1. Firewall
1.1. เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ที่ทำหน้าที่ในการควบคุม การเข้าถึงระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือ Firewall Architecture ที่ใช้
1.1.1. ไฟร์วอลล์เครือข่าย - อุปกรณ์ที่ทุ่มเทออกแบบมาเพื่อปกป้องมากกว่าหนึ่งเครื่องคอมพิวเตอร์
1.2. สิ่งที่ไฟร์วอลล์ช่วยได้
1.2.1. บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่า จะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด
1.2.2. บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
1.2.3. ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network-based Security)
1.2.4. ไฟร์วอลล์บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP
1.3. ข้อจำกัดของ Firewall
1.3.1. อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์
1.3.2. ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล
1.3.3. อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายใน เน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา
1.3.4. อันตรายจากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มัน ปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ
1.4. ไฟร์วอลล์เครือข่าย
1.4.1. กรองแพ็กเก็ต
1.4.1.1. ไฟร์วอลล์ฟแวร์ - ซอฟต์แวร์เฉพาะทำงานบนเครื่องคอมพิวเตอร์ส่วนบุคคล
1.4.1.2. Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม (accept) ให้แพ็กเก็ตนั้นผ่านไปได้
1.4.1.3. ในการพิจารณาเฮดเดอร์ Packet Filter จะตรวจสอบในระดับของอินเตอร์เน็ตเลเยอร์ (Internet Layer) และทรานสปอร์ตเลเยอร์ (Transport Layer) ในอินเตอร์เน็ตโมเดล
1.4.1.3.1. ในอินเตอร์เน็ตเลเยอร์จะมีแอตทริบิวต์ที่สำคัญต่อ Packet Filtering ดังนี้
1.4.1.3.2. ในระดับของทรานสปอร์ตเลเยอร์ มีแอตทริบิวต์ที่สำคัญคือ
1.4.1.4. Packet Filtering สามารถได้จาก 2 แพล็ตฟอร์ม คือ
1.4.1.4.1. เราเตอร์ที่มีความสามารถในการทำ Packet Filtering (ซึ่งมีในเราเตอร์ส่วนใหญ่อยู่แล้ว)
1.4.1.4.2. คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์
1.4.1.5. ข้อดี
1.4.1.5.1. ไม่ขึ้นกับแอพพลิเคชัน
1.4.1.5.2. มีความเร็วสูง
1.4.1.5.3. รองรับการขยายตัวได้ดี
1.4.1.6. ข้อเสีย
1.4.1.6.1. บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ
1.4.2. ตรวจสอบ stateful
1.4.2.1. เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว
1.4.2.2. Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content) และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว
1.4.2.3. ตัวอย่างผลิตภัณฑ์ทางการค้าที่ใช้ Stateful Inspection Technology ได้แก่
1.4.2.3.1. Check Point Firewall-1
1.4.2.3.2. Cisco Secure Pix Firewall
1.4.2.3.3. SunScreen Secure Net
1.4.2.3.4. และส่วนที่เป็น open source แจกฟรี ได้แก่
1.4.3. Proxy
1.4.3.1. Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer
1.4.3.2. การทำงานของ Proxy
1.4.3.2.1. เมื่อไคลเอนต์ต้องการใช้เซอร์วิสภายนอก ไคลเอนต์จะทำการติดต่อไปยัง Proxy ก่อน
1.4.3.2.2. ไคลเอนต์จะเจรจา (negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้
1.4.3.2.3. เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ 2 การเชื่อมต่อ คือ
1.4.3.2.4. Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่
1.4.3.3. ข้อดี
1.4.3.3.1. มีความปลอดภัยสูง
1.4.3.3.2. รู้จักข้อมูลในระดับแอพพลิเคชัน
1.4.3.4. ข้อเสีย
1.4.3.4.1. ประสิทธิภาพต่ำ
1.4.3.4.2. แต่ละบริการมักจะต้องการโปรเซสของตนเอง
1.4.3.4.3. สามารถขยายตัวได้ยาก
1.5. Firewall Architecture
1.5.1. คือ การจัดวางไฟร์วอลล์คอมโพเน็นต์ในแบบต่างๆ เพื่อทำให้เกิดเป็นระบบไฟร์วอ ลล์ขึ้น
1.5.2. Single Box Architecture
1.5.2.1. เป็น Architecture แบบง่ายๆ ที่มีcomponentทำหน้าที่เป็นไฟร์วอลล์เพียงอัน เดียวตั้งอยู่ระหว่างเน็ตเวิร์กภายในกับเน็ตเวิร์กภายนอก
1.5.2.2. ข้อดีของวิธีนี้ก็คือการที่มีเพียงจุดเดียวที่หน้าที่ไฟร์วอลล์ทั้งหมด ควบคุมการ เข้าออกของข้อมูล ทำให้ดูแลได้ง่าย เป็นจุดสนใจในการดูแลความปลอดภัยเน็ต เวิร์ก
1.5.2.3. ในทางกลับกันข้อเสียของวิธีนี้ก็คือ การที่มีเพียงจุดเดียวนี้ ทำให้มีความเสี่ยงสูง หากมีการconfigurationผิดพลาดหรือมีช่องโหว่เพียงเล็กน้อย การผิดพลาด เพียงจุดเดียวอาจทำให้ระบบถูกเจาะได้
1.5.2.4. Single Box Architecture มี component ที่ใช้คือ
1.5.2.4.1. 1) Screening Router เราสามารถใช้เราเตอร์ทำ Packet Filtering ได้ วิธีนี้จะทำให้ประหยัดค่าใช้จ่ายเนื่องจากส่วนใหญ่จะใช้เราเตอร์ ต่อกับเน็ตเวิร์กภายนอกอยู่แล้ว แต่วิธีนี้อาจไม่ยืดหยุ่นมากนักในการconfiguration
1.5.2.4.2. 2)Dual-Homed Host เราสามารถใช้ Dual-Homed Host ( คอมพิวเตอร์ที่มีNetwork interfaceอย่างน้อย 2 อัน) ใช้การบริการเป็น Proxy ให้กับเครื่องภายในเน็ตเวิร์ก
1.5.2.4.3. 3)Multi-purposed Firewall Box มีผลิตภัณฑ์หลายชนิดที่ผลิตออกมาเป็นpackage เดียว ซึ่งทำหน้าที่ได้หลายอย่าง ทั้ง Packet Filtering, Proxy แต่ก็อย่าลืมว่านี่คือ Architecture แบบชั้นเดียว ซึ่งถ้าพลาดแล้วก็จะเสียหายทั้งเน็ตเวิร์กได้
1.5.3. Screened Host Architecture
1.5.3.1. จะมีโฮสต์ซึ่งให้บริการ Proxy เหมือนกับใน Single Box Architecture ที่เป็น Dual-homed Host แต่จะต่างกันตรงที่ว่า โฮสต์นั้นจะอยู่ภายในเน็ตเวิร์ก ไม่ต่ออยู่กับเน็ตเวิร์กภายนอกอื่นๆ
1.5.3.2. มี เราเตอร์ที่ทำหน้าที่ Packet Filtering ช่วยบังคับให้เครื่องภายในเน็ตเวิร์กต้องติดต่อเซอร์วิสผ่าน Proxy โดยไม่ยอมให้ติดต่อใช้เซอร์วิสจากภายนอกโดยตรง และก็ให้ภายนอกเข้าถึงได้เฉพาะ Bastion host ( คือโฮสต์ที่มีความเสี่ยงสูงต่อการถูกโจมตี มักจะเป็นโฮสต์ที่เปิดให้บริการกับอินเตอร์เน็ต ดังนั้นโฮสต์นี้ต้องมีการดูแลเป็นพิเศษ) เท่านั้น
1.5.3.3. Architecture นี้เหมาะสำหรับ
1.5.3.3.1. เน็ตเวิร์กที่มีการติดต่อกับเน็ตเวิร์กภายนอกน้อย
1.5.3.3.2. เน็ตเวิร์กที่มีการป้องกันความปลอดภัยใน ระดับของโฮสต์เป็นอย่างดีแล้ว
1.5.4. Multi Layer Architecture
1.5.4.1. ในสถาปัตยกรรมแบบหลายชั้น ไฟร์วอลล์จะเกิดขึ้นจากคอมโพเน็นต์ หลายๆส่วนทำหน้าที่ประกอบกันขึ้นเป็นระบบ
1.5.4.2. วิธีการนี้สามารถเพิ่มความปลอดภัยได้มาก เนื่องจากเป็นการลดความเสี่ยงต่อความผิดพลาดที่อาจเกิดขึ้น ถ้าหากมีไฟร์วอลล์เพียงจุดเดียวแล้วมีเกิดความผิดพลาดเกิดขึ้น ระบบทั้งหมดก็จะเป็นอันตราย แต่ถ้ามีการป้องกันหลายชั้น หากในชั้นแรกถูกเจาะ ก็อาจจะมีความเสียหายเพียงบางส่วน ส่วนที่เหลือระบบก็ยังคงมีชั้นอื่นๆ ในการป้องกันอันตราย
1.5.4.3. ลดความเสี่ยงได้โดยการที่แต่ละชั้นนั้นมีการใช้เทคโนโลยีที่แตกต่างกัน เพื่อให้เกิดความหลากหลาย เป็นการหลีกเลี่ยงการโจมตีหรือช่องโหว่ที่อาจมีในเทคโนโลยีชนิดใดชนิดหนึ่ง โดยทั่วไปแล้วสถาปัตยกรรมแบบหลายชั้นจะเป็นการต่อกันเป็นซีรี่โดยมี Perimeter Network (หรือบางทีเรียกว่า DMZ Network) อยู่ตรงกลาง เรียกว่า Screened Subnet Architecture
1.5.4.3.1. Perimeter Network ใช้ในการแบ่งเน็ตเวิร์กออกเป็นส่วนๆ ทำให้การไหลของข้อมูลถูกแบ่งออกเป็นส่วนๆตามเน็ตเวิร์กด้วย Bastion Host ตั้งอยู่บน Perimeter Network ทำหน้าที่ให้บริการ Proxy กับเน็ตเวิร์กภายใน และให้บริการต่างๆ กับผู้ใช้บนอินเตอร์เน็ต Interior Router ตั้งอยู่ระหว่าง Perimeter Network กับเน็ตเวิร์กภายใน ทำหน้าที่ Packet Filtering ป้องกันเน็ตเวิร์กภายในจาก Perimeter Network Exterior Router ตั้งอยู่ระหว่างเน็ตเวิร์กภายนอกกับ Perimeter Network เนื่องจาก Exterior Router เป็นจุดที่ต่ออยู่กับเน็ตเวิร์กภายนอก จึงมีหน้าที่ที่สำคัญอย่างหนึ่งคือ การป้องกันแพ็กเก็ตที่มีการ Forged IP Address เข้ามา
2. การรักษาความปลอดภัยเครือข่ายคืออะไร?
2.1. กิจกรรมใด ๆ ที่ออกแบบมาเพื่อปกป้องเครือข่ายของคุณ โดยเฉพาะเหล่านี้ กิจกรรมป้องกันการใช้งานและความน่าเชื่อถือ, ความซื่อสัตย์สุจริตและความปลอดภัยของ เครือข่ายและข้อมูลของคุณ
2.2. การรักษาความปลอดภัยเครือข่ายที่มีประสิทธิภาพเป้าหมายที่มีความหลากหลายของภัยคุกคามและหยุด พวกเขาจากการเข้าหรือการแพร่กระจายบนเครือข่ายของคุณ
2.3. การรักษาความปลอดภัยเครือข่ายสามารถทำได้โดยใช้ฮาร์ดแวร์และ ซอฟต์แวร์. ซอฟต์แวร์จะต้องได้รับการปรับปรุงอย่างต่อเนื่องและการบริหารจัดการ เพื่อปกป้องคุณจากภัยคุกคามที่เกิดขึ้นใหม่
3. ภัยคุกคามบนเครือข่าย
3.1. Viruses, worms, and Trojan horses
3.2. Spyware and adware
3.3. Zero-day attacks, also called zero-hour attacks
3.4. Hacker attacks
3.5. Denial of service attacks
3.6. Data interception and theft
3.7. Identity theft
4. วิธีการทำงานเครือข่ายความปลอดภัย?
4.1. องค์ประกอบด้านความปลอดภัยเครือข่าย
4.1.1. ป้องกันไวรัสและป้องกันสปายแวร์
4.1.2. ไฟร์วอลล์เพื่อป้องกันการเข้าถึงเครือข่ายของคุณ
4.1.3. ระบบป้องกันการบุกรุก (IPS) เพื่อระบุภัยคุกคามแพร่กระจายอย่างรวดเร็วเช่น zero-day หรือศูนย์ชั่วโมงการโจมตี
4.1.4. เครือข่ายส่วนตัวเสมือน (VPN) เพื่อให้การเข้าถึงระยะไกลที่ปลอดภัย
5. Introduction
5.1. การ Monitoring เป็นกระบวนการที่สำคัญในกลุ่มการทำงาน PDR
5.2. Intrusion Prevention System เป็นระบบที่มีความสามารถมากกว่า Intrusion Detection System โดยมีความสามารถในการ Prevent และ Response ต่อปัญหาการโจมตีต่างๆ ได้
5.3. Intrusion Detection System คืออุปกรณ์ที่ใช้ในการ Detect สัญญาณของปัญหาต่างๆ ในระบบสารสนเทศ
5.4. การทำงานที่ทำให้ระบบสูญเสีย Confidentiality , Integrity, Availability
5.5. การทำงานที่ทำให้กระบวนการ Security Mechanism ต่างๆ ไม่สามารถทำงานได้
5.6. เช่นการทำงานของมัลแวร์ต่างๆ , unauthorized access, authorized users ที่ดำเนินการเพิ่มสิทธิของตนเอง
5.7. การทำงานโดยไม่รู้หรือไม่ตั้งใจของผู้ใช้งานเช่นพิมพ์ผิด การเข้าใช้งานระบบผิด อาจทำให้มองได้ว่าเป็นการบุกรุก (False Positive)
5.8. การทำงานของ IDPS
5.8.1. ระบุเหตุฉุกเฉินที่เป็นไปได้
5.8.2. เก็บข้อมูลเหตุฉุกเฉินที่พบ
5.8.3. พยายามหยุดการบุกรุกโดยอัตโนมัติ
5.8.4. ระบุปัญหาที่เกิดขึ้นซึ่งขัดกับนโยบายการรักษาความปลอดภัย
5.8.5. จัดทำรายงานและแจ้งเตือนผู้ดูแลระบบ
5.9. ผลลัพธ์การทำงานของ IDPS
5.9.1. ผลลัพธ์ส่วนใหญ่จะเป็นการแจ้งเตือนและเก็บข้อมูลการแจ้งเตือนในรูปแบบต่างๆ เช่น
5.9.2. ความสามารถในการตอบสนองต่อปัญหา
5.9.2.1. ตัดการเชื่อมต่อ ตั้งค่าระบบเพิ่มเติม
6. Intrusion Detection System(IDS)
6.1. IDS (Intrusion Detection System) คือหมายถึงฮาร์ดแวร์หรือซอฟต์แวร์ที่ติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่ส่งผ่านบนเครือข่ายคอมพิวเตอร์ด้วยการวิเคราะห์รูปแบบ พฤติกรรมในแพ็กเก็ตข้อมูล (Packet Data) เพื่อค้นหาสิ่งที่ผิดปกติ(Anomaly) แล้วนำเข้าสู่กระบวนการทำนาย (Prediction) เพื่อตัดสินว่าเป็นเหตุการณ์บุกรุกจริงแล้วแจ้งเตือน (Alert) ให้ผู้รับผิดชอบระบบทราบเพื่อดำเนินการป้องกันและแก้ไขต่อไป
6.2. - ระบบตรวจหาการบุกรุกบนเครือข่าย (Network-based IDSs)
6.2.1. จะทำงานในเครือข่ายคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลเพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ
6.2.2. จะทำงานในเครื่องคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลและตรวจสอบการใช้งานโปรแกรมประยุกต์ (Application) ในเครื่องคอมพิวเตอร์จากไฟล์บันทึกข้อมูลการใช้(Log File) เพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ
6.3. หลักการทำงานของระบบตรวจหาการบุกรุก
6.3.1. การตรวจหาการใช้งานที่ผิด (Misuse Detection)หรือ (Signature-based) เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์ พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในระบบเครือข่าย โดยการเปรียบเทียบพฤติกรรมหรือเหตุการณ์ที่เข้ามาในเครือข่าย ณ เวลาขณะน้ันกับพฤติกรรมหรือเหตุการณ์ที่เป็นการบุกรุกซึ่งจัดเก็บไว้ในฐานข้อมูลระบบ
6.3.1.1. Pattern Matching เป็นการเปรียบเทียบแพ็กเก็ตของซิกเนเจอร์
6.3.1.2. Stateful Matching เป็นการเปรียบเทียนรูปแบบของกิจกรรมทั่วไป
6.3.2. การตรวจหาเหตุการณ์ผิดปกติ (Anomaly-based Detection) เป็นการตรวจหารูปแบบการบุกรุก ด้วยการวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในระบบเครือข่าย โดยการเปรียบเทียบพฤติกรรมหรือเหตุการณ์ที่เข้ามาในเครือข่าย ณ เวลาขณะน้ันกับพฤติกรรมหรือเหตุการณ์ที่เป็นการบุกรุกซึ่งจัดเก็บไว้ในฐานข้อมูลระบบ
6.3.2.1. การตรวจหาความผิดปกติด้วยสถิติ (Statistical Anomaly-Based)
6.3.2.2. การตรวจหาความผิดปกติด้วยโพรโตคอล (Protocol Anomaly-Based)
6.3.2.3. การตรวจหาความผิดปกติด้วยสัญญาณจราจร(Traffic Anomaly-Based)
6.3.3. การวัดตามกฎ (Rule-based Measure) เป็นวิธีการวัดโดยกำหนดพฤติกรรมหรือเหตุการณ์ปกติเป็นกฎไว้ แล้วนำ พฤติกรรมหรือเหตุการณ์ที่เกิดข้ึนในเครือข่าย ณ เวลาในขณะน้ัน มาเปรียบเทียบกับกฎ หากไม่ตรงกันแสดงว่าเป็นรูปแบบการโจมตีเช่น ใช้กฎพื้นฐาน IF/THEN ของการเขียนโปรแกรมในระบบผู้เชี่ยวชาญ (Expert System) ใช้การอนุญาตของระบบผู้เชี่ยวชาญสำหรับคุณลักษณะของปัญญาประดิษฐ์ (Artificial Intelligence)กฎระเบียบที่ซับซ้อนมากขึ้น อุปสงค์มากขึ้นจากความต้องการการประมวลผลของเครื่องและโปรแกรมทางคอมพิวเตอร์และไม่สามารถตรวจสอบการโจมตีแบบใหม่ได้
6.4. การวิเคราะห์รูปแบบการโจมตีของระบบตรวจหาการบุกรุก ( Attack Analysis of IDS)
6.4.1. การวิเคราะห์เนื้อหา (Content Analysis) จะต้องมีการจับแพ็กเก็ตข้อมูล (Capture Packets) ทั้งหมดซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะน้ันจำเป็นต้องมีพื้นที่ว่างในฮาร์ดดิสก์(Disk Space) และหน่วยประมวลผล (CPU Time) ในการประมวลผลข้อมูลดังกล่าวที่เหมาะสม
6.4.1.1. ข้อดีของการวิเคราะห์เนื้อหาคือง่าย รวดเร็วและเป็นการตรวจหาในเวลาจริง(Real-Time Detection) มากกว่า
6.4.1.2. ข้อเสียคือโอกาสของความผิดพลาดในการแจ้งเตือนนั้นสูงกว่า และต้องการใช้เครื่องคอมพิวเตอร์ในการประมวลผลและจัดเก็บในการทำงานที่สูงมาก
6.4.2. การวิเคราะห์สัญญาณจราจร (Traffic Analysis) เป็นการแปลความหมายจากรูปแบบ(Patterns) ในส่วนหัวของแพ็กเก็ต (Packet Header) ซึ่งจะแสดงถึงความผิดปกติของเครือข่าย เพราะฉะน้ันจึงมีความจำเป็นที่ผุ้วิเคราะห์จะต้องมีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าว เนื่องจากวิเคราะห์จะดูเฉพาะส่วนที่เป็นส่วนหัวของแพ็กเก็ต ฉะน้ันจึงมีการจับเฉพาะส่วนหัวของข้อมูล โดยปกติแล้วส่วนหัวที่จะต้องจับจะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องในการวิเคราะห์จึงจำเป็นต้องมีการจับทุก ๆ ส่วนหัวที่ผ่านในเครือข่าย
6.4.2.1. ข้อดีของการวิเคราะห์สัญญาณจราจร คือความถูกต้องของการแปลความหมายของข้อมูล
6.4.2.2. ข้อเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่างดี และในการประมวลผลจะไม่สามารถเป็นแบบเชิงเวลาจริงได้
6.5. ซอฟต์แวร์ที่นิยมใช้ในการตรวจหาการบุกรุก
6.5.1. Snort เป็นซอฟต์แวร์ที่อยู่ในกลุ่ม Network Intrusion Detection System (NIDS)
6.5.2. Tcpdump เป็ นซอฟต์แวร์ในกลุ่ม Network Analyzer
6.5.3. Sniffit เป็นซอฟต์แวร์ดักจับแพ็กเกต
6.5.4. Ethereal
7. Intrusion prevention systems (IPS)
7.1. IPS (Intrusion Prevention System) คือ Software หรือ hardware ที่ได้รับการออก แบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS(Intrusion Detection System) แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือหยุดยั้งผู้บุกรุกได้ด้วยตัวเองโดยที่ไม่จำเป็นต้องอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ
7.2. วัตถุประสงค์หลักของระบบป้องกันการบุกรุกคือ:
7.2.1. ระบุกิจกรรมที่เป็นอันตราย
7.2.2. ความพยายามที่จะปิดกั้น / หยุดกิจกรรมที่เป็นอันตราย
7.2.3. เข้าสู่ระบบข้อมูลเกี่ยวกับกิจกรรม
7.2.4. รายงานกิจกรรมที่มุ่งร้าย
7.3. ประเภทของ IPS
7.3.1. ระบบป้องกันการบุกรุกเครือข่าย (NIPS): ตรวจสอบเครือข่ายทั้งหมดสำหรับการจราจรที่น่าสงสัยโดยการวิเคราะห์กิจกรรมโปรโตคอล
7.3.2. ระบบป้องกันการบุกรุกแบบไร้สาย (WIPS): ตรวจสอบเครือข่ายไร้สายสำหรับการจราจรที่น่าสงสัยโดยการวิเคราะห์โปรโตคอลเครือข่ายไร้สาย
7.3.3. การวิเคราะห์พฤติกรรมเครือข่าย (NBA): ตรวจสอบการจราจรเครือข่ายเพื่อระบุภัยคุกคามที่สร้างกระแสการจราจรที่ผิดปกติเช่นการปฏิเสธการกระจายการให้บริการ (DDoS) รูปแบบหนึ่งของมัลแวร์และการละเมิดนโยบาย
7.3.4. ระบบป้องกันการบุกรุกตามโฮสต์ (HIPS): แพคเกจซอฟต์แวร์ที่ติดตั้งซึ่งตรวจสอบโฮสต์เดียวสำหรับกิจกรรมที่น่าสงสัยจากเหตุการณ์ที่เกิดขึ้นภายในการวิเคราะห์โฮสต์
7.4. โปรแกรมที่ทำงานในลักษณะเดียวกับ IDPS
7.4.1. โปรแกรมตรวจจับไวรัส (Virus Scanner)
7.4.2. โปรแกรมสแกนช่องโหว่ในระบบ (Vulnerability Scanner)
7.4.2.1. Network-Based Scanner
7.4.2.1.1. ตรวจสอบผ่านเครือข่าย
7.4.2.1.2. ข้อเสียเล็กน้อยคือข้อมูลที่ได้จากการตรวจสอบจะไม่ละเอียดมาก
7.4.2.1.3. ตัวอย่างซอฟต์แวร์เช่น Nessus และ Retina
7.4.2.2. Host-Based Scanner
7.4.2.2.1. ตรวจสอบความบกพร่องภายในระบบคอมพิวเตอร์ได้โดยละเอียด
7.4.2.2.2. ต้องนำโปรแกรมไปติดตั้งและสแกนในเครื่องคอมพิวเตอร์นั้นๆ
7.4.2.2.3. การตรวจสอบระบบในเครือข่ายขนาดใหญ่จะทำได้ยาก