Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> การเขียนโปรแกรม

จะตรวจจับการบุกรุกได้อย่างไร?


ความปลอดภัยของระบบคอมพิวเตอร์และข้อมูลของเราอยู่ในความเสี่ยงอย่างต่อเนื่อง การเติบโตอย่างกว้างขวางของเว็บและความสามารถในการเข้าถึงที่เพิ่มขึ้นของเครื่องมือและกลเม็ดสำหรับการบุกรุกและโจมตีเครือข่ายได้กระตุ้นให้การตรวจจับการบุกรุกกลายเป็นองค์ประกอบสำคัญของการดูแลระบบเครือข่าย การบุกรุกสามารถแสดงเป็นชุดเหตุการณ์ใดๆ ที่คุกคามความสมบูรณ์ ความลับ หรือความพร้อมของทรัพยากรเครือข่าย (รวมถึงบัญชีผู้ใช้ ระบบไฟล์ เคอร์เนลของระบบ ฯลฯ)

ระบบตรวจจับการบุกรุกเชิงพาณิชย์บางระบบมีการจำกัดและไม่รองรับโซลูชันทั้งหมด ระบบดังกล่าวมักใช้วิธีการตรวจจับการใช้ในทางที่ผิด การตรวจจับการใช้ในทางที่ผิดจะค้นหาการออกแบบโปรแกรมหรือพฤติกรรมของผู้ใช้ที่เชื่อมโยงกับสถานการณ์การบุกรุกที่ทราบ ซึ่งบันทึกเป็นลายเซ็น

ลายเซ็นที่เขียนด้วยลายมือเหล่านี้ได้รับการสนับสนุนอย่างหนักจากผู้เชี่ยวชาญที่เป็นมนุษย์ โดยอาศัยความรู้ที่กว้างขวางของพวกเขาเกี่ยวกับวิธีการบุกรุก หากพบรูปแบบที่ตรงกัน สิ่งนี้จะส่งสัญญาณถึงเหตุการณ์ที่มีการสร้างสัญญาณเตือน นักวิเคราะห์ด้านความปลอดภัยของมนุษย์จะคำนวณการแจ้งเตือนเพื่อกำหนดว่าต้องดำเนินการอย่างไร ไม่ว่าจะเป็นการปิดระบบบางส่วนของระบบ การแจ้งเตือนผู้ให้บริการเว็บที่เกี่ยวข้องเกี่ยวกับการรับส่งข้อมูลที่น่าสงสัย หรือสังเกตการรับส่งข้อมูลที่ผิดปกติได้อย่างง่ายดายเพื่อใช้อ้างอิงในอนาคต

โดยทั่วไป ระบบตรวจจับการบุกรุกสำหรับเครือข่ายที่ซับซ้อนขนาดใหญ่สามารถสร้างสัญญาณเตือนได้หลายพันหรือล้านรายการต่อวัน ซึ่งเป็นการกำหนดบริการที่ล้นหลามสำหรับนักวิเคราะห์ด้านความปลอดภัย เนื่องจากระบบไม่คงที่ จึงต้องอัปเกรดลายเซ็นทุกครั้งที่ซอฟต์แวร์เวอร์ชันใหม่ปรากฏขึ้นหรือการเปลี่ยนแปลงการกำหนดค่าเครือข่ายปรากฏขึ้น ข้อจำกัดคือการตรวจจับการใช้ในทางที่ผิดสามารถระบุเฉพาะกรณีที่เชื่อมโยงลายเซ็นเท่านั้น โดยเฉพาะอย่างยิ่งไม่สามารถตรวจจับวิธีการบุกรุกใหม่หรือที่ไม่รู้จักก่อนหน้านี้ได้

การบุกรุกของนวนิยายสามารถค้นพบได้โดยวิธีการตรวจจับสิ่งผิดปกติ การตรวจจับความผิดปกติจะสร้างแบบจำลองพฤติกรรมเครือข่ายปกติ (เรียกว่าโปรไฟล์) ซึ่งสามารถตรวจจับรูปแบบใหม่ที่เบี่ยงเบนไปจากโปรไฟล์ได้อย่างมาก การเบี่ยงเบนดังกล่าวสามารถกำหนดการบุกรุกที่เกิดขึ้นจริงหรือเป็นพฤติกรรมใหม่ที่ต้องเพิ่มในโปรไฟล์

ประโยชน์ของการตรวจจับสิ่งผิดปกติคือสามารถตรวจจับการบุกรุกแบบใหม่ที่ยังไม่ได้สังเกตได้ โดยทั่วไปแล้ว นักวิเคราะห์ที่เป็นมนุษย์ควรจัดการผ่านการเบี่ยงเบนเพื่อให้แน่ใจว่าสิ่งใดเป็นตัวกำหนดการบุกรุกที่แท้จริง ปัจจัยที่กำหนดของความผิดปกติ ประโยชน์ของการตรวจจับความผิดปกติคือสามารถตรวจจับการบุกรุกแบบใหม่ที่ยังไม่ได้สังเกตได้ โดยทั่วไปแล้ว นักวิเคราะห์ที่เป็นมนุษย์ควรจัดการผ่านการเบี่ยงเบนเพื่อให้แน่ใจว่าสิ่งใดเป็นตัวกำหนดการบุกรุกที่แท้จริง ปัจจัยที่กำหนดของการตรวจจับความผิดปกติคือเปอร์เซ็นต์ที่สูงของผลบวกลวง มีรูปแบบใหม่ของการบุกรุกที่สามารถแทรกเข้าไปในชุดของลายเซ็นสำหรับการตรวจจับการใช้ในทางที่ผิด