IDS และ IPS คืออะไร
คิดว่าหลายๆ คนคงจะเคยได้ยินคำๆ นี้กันใช่ไหมครับ Intrusion Detection System (IDS) และ Intrusion Prevention System (IPS) หรือจะเรียกว่าระบบการตรวจสอบและป้องกันการบุกรุกก็ว่าได้นะครับซึ่งโดยปกติแล้วจะแบ่งออกเป็น 2 แบบด้วยกันครับคือ Host-Based และ Network Based System?
- Host-Based:?ก็คือระบบการตรวจสอบการบุกรุกที่อยู่ในเครื่องคอมพิวเตอร์แต่ละเครื่องยังไงหละครับ โดยหลักการแล้วก็จะมี program เล็กๆ หรือที่เค้าเรียกว่า agent เป็นตัวที่คอยตรวจสอบและเฝ้ามองข้อมูลต่างๆ ที่วิ่งเข้าวิ่งออกบนตัวคอมพิวเตอร์ที่ติดตั้ง agent ตัวดังกล่าวนี้
- Network-Based System:?ก็จะเป็นอีกระบบที่ใหญ่ขึ้นมาจากระบบ Host-Based นั่นเอง เพราะจะมีการวางอุปกรณ์เซ็นเซอร์ที่ใช้คอยตรวจสอบ package ที่วิ่งอยู่บนระบบเครือข่ายและประมวลผล package ต่อ package กันไปเลยก็ว่าได้ โดยเซ็นเซอร์ดังกล่าวจะถูกวางไว้ในจุดที่ต้องการทำการตรวจสอบโดยอาจจะเชื่อมต่อเข้าไปยัง hub หรือ switch ซึ่งอาจจำเป็นที่จะต้องเปิดฟังก์ชั่น Port mirroring หรือ Network tap
วิธีการในการตรวจสอบการบุกรุกอาจสามารถที่จะแบ่งได้ออกเป็น 2 วิธีการได้แก่ Misuse Based Detection และ Anomaly Based Detection
- Misuse Based Detection
- เป็นระบบการตรวจสอบโดยการใช้?signature ของข้อมูลจึงเป็นที่มาของอีกชือหนึ่งนั่นคือ signature based หรือ knowledge based detection
- โดยปกติแล้ว การตรวจสอบด้วยระบบนี้จะสามารถตรวจสอบได้เฉพาะการโจมตีที่ทราบอยู่แล้วในระบบฐานข้อมูล โดยการเซ็ตกฎหรือตัวกรองในระบบตรวจสอบ หากเป็นการโจมตีหรือสิ่งแปลกปลอมใหม่ๆ ที่นอกเหนือจากระบบฐานข้อมูลการโจมตีแล้ว ระบบ misuse นี้จะตรวจจับไม่ได้
- ระบบ Misuse Based นี้โดยทั่วไปแล้วจะทำงานคล้ายกับระบบของโปรแกรมป้องกันไวรัสซึ่งทำการเปรียบเทียบ signature ของข้อมูลที่วิ่งไปมาในระบบกับฐานข้อมูลขนาดใหญ่ที่มีอยู่แล้วซึ่งหากว่าเหมือนกับในฐานข้อมูลก็แสดงว่าข้อมูลดังกล่าวอาจจะเป็นการบุกรุกหรือประสงค์ร้ายนั่นเอง ซึ่งอาจจะมีจุดอ่อนตรงที่ไม่สามารถตรวจสอบได้หากวิธีในการบุกรุกนั้นเป็นวิธีใหม่ๆ
- Anomaly Based Detection
- การทำงานของระบบนี้จะเป็นการตรวจสอบ pattern ของข้อมูลหรือจะเรียกว่าพฤติกรรมต่างของข้อมูลที่วิ่งอยู่ในระบบเพื่อเรียนรู้ว่าอะไรคือสิ่งปกติและผิดปกติภายในระบบโดยที่ระบบจะมีกระบวนการเรียนรู้ด้วยตัวเอง เหมือนดังเช่นกับระบบ spam filter
- โดยปกติแล้วระบบนี้จะถูกตั้งค่าโดยผู้ดูแลระบบเครือข่ายโดยที่ผู้ดูแลอาจจะกำหนดเส้นแบ่งว่าพฤติกรรมไหนถือว่าเป็นพฤติกรรมที่ปกติโดยอาจจะพิจรณาจาก traffic, พฤติกรรม, protocol หรือขนาดของข้อมูลเป็นต้น ดังนั้นจะทราบได้ทันทีว่าพฤติกรรมไหนเป็นพฤติกรรมที่เข้าข่ายการโจมตีระบบนั่นเอง
- เนื่องจากระบบ Anomaly Based นั้นสามารถที่จะเรียนรู้ได้ด้วยตนเอง ดังนั้นระบบดังกล่าวนี้ก็จะสามารถเรียนรู้วิธีหรือพฤติกรรมใหม่ๆ ที่ใช้ในการโจมตีระบบได้นั่นเองแต่ก็อาจจะทำงานผิดผลาดได้นั่นหมายถึงไม่มีการส่งสัญญาณเตือนเมื่อมีการโจมตีเพราะเข้าใจว่าเป็นพฤติกรรมที่ปกติในระบบเครือข่าย
ดังนั้นในปัจจุบันนี้ ระบบ IDS ที่ขายตามท้องตลาดจึงได้ผนวกวิธีการทั้งสองเข้าด้วยกันเพื่อเสริมความแข็งแกร่งนั่นเอง
ส่วนไอ้เจ้า IPS ก็ไม่มีอะไรมากไปกว่า IDS ซักเท่าไหร่หรอกครับ ให้คิดง่ายๆ นะครับว่า IDS คือระบบตรวจสอบส่วน IPS คือระบบตรวจสอบและป้องกันนั่นเองครับ ก็คือเมื่อรู้แล้วว่านี้คือการโจมตีหรือการมุ่งร้ายก็จะตัดการทำงานหรือการเชื่อมต่อโดยทันทีนั่นเองครับ ซึ่งโดยส่วนใหญ่แล้ว IPS ก็คือ Firewall + IDS System นั่นแหละครับ ไม่ต้องคิดมาก
ที่มา http://i1online.blogdns.org/~i1online/index.php/2007/12/16/ids_vs_ips/
Liwsakilive ! 