Intrusion Detection System (IDS) คือ?

คือ Hardware, Software, และ Cloud ซึ่งเป็นระบบที่เอาไว้ตรวจสอบ การรับส่งข้อมูลเครือข่าย(network traffic) เพื่อหากิจกรรมที่น่าสงสัย(suspicious activity) และทำนายทายทัก เห้ยหนุ่มหน้าตาดูซีดๆ เป็นไข้แน่เลย(เป็นหมอดูหรือเปล่านะ?) จากนั้นจะทำการแจ้งเตือนเมื่อพบกิจกรรมดังกล่าว ไปยังผู้ดูแลโดยวิธีการต่างๆ ไม่ว่าจะเป็นหน้า console IDS, email, หรือถูกจัดเก็บจากระบบกวาด logs เอาไปอ่านอีกทีอย่าง SIEM เพื่อทำการวิเคราะห์อีกต่อยอดกันไป

แต่ถ้าว่าเหรียญนั้นมี2ด้าน จริงอยู่ที่ระบบสามารถตรวจจับหาพวก Malware แต่ก็ไม่ได้เสมอไป เค้าอาจจะสบายดีแต่หน้าซีดเพราะโดยภรรยาริบเงินเดือนเอาไว้ก็เป็นได้

ดังนั้นระบบคุณจำเป็นต้องมีการ Tuning เมื่อทำการติดตั้ง ว่าโดยปกติแล้วระบบมีอะไรบ้าง บางที   IDS อาจจะมองว่าเป็น Malware ยกตัวอย่างเช่น task schedule ไป run script ต่างๆ เช่น Backup, Delete Logs เราต้องไปทำ exclude กิจกรรมพวกนี้ไว้ ไม่งั้นก็ alert มาผิดๆ นั่นเองครับ

IDS แบ่งออกเป็น 5 ประเภท

1.    Network Intrusion Detection System (NIDS)

     ติดตั้งไว้ตรง network ต่อ LAN จิ้มเข้า Firewall/Switch ดักจับทั้ง subnet หรือจะกำหนดเฉพาะเครื่องก็แล้วแต่การใช้งาน จากนั้นทำการจับคู่ค่าpacket ที่อ่านมาจาก traffic กับการโจมตีที่ระบบ IDS รู้หรือมีฐานอยู่และทำการแจ้งเตือนผู้ดูแล ซึ่งก็มีข้อดีคือผู้โจมตีไม่รู้ว่ามี NIDS ตรวจสอบอยู่ และยัง monitor ทั้ง network อีกทั้งยังไม่ต้องมาลงทีละเครื่อง 

2.    Host Intrusion Detection System (HIDS)

     ทำการติดตั้ง run อยู่บน host หรือ device ตัวเองเช่น Window, Linux, Firewall, Antivirus Server เป็นต้นโดยทำการ snapshot ไว้ก่อน แล้วก็เอา snapshot ปัจจุบันมาวิเคราะห์และเปรียบเทียบกันเช่นว่าไฟล์ถูกแก้หรือถูกลบ HIDS จะทำการส่ง alert ต่อมายังผู้ดูแล

3.    Protocolbased Intrusion Detection System (PIDS)

PIDS จะทำการ monitor protocol หรือติดตั้งลงแบบเป็น agent ไว้ที่ด่านหน้าของ Web Server ความสามารถก็คือจะไปอยู่ตรงใน shim หรือ interface ตรวจสอบ packet ในช่วง https ยังไม่เข้ารหัสไปถึง Layer6 โดยพิเศษคือสามารถทำการ filter ip หรือ port ต่างๆ แต่ก็ต้องแลกมากับ resource ที่เพิ่มมากขึ้นพอสมควร

4.    Application Protocolbased Intrusion Detection System (APIDS)

APIDS จะทำการ monitor โดยมุ่งเน้นตรวจสอบเป็น application protocol เช่น protocol ระหว่างเครื่อง web server กับ sql database หรืออาจะทำการ monitor process แทน

5.    Hybrid Intrusion Detection System

คือการนำ Model ต่างๆ ของ IDS มารวมกันเพื่อเพิ่มการตรวจจับและประสิทธิภาพที่ดียิ่งขึ้น เนื่องจากได้ทั้ง network, host, รวมทั้ง level application อีกด้วย

 

ณฏฆ 

ตัวอย่าง IDS ที่นำมาติดตั้ง

 

วิธีการตรวจจับของ IDS

1.    Signaturebased

การตรวจจับการโจมตีแบบ signature หรือ patterns เช่นจากเลขฐาน2 ที่มี “0”,”1” ใน network traffic

ซึ่งวิธีนี้จะตรวจจับหา signature ของ malware ที่มีอยู่แล้วใน lists นั้นค่อยข้างทำได้ดี แต่ถ้าเจอ zeroday หรือ malware ใหม่ๆที่ยังไม่มี pattern ก็เป็นไปได้ยากที่จะตรวจจับ

2.    Anomalybased

การตรวจจับการโจมตีจากสิ่งผิดปกติหรือ malware ใหม่ๆ ที่ไม่รู้จักนั่นเอง โดยการใช้ machine learning เข้ามาช่วยวิเคราะห์สร้าง model กิจกรรมที่น่าเชื่อถือของระบบและตรวจหาสิ่งแปลกปลอมที่ไม่เข้าพวก เช่นการวิเคราะห์ทางสถิติ วิเคราะห์ทางปริมาณ ทำนายความน่าจะเป็น การเรียนรู้จากในอดีต เช่น

          login ผิด รัวๆ 100 ครั้งภายใน 1 นาที ซึ่งถ้าเป็นคนก็ไม่สามารถพิมพ์ได้ขนาดนั้น

          การทำนายว่า ip นี้เป็น attacker เพราะพยาม scan หา ip ใน network ทุกเครื่องเลยไม่มี user ที่ไหนทำแน่

          ในอดีตเช่นเมื่อวานมีคนไทย login หน้า admin วันดีคืนดีมี login จากรัสเซียอันนี้ก็แปลก

สิ่งเหล่านี้ที่ใช้นำมาวิเคราะห์ และทำการแจ้งเตือนและทำการป้องกันการโจมตีได้อย่างทันท่วงที

3. Policybased

 การตรวจจับโดย policy เช่นการ alert และ log หากมี การ secure shell เช่น ในมีคนพยาม ssh เข้ามาที่ server  ก็ทำให้ trigger ทำงานแจ้งผู้ดูแลทันที 

 

บทความนี้แอด ขออนุญาตเขียนโดยสังเขปนะ เนื่องจากเนื้อหาค่อนข้างยาวใครสนใจรายละเอียดเต็มๆ ลองอ่านลิ้งด้านท้ายทความครับ

 

https://www.dnsstuff.com/intrusiondetectionsystem#whatisanetworkintrusiondetectionsystem

https://www.geeksforgeeks.org/intrusiondetectionsystemids/

http://pws.npru.ac.th/signal/data/files/Chapter5_IDS.pdf

https://kb.psu.ac.th/psukb/bitstream/2553/2128/8/271644_ch3.pdf