั
นนี่
พอทก็
คื
อ
คอมพิ
วเตอร์
หรื
อกลุ่
มของคอมพิ
วเตอร์
ที่
ถู
กติ
ดตั
้
งไว้
สาหรั
บล่
อลวงให้
ผู
้
บุ
กรุ
กทาการโจมตี
เพื่
อเรี
ยนรู
้
เทคนิ
คที่
ผู
้
บุ
กรุ
กใช้
และนาความรู
้
เหล่
านั
้
นหาทางป้
องกั
นการโจมตี
ใหม่
ๆที่
เกิ
ดขึ
้
น นอกจากนี
้
ฮั
นนี่
พอทยั
งสามารถใช้
ลดความเสี่
ยงของเครื่
อง
แม่
ข่
ายในระบบที่
อาจถู
กโจมตี
หรื
อใช้
เป็
นระบบตรวจจั
บการบุ
กรุ
กได้
อี
กทางหนึ
่
งด้
วย
โดยปกติ
แล้
วฮั
นนี่
พอทจะถู
กติ
ดตั
้
ง
ในเครื
อข่
ายที่
แยกจากเครื
อข่
ายที่
ใช้
งานจริ
ง เพื่
อป้
องกั
นไม่
ให้
เครื
อข่
ายที่
ใช้
งานปกติ
ถู
กโจมตี
ได้
จากฮั
นนี่
พอทที่
ผู
้
บุ
กรุ
ก
สามารถโจมตี
ได้
จากฮั
นนี่
พอทที่
ผู
้
บุ
กรุ
กสามารถโจมตี
ได้
สาเร็
จนั
้
นเอง
การออกแบบระบบและการติ
ดตั
้
ง
การทางานของระบบตรวจจั
บการบุ
กรุ
กเครื
อข่
ายแบบกระจายที่
ทางผู
้
จั
ดทาได้
ออกแบบขึ
้
นนั
้
นโดยใช้
โปรแกรม
Snort นั
้
น จะมี
ขั
้
นตอนการทางานของโปรแกรมในการตรวจจั
บและวิ
เคราะห์
ภาพแบบการโจมตี
เป็
นขั
้
นตอนดั
งนี
้
1.
เริ่
มจากที่
Sensor ทั
้
งสองตั
วหรื
อมากกว่
านั
้
น(ขึ
้
นอยู่
กั
บการออกแบบของแต่
ละองค์
กร) อ่
านค่
า Config ตามที่
ผู
้
ติ
ดตั
้
งหรื
อผู
้
ดู
แลระบบได้
Config ไว้
แล้
วโปรแกรมจะทาการอ่
านค่
าของ Rule ต่
างๆ ที่
ได้
ทาการตั่
งค่
าไว้
แล้
วพอระบบทาการอ่
านค่
าต่
างๆ ของโปรแกรมเสร็
จ โปรแกรมก็
จะทาการตรวจจั
บและวิ
เคราะห์
แพ็
กเก็
ต
ต่
างๆ ที่
วิ่
งอยู่
บนระบบเครื
อข่
าย เปรี
ยบเที
ยบกั
บ Rule ของโปรแกรมตามที่
ตั่
งค่
าไว้
และวิ
เคราะห์
ดู
ว่
าการ
โจมตี
แบบต่
างๆ ที่
โจมตี
นั
้
นเป็
นลั
กษณะใดและมี
จานวนหรื
อมี
ระดั
บความเสี่
ยงต่
อระบบมากน้
อยเพี
ยงใด
และเก็
บข้
อมู
ลเหตุ
การณ์
หรื
อ Log ลงฐานข้
อมู
ล ซึ
่
งข้
อมู
ลหรื
อ Log ที่
เกิ
ดขึ
้
นของ Sensor ที่
มี
อยู่
แต่
ละตั
วจะมา
เก็
บลงในฐานข้
อมู
ลหรื
อ Database server ตั
วเดี
ยวกั
น
2.
ส่
วนการแสดงผลการตรวจจั
บ จะแสดงออกมาในหน้
า Webpage ซึ
่
งในหน้
า Webpage นี
้
จะทาการดึ
งข้
อมู
ล
ในฐานข้
อมู
ลมาแสดงที่
หน้
า Web เพื่
อความสะดวกในการให้
ผู
้
ดู
แลระบบได้
จั
ดการหรื
อป้
องกั
นระบบได้
อย่
างมี
ประสิ
ทธิ
ภาพ ส่
วนโปรแกรม Honeyd นั
้
นก็
จะเริ่
มจากการอ่
านค่
า Config ตามที่
ผู
้
ดู
แลระบบได้
Config
ไว้
แล้
วโปรแกรมจะทาการอ่
านค่
าที่
ไฟล์
honeyd.conf จากนั
้
นจะทาการเปิ
ดโปรแกรม farpd แล้
วทาการตั่
งค่
า
IP Address ตามที่
ต้
องการจาลองให้
มี
เครื่
อง Server ขึ
้
นมา
การทดลอง
งานวิ
จั
ยนี
้
ทาการเปรี
ยบเที
ยบระหว่
างมี
IDS อย่
างเดี
ยว กั
บ มี
IDS ที่
ใช้
งานร่
วมกั
บฮั
นนี่
พอททางานร่
วมกั
น โดยใช้
โปรแกรม Nessus โดยโจมตี
ผ่
านระบบเครื
อข่
ายคอมพิ
วเตอร์
ขนาดเล็
ก แต่
ละการทดลองจะทาการทดสอบจานวน 10 ครั
้
ง
โดยมี
การนาผลการแจ้
งเตื
อนการโจมตี
3 ชนิ
ด ได้
แก่
TCP attack UDP attack และ ICMP attack
