Original Title: A SURVEY OF DIGITAL FORENSIC METHODS UNDER ADVANCED PERSISTENT THREAT IN FOG COMPUTING ENVIRONMENT
Source: www.jatit.org
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការស្ទង់មតិលើវិធីសាស្ត្រកោសល្យវិច័យឌីជីថលក្រោមការគំរាមកំហែងកម្រិតខ្ពស់ជាប្រចាំនៅក្នុងបរិស្ថានកុំព្យូទ័រ Fog

ចំណងជើងដើម៖ A SURVEY OF DIGITAL FORENSIC METHODS UNDER ADVANCED PERSISTENT THREAT IN FOG COMPUTING ENVIRONMENT

អ្នកនិពន្ធ៖ AHMAD K. Al HWAITAT (King Abdullah the II IT School, The University of Jordan), SAHER MANASEER (Department of Computer Science, The University of Jordan), RIZIK M. H. Al-SAYYED (Department of Information Technology, The University of Jordan)

ឆ្នាំបោះពុម្ព៖ 2019 Journal of Theoretical and Applied Information Technology

វិស័យសិក្សា៖ Cybersecurity / Digital Forensics

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះផ្តោតលើបញ្ហាប្រឈមក្នុងការស៊ើបអង្កេតឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ជាពិសេសការគំរាមកំហែងកម្រិតខ្ពស់ជាប្រចាំ (Advanced Persistent Threat - APT) នៅក្នុងបរិស្ថានកុំព្យូទ័រ Fog (Fog Computing) ដោយសារកង្វះឧបករណ៍កោសល្យវិច័យឌីជីថលដែលមានប្រសិទ្ធភាពក្នុងការវិភាគទិន្នន័យធំៗ។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះបានធ្វើការស្ទង់មតិយ៉ាងទូលំទូលាយលើវិធីសាស្ត្រកោសល្យវិច័យបច្ចុប្បន្ន និងបានស្នើឡើងនូវវិធីសាស្ត្រថ្មីដែលរួមបញ្ចូលបញ្ញាសិប្បនិម្មិតសម្រាប់ការរកឃើញ និងការប្រមូលភស្តុតាង។

ការប្រើប្រាស់ក្បួនដោះស្រាយការបង្កើនប្រសិទ្ធភាពហ្វូងភាគល្អិត (Particle Swarm Optimization - PSO) ដែលត្រូវបានកែលម្អហៅថា IDF-PSO
ការអនុវត្តវិធីសាស្ត្រចាត់ថ្នាក់ដោយប្រើវិធាន Yara (Yara-rules Classifier) លើសំណុំទិន្នន័យមេរោគ Shamoon
ការវិភាគកញ្ចប់ទិន្នន័យសកម្ម (Dynamic Analysis) និងការស្រង់លទ្ធផលមកបង្ហាញដោយប្រើប្រាស់បច្ចេកវិទ្យា Elastic Search (Kibana)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

វិធីសាស្ត្រ IDF-PSO ជួយដោះស្រាយបញ្ហានៃការជាប់គាំងក្នុងដែនកំណត់ទីតាំង (Local Optimum) និងផ្តល់អត្រានៃការចាប់សញ្ញាបានលឿនជាងមុននៅក្នុងចន្លោះទិន្នន័យដែលមានវិមាត្រខ្ពស់។
ប្រព័ន្ធដែលបានស្នើនេះផ្តល់សមត្ថភាពក្នុងការរកឃើញការវាយប្រហារប្រភេទ APT បានតាំងពីដំណាក់កាលដំបូង មុនពេលមេរោគទាំងនោះឆ្លងចូលទៅដល់បរិស្ថានកុំព្យូទ័រ Cloud ទាំងស្រុង។
វាអនុញ្ញាតឱ្យមានការឆ្លើយតបរហ័ស (Quick Response) ក្នុងការប្រមូលភស្តុតាងឌីជីថល និងជួយកំណត់អត្តសញ្ញាណប្រភពនៃការជ្រៀតចូលលួចទិន្នន័យដោយជោគជ័យ។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Original Particle Swarm Optimization (PSO) ក្បួនដោះស្រាយការបង្កើនប្រសិទ្ធភាពហ្វូងភាគល្អិតដើម (PSO)	មានភាពងាយស្រួលក្នុងការស្វែងរកតម្លៃល្អបំផុត (Optimal value) នៅក្នុងការកំណត់ទីតាំង និងដំណើរការទិន្នន័យដែលមានវិមាត្រទាប។	ងាយនឹងជាប់គាំងក្នុងដែនកំណត់ទីតាំងតូចចង្អៀត (Local optimum) នៅពេលទិន្នន័យមានវិមាត្រខ្ពស់ និងមានអត្រានៃការវិវឌ្ឍយឺត។	មិនមានប្រសិទ្ធភាពខ្ពស់ក្នុងការស៊ើបអង្កេតកោសល្យវិច័យទិន្នន័យធំៗ និងស្មុគស្មាញនៅក្នុងបរិស្ថានកុំព្យូទ័រ Fog ឡើយ។
Investigator Digital Forensics Particle Swarm Optimization (IDF-PSO) វិធីសាស្ត្រ IDF-PSO ដែលបានស្នើឡើងសម្រាប់ការស៊ើបអង្កេតកោសល្យវិច័យ	អាចជៀសវាងបញ្ហាជាប់គាំងក្នុងដែនកំណត់ទីតាំង (Local optimum) និងមានល្បឿនលឿនក្នុងការស្វែងរកភស្តុតាងដោយប្រើបណ្តាញថ្នាំង Fog។	ទាមទារការរៀបចំបណ្តាញចែកចាយកុំព្យូទ័រ Fog ដែលមានភាពស្មុគស្មាញ និងត្រូវការធនធានគណនាគ្រប់គ្រាន់សម្រាប់ការវិភាគចរាចរណ៍បណ្តាញភ្លាមៗ។	ផ្តល់ដំណោះស្រាយដ៏ប្រសើរបំផុតក្នុងការប្រមូលភស្តុតាងឌីជីថល ការរកឃើញការវាយប្រហារ APT និងការវិភាគពីអាកប្បកិរិយានៃការរីករាលដាលមេរោគ។
Machine Learning Classifiers (e.g., J48, Random Forest) វិធីសាស្ត្រចំណាត់ថ្នាក់តាមរយៈការរៀនដោយម៉ាស៊ីន (Machine Learning)	មានភាពជាក់លាក់ខ្ពស់ក្នុងការរកឃើញ និងចាត់ថ្នាក់មេរោគដោយពឹងផ្អែកលើការវិភាគអាកប្បកិរិយា (Dynamic Analysis)។	អាចមានការលំបាកក្នុងការវិភាគ និងរកឃើញការវាយប្រហារ APT ថ្មីៗដែលបន្លំខ្លួនបានល្អ ប្រសិនបើមិនមានទិន្នន័យហ្វឹកហាត់គ្រប់គ្រាន់។	នៅក្នុងការសិក្សាស្រដៀងគ្នាដែលបានលើកឡើង ម៉ូដែល J48 ទទួលបានភាពត្រឹមត្រូវ 95.9% ចំណែក Random Forest ទទួលបានតម្លៃ 0.98 AUC ក្នុងការចាត់ថ្នាក់មេរោគ។

ការចំណាយលើធនធាន (Resource Cost)៖ ការអនុវត្តប្រព័ន្ធនេះទាមទារការរៀបចំហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ Fog Computing កម្រិតខ្ពស់ និងឧបករណ៍វិភាគកោសល្យវិច័យឌីជីថលដែលមានសមត្ថភាពដំណើរការបានលឿន។

Software: ត្រូវការឧបករណ៍វិភាគដូចជាវិធាន Yara (Yara rules) សម្រាប់ការចាត់ថ្នាក់មេរោគ ព្រមទាំងប្រព័ន្ធ Elasticsearch និង Kibana សម្រាប់ការស្វែងរកនិងបង្ហាញទិន្នន័យវិភាគ (Data Visualization)។
Hardware: ទាមទារថ្នាំងកុំព្យូទ័រតាមបណ្តាញ (Fog Nodes) ដែលមានសមត្ថភាពគណនា និងអង្គចងចាំគ្រប់គ្រាន់ដើម្បីវិភាគចរាចរណ៍ទិន្នន័យ និងដំណើរការក្បួនដោះស្រាយ IDF-PSO។
Dataset: តម្រូវឱ្យមានសំណុំទិន្នន័យនៃការវាយប្រហារប្រភេទ APT និងមេរោគ (ឧទាហរណ៍ ឯកសារបានប្រើប្រាស់សំណុំទិន្នន័យមេរោគ Shamoon) សម្រាប់ការធ្វើតេស្ត និងវាយតម្លៃភាពត្រឹមត្រូវ។
Expertise: ទាមទារអ្នកជំនាញដែលមានចំណេះដឹងជ្រៅជ្រះផ្នែកសន្តិសុខសាយប័រ (Cybersecurity) កោសល្យវិច័យឌីជីថល (Digital Forensics) ការវិភាគមេរោគ និងស្ថាបត្យកម្ម Cloud/Fog Computing។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះបានវិភាគយ៉ាងខ្លាំងទៅលើរបាយការណ៍នៃការវាយប្រហារ APT ដែលបានកើតឡើងនៅតំបន់មជ្ឈិមបូព៌ា (Middle East) ដោយប្រើប្រាស់មេរោគ Shamoon ដែលជាទូទៅវាយប្រហារលើគោលដៅឧស្សាហកម្មប្រេងកាត និងរដ្ឋាភិបាល។ ការប្រើប្រាស់សំណុំទិន្នន័យដែលផ្តោតលើតំបន់ជាក់លាក់នេះ អាចនឹងមិនឆ្លុះបញ្ចាំងទាំងស្រុងពីទម្រង់នៃការគំរាមកំហែងសាយប័រនៅក្នុងប្រទេសកម្ពុជាឡើយ ហេតុនេះការអនុវត្តជាក់ស្តែងទាមទារឱ្យមានការកែសម្រួលម៉ូដែល និងប្រើប្រាស់ទិន្នន័យវាយប្រហារនៅក្នុងតំបន់អាស៊ីអាគ្នេយ៍បន្ថែម។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

វិធីសាស្ត្រ IDF-PSO រួមផ្សំជាមួយបច្ចេកវិទ្យា Fog Computing នេះមានសក្តានុពល និងអត្ថប្រយោជន៍យ៉ាងធំធេងសម្រាប់ការពង្រឹងសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលនៅកម្ពុជា។

Financial Sector (e.g., National Bank of Cambodia, Commercial Banks): អាចប្រើប្រាស់បច្ចេកទេសនេះដើម្បីតាមដាន និងទប់ស្កាត់ការជ្រៀតចូលលួចទិន្នន័យ (Data Espionage) ពីសំណាក់ក្រុម Hacker កម្រិតខ្ពស់ មុនពេលពួកគេអាចចូលទៅដល់ម៉ាស៊ីនមេស្នូល (Core Banking Cloud Servers) របស់ធនាគារ។
Government Infrastructure (e-Government initiatives & Data Centers): ក្រសួងស្ថាប័នរដ្ឋអាចដាក់ពង្រាយ Fog Nodes នៅតាមបណ្តាញព្រំដែនប្រព័ន្ធរបស់ខ្លួន ដើម្បីប្រមូលភស្តុតាងកោសល្យវិច័យឌីជីថលឱ្យបានលឿន និងតាមដានការរីករាលដាលនៃមេរោគប្រភេទ APT ការពារព័ត៌មានជាតិសំខាន់ៗ។
Telecommunications Sector (ISPs & Telcos like Smart, Cellcard): ក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍អាចប្រើប្រាស់បច្ចេកទេសនេះដើម្បីកាត់បន្ថយការពន្យារពេល (Latency) ក្នុងការវិភាគចរាចរណ៍បណ្តាញដ៏ធំសម្បើម និងអាចរកឃើញរាល់ការគំរាមកំហែងបានភ្លាមៗនៅតាមប្រព័ន្ធកោសិកាបណ្តាញ។

សរុបមក ការអនុវត្តវិធីសាស្ត្រកោសល្យវិច័យតាមរយៈ Fog Computing នឹងជួយឱ្យប្រទេសកម្ពុជាមានសមត្ថភាពគ្រប់គ្រាន់ក្នុងការឆ្លើយតបទៅនឹងឧក្រិដ្ឋកម្មសាយប័រកម្រិតខ្ពស់ប្រកបដោយប្រសិទ្ធភាព និងធានាបាននូវសុវត្ថិភាពទិន្នន័យប្រកបដោយនិរន្តរភាព។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

ស្វែងយល់ពីមូលដ្ឋានគ្រឹះនៃ APT និង Fog Computing: និស្សិតគួរចាប់ផ្តើមសិក្សាពីទ្រឹស្តីនៃការវាយប្រហារ Advanced Persistent Threats (APT) លក្ខណៈនៃការលាក់ខ្លួនរបស់មេរោគ និងស្វែងយល់ពីភាពខុសគ្នារវាងស្ថាបត្យកម្ម Cloud Computing និង Fog Computing។
រៀនសរសេរនិងអភិវឌ្ឍក្បួនដោះស្រាយ Optimization Algorithm: ប្រើប្រាស់ភាសា Python ដើម្បីសិក្សា និងសរសេរកូដសាកល្បងនូវក្បួនដោះស្រាយ Particle Swarm Optimization (PSO) ដោយផ្តោតលើរបៀបយកឈ្នះបញ្ហា Local Optimum នៅក្នុងទិន្នន័យដែលមានវិមាត្រធំ (High-dimensional space)។
អនុវត្តការវិភាគមេរោគ និងរៀបចំវិធានចាត់ថ្នាក់មេរោគ: ទាញយកនិងអនុវត្តការប្រើប្រាស់ Yara Rules ដើម្បីសរសេរ Signature សម្គាល់អត្តសញ្ញាណមេរោគ និងស្វែងយល់ពីការប្រើប្រាស់ឧបករណ៍ Cuckoo Sandbox សម្រាប់ការវិភាគសកម្មភាពមេរោគប្រភេទ Dynamic Analysis ក្លែងក្លាយ។
រៀបចំប្រព័ន្ធកុំព្យូទ័រ Fog គំរូ និងការបង្ហាញទិន្នន័យកោសល្យវិច័យ: ប្រើប្រាស់បច្ចេកវិទ្យា Docker ឬ Virtual Machines ដើម្បីបង្កើតថ្នាំង Fog Nodes គំរូ រួចធ្វើការដំឡើងប្រព័ន្ធ Elasticsearch និង Kibana ដើម្បីសាកល្បងប្រមូល វិភាគ និងបង្ហាញលទ្ធផលអាកប្បកិរិយានៃការវាយប្រហារជាទម្រង់ក្រាហ្វិក (Data Visualization) ដូចដែលមានបង្ហាញក្នុងឯកសារស្រាវជ្រាវ។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Advanced Persistent Threat (APT)	គឺជាការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺណិតដ៏ស្មុគស្មាញ និងមានគោលដៅច្បាស់លាស់ ដែលពួក Hacker ព្យាយាមលាក់ខ្លួនក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះក្នុងរយៈពេលយូរ ដើម្បីលួចទិន្នន័យសំខាន់ៗដោយមិនឱ្យគេដឹងខ្លួន។	ប្រៀបដូចជាចោរលួចចូលក្នុងផ្ទះអ្នកយ៉ាងស្ងៀមស្ងាត់ ហើយរស់នៅលាក់ខ្លួនក្បែរនោះរាប់ខែដើម្បីលួចយកទ្រព្យសម្បត្តិបន្តិចម្តងៗដោយមិនឱ្យអ្នកដឹងខ្លួន។
Fog Computing	ជាបច្ចេកវិទ្យាដែលនាំយកសមត្ថភាពគណនានិងរក្សាទុកទិន្នន័យពី Cloud មកដាក់ឱ្យជិតនឹងឧបករណ៍ប្រើប្រាស់បណ្ដាញ (Edge devices/IoT) ដើម្បីកាត់បន្ថយការពន្យារពេល (Latency) និងបង្កើនប្រសិទ្ធភាពសន្តិសុខ។	ប្រៀបដូចជាការបង្កើតសាខាឃ្លាំងទំនិញនៅជិតផ្ទះអ្នកទិញ ដើម្បីឱ្យការដឹកជញ្ជូនមានភាពរហ័ស ជំនួសឱ្យការកុម្ម៉ង់ពីទីស្នាក់ការកណ្តាលដែលនៅឆ្ងាយ។
Particle Swarm Optimization (PSO)	គឺជាក្បួនដោះស្រាយបញ្ញាសិប្បនិម្មិត (AI) មួយប្រភេទដែលយកគំរូតាមអាកប្បកិរិយារបស់ហ្វូងសត្វ (ដូចជាហ្វូងបក្សី ឬត្រី) ដើម្បីស្វែងរកដំណោះស្រាយដ៏ល្អបំផុតសម្រាប់បញ្ហាស្មុគស្មាញណាមួយ។	ដូចជាហ្វូងសត្វស្លាបដែលហោះហើររកចំណី បើមានសត្វមួយរកឃើញកន្លែងមានចំណីច្រើន សត្វផ្សេងទៀតនឹងហោះតាមដើម្បីទៅស៊ីចំណីនៅទីនោះដែរ។
Digital Forensics	គឺជាដំណើរការនៃការស៊ើបអង្កេត ប្រមូល វិភាគ និងរក្សាទុកភស្តុតាងឌីជីថលពីឧបករណ៍អេឡិចត្រូនិច ដើម្បីស្វែងរកការពិត និងកំណត់អត្តសញ្ញាណឧក្រិដ្ឋជនតាមប្រព័ន្ធសាយប័រ។	ដូចជាប៉ូលីសកោសល្យវិច័យដែលទៅពិនិត្យស្នាមម្រាមដៃនៅកន្លែងកើតហេតុ ប៉ុន្តែនេះគឺការស្វែងរកស្នាមជើងឌីជីថលនៅក្នុងកុំព្យូទ័រឬទូរស័ព្ទ។
Dynamic Analysis	គឺជាវិធីសាស្ត្រក្នុងការវិភាគមេរោគដោយការបើកដំណើរការវាដោយផ្ទាល់នៅក្នុងបរិស្ថានដែលត្រូវបានគ្រប់គ្រងនិងការពារ (ដូចជា Sandbox) ដើម្បីតាមដានមើលពីអាកប្បកិរិយា និងផលប៉ះពាល់របស់វាទៅលើប្រព័ន្ធ។	ដូចជាការដាក់សត្វល្អិតចម្លែកមួយនៅក្នុងប្រអប់កញ្ចក់បិទជិត ហើយតាមដានមើលសកម្មភាពរបស់វាដើម្បីចង់ដឹងថាវាស៊ីអ្វី ឬមានគ្រោះថ្នាក់កម្រិតណា។
Yara Rules	គឺជាកូដបញ្ជាដែលប្រៀបដូចជាទម្រង់នៃការសរសេរ (Signatures) ប្រើសម្រាប់កំណត់អត្តសញ្ញាណ និងចាត់ថ្នាក់ប្រភេទមេរោគដោយផ្អែកលើលក្ខណៈជាក់លាក់នៃកូដរបស់វា។	ប្រៀបដូចជាសៀវភៅបញ្ជីវ័យឆ្លាតដែលកត់ត្រាភិនភាគរបស់ចោរ (មានស្នាមសាក់ កម្ពស់ ប៉ុន្មាន) ដើម្បីងាយស្រួលប្រៀបធៀបនិងចាប់ខ្លួននៅពេលក្រោយ។
Local Optimum	គឺជាចំណុចខ្សោយនៅក្នុងការគណនាបែប Optimization ដែលម៉ូដែលមួយគិតថាវាបានរកឃើញចម្លើយល្អបំផុតហើយ ប៉ុន្តែតាមពិតវានៅមានចម្លើយដែលល្អជាងនេះទៀតនៅក្នុងទិន្នន័យទាំងមូល។	ដូចជាអ្នកកំពុងឡើងភ្នំនៅពេលយប់ ហើយអ្នកគិតថាអ្នកបានដល់កំពូលភ្នំហើយ ព្រោះអ្នកមិនអាចឡើងខ្ពស់ជាងនេះបានទៀត ប៉ុន្តែតាមពិតអ្នកគ្រាន់តែនៅលើទួលមួយនៃភ្នំដ៏ធំប៉ុណ្ណោះ។
Industrial Espionage	គឺជាសកម្មភាពចារកម្មតាមប្រព័ន្ធអ៊ីនធឺណិត ដែលភាគច្រើនគាំទ្រដោយរដ្ឋ ឬស្ថាប័នធំៗ ដើម្បីលួចយកអាថ៌កំបាំងរដ្ឋ ព័ត៌មានយោធា ឬកម្មសិទ្ធិបញ្ញាពីសត្រូវ ឬដៃគូប្រកួតប្រជែង។	ដូចជាការបញ្ជូនអ្នកស៊ើបការណ៍សម្ងាត់ចូលទៅក្នុងក្រុមហ៊ុនដៃគូប្រកួតប្រជែង ដើម្បីលួចចម្លងឯកសារយុទ្ធសាស្ត្រលក់ដោយខុសច្បាប់។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖