Original Title: Intrusion Detection Systems: A Review
Source: www.publishingindia.com
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ប្រព័ន្ធរកឃើញការឈ្លានពាន៖ ការសិក្សាឡើងវិញ

ចំណងជើងដើម៖ Intrusion Detection Systems: A Review

អ្នកនិពន្ធ៖ Kajal Rai (Panjab University), M. Shyamala Devi (Panjab University)

ឆ្នាំបោះពុម្ព៖ Journal of Network and Information Security, 2013

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយពីបញ្ហានៃការកើនឡើងនៃការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺណិត និងតម្រូវការចាំបាច់សម្រាប់ប្រព័ន្ធរកឃើញការឈ្លានពាន (Intrusion Detection Systems) ដើម្បីការពារធនធានបណ្តាញដែលជញ្ជាំងភ្លើង (Firewalls) មិនអាចការពារបានទាំងស្រុង។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះធ្វើការពិនិត្យឡើងវិញ (Review) លើប្រភេទនៃប្រព័ន្ធរកឃើញការឈ្លានពាន និងវិភាគលើបច្ចេកវិទ្យាស្រាវជ្រាវថ្មីៗដើម្បីប្រៀបធៀបប្រសិទ្ធភាពរបស់វា។

ការវិភាគលើប្រព័ន្ធរកឃើញការឈ្លានពានប្រភេទកូដចំហ (Open Source IDS) ដូចជា Snort និង Bro
ការវាយតម្លៃលើការវាយប្រហារតាមស្រទាប់បណ្តាញ (TCP/IP Layer Attacks) រួមមាន IP Spoofing, SYN-Floods និង SQL Injection
ការសិក្សាប្រៀបធៀបប្រព័ន្ធរកឃើញផ្អែកលើកំហុស (Misuse based IDS) និងផ្អែកលើភាពមិនប្រក្រតី (Anomaly based IDS)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

ប្រព័ន្ធកូដចំហ Bro មានសមត្ថភាពដំណើរការលើតំណភ្ជាប់ល្បឿនលឿន ខណៈដែល Snort ផ្តោតសំខាន់លើភាពសាមញ្ញ និងប្រសិទ្ធភាពនៃដំណើរការ (Performance)។
ប្រព័ន្ធកូនកាត់ (Hybrid IDS) ផ្តល់នូវភាពបត់បែននិងភាពរឹងមាំក្នុងការរកឃើញការឈ្លានពាន ទោះបីជាវាទាមទារការប្រើប្រាស់ធនធានប្រព័ន្ធច្រើនក៏ដោយ។
បច្ចេកវិទ្យាភ្នាក់ងារច្រើន (Multiagent technology) ត្រូវបានសន្និដ្ឋានថាជាបច្ចេកវិទ្យាអនាគតដ៏មានសក្តានុពលបំផុត ដោយសារវាមានភាពរឹងមាំ (Robust) ងាយស្រួលពង្រីកមាត្រដ្ឋាន និងអាចកាត់បន្ថយចរាចរណ៍បណ្តាញ (Network traffic) សម្រាប់ការរកឃើញការវាយប្រហារយ៉ាងឆាប់រហ័ស។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Misuse based IDS ប្រព័ន្ធរកឃើញផ្អែកលើការប្រើប្រាស់ខុស (Signature-based)	មានប្រសិទ្ធភាពខ្ពស់ក្នុងការរកឃើញការវាយប្រហារដោយមិនបញ្ចេញសញ្ញាព្រមានខុស (Low false positive) និងងាយស្រួលប្រើប្រាស់។	មិនអាចរកឃើញការវាយប្រហារប្រភេទថ្មីៗ (Zero-day attacks) ឡើយ ហើយប្រព័ន្ធត្រូវតែធ្វើបច្ចុប្បន្នភាពទិន្នន័យហត្ថលេខាជានិច្ច។	អាចស្គាល់ និងទប់ស្កាត់រាល់ទម្រង់នៃការវាយប្រហារដែលបានកត់ត្រាទុកក្នុងមូលដ្ឋានទិន្នន័យបានយ៉ាងរហ័ស។
Anomaly based IDS ប្រព័ន្ធរកឃើញផ្អែកលើភាពមិនប្រក្រតី	អាចរកឃើញការវាយប្រហារថ្មីៗដែលមិនធ្លាប់ស្គាល់ពីមុនមក ទោះបីជាគ្មានព័ត៌មានលម្អិតពីការវាយប្រហារក៏ដោយ។	បញ្ចេញសញ្ញាព្រមានខុស (False positives) ច្រើន ដោយសារអាកប្បកិរិយាអ្នកប្រើប្រាស់តែងតែប្រែប្រួល និងទាមទារទិន្នន័យបណ្តុះបណ្តាលច្រើន។	រកឃើញការគំរាមកំហែងថ្មីៗតាមរយៈការប្រៀបធៀបទិន្នន័យចរាចរណ៍បណ្តាញថ្មីទៅនឹងទម្រង់ធម្មតារបស់ប្រព័ន្ធ។
Hybrid IDS ប្រព័ន្ធរកឃើញកូនកាត់ (Misuse + Anomaly)	អាចបង្កើតហត្ថលេខាថ្មីដោយស្វ័យប្រវត្តិពីលំនាំដែលប្រមូលបាន កាត់បន្ថយការអន្តរាគមន៍ពីអ្នកគ្រប់គ្រង និងមានភាពបត់បែនខ្ពស់។	ទាមទារធនធានប្រព័ន្ធកុំព្យូទ័រច្រើន (Excessive system resources) និងនៅតែពិបាកក្នុងការទប់ស្កាត់ការរីករាលដាលដង្កូវកុំព្យូទ័រ (Polymorphic worms)។	ផ្តល់នូវការរកឃើញការឈ្លានពានដែលរឹងមាំ ដោយរួមបញ្ចូលចំណុចខ្លាំងនៃប្រព័ន្ធទាំងពីរ ប៉ុន្តែប្រើប្រាស់ធនធានខ្ពស់។
Multiagent Technology បច្ចេកវិទ្យាភ្នាក់ងារច្រើន (Multiagent Technology)	មានភាពរឹងមាំ មិនពឹងផ្អែកលើប្រព័ន្ធប្រតិបត្តិការតែមួយ ងាយស្រួលពង្រីកមាត្រដ្ឋាន (Scalable) និងកាត់បន្ថយការពន្យាពេលឆ្លើយតប។	ទាមទារការរៀបចំស្ថាបត្យកម្មបណ្តាញស្មុគស្មាញ និងការគ្រប់គ្រងភ្នាក់ងារចល័ត (Mobile agents) ឱ្យបានត្រឹមត្រូវ។	ជាបច្ចេកវិទ្យាអនាគតដ៏មានសក្តានុពលបំផុតសម្រាប់ការកាត់បន្ថយចរាចរណ៍បណ្តាញ និងការឆ្លើយតបរហ័សប្រឆាំងនឹងការវាយប្រហារ។

ការចំណាយលើធនធាន (Resource Cost)៖ ប្រព័ន្ធផ្សេងៗទាមទារធនធាន និងចំណេះដឹងខុសៗគ្នា ឧទាហរណ៍ ប្រព័ន្ធកូនកាត់ត្រូវការធនធានកុំព្យូទ័រច្រើន ចំណែកឯប្រព័ន្ធខ្លះទាមទារជំនាញកូដកម្រិតខ្ពស់។

Software/OS: ប្រព័ន្ធ Bro IDS តម្រូវឱ្យដំណើរការលើប្រព័ន្ធប្រតិបត្តិការ UNIX/Linux និងមានការរៀបចំកូដចំហ (Open Source) ជាក់លាក់។
Hardware: ប្រព័ន្ធ Anomaly based និង Hybrid IDS ត្រូវការកម្លាំងដំណើរការ (Processing power) ខ្ពស់សម្រាប់ការវិភាគទិន្នន័យទំហំធំ។
Expertise: ការប្រើប្រាស់ Bro ទាមទារឱ្យអ្នកគ្រប់គ្រងមានចំណេះដឹងជ្រៅជ្រះផ្នែក UNIX ខណៈដែល Snort មានភាពងាយស្រួលជាង និងស័ក្តិសមសម្រាប់អ្នកចាប់ផ្តើមដំបូង។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះគឺជាការពិនិត្យឡើងវិញ (Review Paper) ទៅលើប្រព័ន្ធនិងការស្រាវជ្រាវដែលមានស្រាប់ មិនមានការផ្តោតលើទិន្នន័យប្រជាសាស្ត្រ ឬតំបន់ជាក់លាក់ណាមួយឡើយ។ ទោះយ៉ាងណាក៏ដោយ គោលការណ៍សុវត្ថិភាពបណ្តាញ (Network Security) ទាំងនេះមានសារៈសំខាន់ខ្លាំងសម្រាប់ប្រទេសកម្ពុជាដែលកំពុងធ្វើបរិវត្តកម្មឌីជីថល ព្រោះការវាយប្រហារតាមអ៊ីនធឺណិតកើតឡើងជាសកល និងមិនរើសមុខតំបន់ឬប្រទេសនោះទេ។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

បច្ចេកវិទ្យាទាំងនេះមានសារៈសំខាន់ និងអាចអនុវត្តបានយ៉ាងល្អនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់ប្រទេសកម្ពុជា ជាពិសេសដោយសារតែឧបករណ៍ដូចជា Snort និង Bro គឺជាប្រព័ន្ធកូដចំហដែលឥតគិតថ្លៃ។

វិស័យហិរញ្ញវត្ថុ និងធនាគារនៅកម្ពុជា (Financial Institutions): អាចប្រើប្រាស់ NIDS ដូចជា Snort ដើម្បីតាមដាន និងទប់ស្កាត់ការវាយប្រហារ SQL Injection និងការពារទិន្នន័យសម្ងាត់របស់អតិថិជនពីការលួចចូល (Hacking)។
គ្រឹះស្ថានឧត្តមសិក្សា (Universities in Cambodia): អាចប្រើប្រាស់ Bro IDS សម្រាប់ការស្រាវជ្រាវ និងការបង្រៀននិស្សិតផ្នែកសន្តិសុខបណ្តាញ (Cybersecurity) ដោយសារវាមានភាពបត់បែនខ្ពស់ក្នុងការធ្វើពិសោធន៍។
រដ្ឋាភិបាលឌីជីថល (e-Government Data Centers): អាចអនុវត្តបច្ចេកវិទ្យា Multiagent Technology ដើម្បីការពារមជ្ឈមណ្ឌលទិន្នន័យជាតិ ឱ្យមានសុវត្ថិភាពខ្ពស់ និងកាត់បន្ថយការកកស្ទះចរាចរណ៍បណ្តាញក្នុងប្រតិបត្តិការឆ្លើយតប។

សរុបមក ការចាប់ផ្តើមអនុវត្តប្រព័ន្ធរកឃើញការឈ្លានពានប្រភេទកូដចំហ គឺជាជំហានដ៏ចាំបាច់ និងសន្សំសំចៃបំផុតសម្រាប់ស្ថាប័ននានានៅកម្ពុជា ដើម្បីពង្រឹងសន្តិសុខតាមប្រព័ន្ធអ៊ីនធឺណិតរបស់ខ្លួន។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

សិក្សាមូលដ្ឋានគ្រឹះនៃបណ្តាញ (Network Fundamentals): និស្សិតគួរសិក្សាស៊ីជម្រៅលើគំរូ TCP/IP និងស្វែងយល់ពីរបៀបដែលការវាយប្រហារដូចជា SYN-Floods និង IP Spoofing ប្រតិបត្តិការក្នុងស្រទាប់នីមួយៗ (Network Layer និង Transport Layer)។
ដំឡើង និងអនុវត្តលើប្រព័ន្ធកូដចំហ (Deploy Open Source IDS): ចាប់ផ្តើមដំឡើង Snort លើប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីននិម្មិត (Virtual Machine) និងប្រើប្រាស់ BASE (Basic Analysis and Security Engine) ដើម្បីរៀនវិភាគលទ្ធផលនៃការវាយប្រហារជារូបភាពក្រាហ្វិក។
អភិវឌ្ឍជំនាញប្រព័ន្ធប្រតិបត្តិការ (Develop OS Skills): សម្រាប់ការស្រាវជ្រាវកម្រិតខ្ពស់ ត្រូវពង្រឹងចំណេះដឹងផ្នែក UNIX/Linux ដើម្បីអាចប្រើប្រាស់ និងកែច្នៃប្រព័ន្ធ Bro IDS ឱ្យដំណើរការលើបណ្តាញតភ្ជាប់ល្បឿនលឿន (High-speed links) បានយ៉ាងរលូន។
សិក្សាពីការរកឃើញភាពមិនប្រក្រតី (Study ML/Anomaly Detection): រៀនពីក្បួនដោះស្រាយ Machine Learning ដូចជា Support Vector Machine (SVM) និងក្បួនតក្កវិទ្យា Fuzzy Logic ដើម្បីយកមកសរសេរកូដរកឃើញភាពមិនប្រក្រតី (Anomaly based IDS)។
ស្រាវជ្រាវបច្ចេកវិទ្យាភ្នាក់ងារច្រើន (Research Multiagent Systems): បង្កើតគម្រោងសារណានៅសាកលវិទ្យាល័យដោយផ្តោតលើការប្រើប្រាស់ Mobile Agents នៅក្នុង MANETs (Mobile Adhoc Networks) ដើម្បីបង្កើតប្រព័ន្ធរាវរកដែលរឹងមាំ និងអាចពង្រីកបានសម្រាប់ប្រព័ន្ធអនាគត។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Intrusion Detection System (IDS)	ប្រព័ន្ធកម្មវិធីឬឧបករណ៍ដែលតាមដានចរាចរណ៍បណ្តាញកុំព្យូទ័រ ដើម្បីស្វែងរកសកម្មភាពគួរឱ្យសង្ស័យ ការវាយប្រហារ ឬការបំពានគោលការណ៍សុវត្ថិភាព រួចបញ្ជូនសញ្ញាព្រមានដល់អ្នកគ្រប់គ្រងបណ្តាញ។	ដូចជាកាមេរ៉ាសុវត្ថិភាពនិងឆ្មាំយាមច្រកទ្វារ ដែលចាំពិនិត្យមើលរាល់អ្នកចេញចូល និងរាយការណ៍ពេលមានជនសង្ស័យលួចចូលក្នុងអគារ។
Anomaly based IDS	ប្រព័ន្ធរកឃើញការឈ្លានពានដែលកត់ត្រានូវទម្រង់សកម្មភាពធម្មតារបស់ប្រព័ន្ធជាមុន (Baseline) ហើយនឹងបញ្ចេញសញ្ញាព្រមានរាល់ពេលមានសកម្មភាពថ្មីណាដែលខុសប្លែកពីទម្រង់ធម្មតាទាំងនោះ ទោះបីជាវាមិនស្គាល់ប្រភេទនៃការវាយប្រហារនោះក៏ដោយ។	ដូចជាម្ចាស់ផ្ទះដែលដឹងពីទម្លាប់ធម្មតារបស់សមាជិកគ្រួសារ ហើយមានការសង្ស័យភ្លាមៗនៅពេលមាននរណាម្នាក់បើកទ្វារដើរចូលផ្ទះនៅម៉ោង ៣ ទៀបភ្លឺ។
Signature-based approach	វិធីសាស្ត្ររកឃើញការវាយប្រហារដែលដំណើរការដោយការប្រៀបធៀបចរាចរណ៍បណ្តាញកុំព្យូទ័រ ទៅនឹងទម្រង់កូដនៃការវាយប្រហារចាស់ៗ (Signatures) ដែលត្រូវបានកត់ត្រាទុកក្នុងមូលដ្ឋានទិន្នន័យរបស់វា។	ដូចជាប៉ូលីសដែលផ្ទៀងផ្ទាត់ស្នាមម្រាមដៃរបស់ជនសង្ស័យ ទៅនឹងបញ្ជីស្នាមម្រាមដៃរបស់ឧក្រិដ្ឋជនដែលធ្លាប់មានកំណត់ត្រាក្នុងប្រព័ន្ធ។
False positive	គឺជាករណីដែលប្រព័ន្ធសុវត្ថិភាព ឬ IDS ចេញសញ្ញាព្រមានខុស ដោយចាត់ទុកសកម្មភាពធម្មតារបស់អ្នកប្រើប្រាស់ ថាជាការវាយប្រហារឬជាការគំរាមកំហែងដល់ប្រព័ន្ធ។	ដូចជាម៉ាស៊ីនរាវរកលោហៈនៅព្រលានយន្តហោះលោតសំឡេងរោទ៍ ដោយសារតែកាក់ក្នុងហោប៉ៅរបស់អ្នកដំណើរ មិនមែនដោយសារមានអាវុធគ្រោះថ្នាក់នោះទេ។
IP Spoofing	បច្ចេកទេសដែលអ្នកវាយប្រហារប្រើប្រាស់អាសយដ្ឋាន IP ក្លែងក្លាយដើម្បីបន្លំខ្លួនថាជាកុំព្យូទ័រឬប្រភពដែលគួរឱ្យទុកចិត្ត ក្នុងគោលបំណងឆ្លងកាត់ប្រព័ន្ធការពារ និងចូលទៅប្រើប្រាស់ធនធានបណ្តាញដោយខុសច្បាប់។	ដូចជាចោរដែលពាក់ឯកសណ្ឋាន និងប្រើកាតសម្គាល់ខ្លួនក្លែងក្លាយជានិយោជិតក្រុមហ៊ុន ដើម្បីដើរចូលក្នុងទីស្នាក់ការដោយមិនឱ្យគេសង្ស័យ។
Denial-of-Service attack (DoS)	ការវាយប្រហារដែលគោលដៅធ្វើឱ្យប្រព័ន្ធកុំព្យូទ័រ ឬម៉ាស៊ីនមេ (Server) មិនអាចដំណើរការបាន ដោយការផ្ញើសំណើចូលជាច្រើនលើសលប់រហូតដល់ប្រព័ន្ធអស់ធនធានគាំង និងមិនអាចបម្រើអ្នកប្រើប្រាស់ស្របច្បាប់បាន។	ដូចជាការបញ្ជូនមនុស្សរាប់ពាន់នាក់ឱ្យតេទៅលេខទូរស័ព្ទហាងមួយក្នុងពេលតែមួយ ដែលធ្វើឱ្យអតិថិជនពិតប្រាកដមិនអាចតេចូលទិញអីវ៉ាន់បានដោយសារទូរស័ព្ទរវល់រហូត។
SQL Injection attack	ការវាយប្រហារលើកម្មវិធីវេបសាយ ដែលជនខិលខូចបញ្ចូលកូដបញ្ជា SQL ទៅក្នុងប្រអប់វាយបញ្ចូលទិន្នន័យ ដើម្បីបញ្ជាឱ្យមូលដ្ឋានទិន្នន័យ (Database) លាតត្រដាង កែប្រែ ឬលុបទិន្នន័យសម្ងាត់ដោយគ្មានការអនុញ្ញាត។	ដូចជាការដែលអ្នកសរសេរពាក្យបញ្ជាបន្ថែមដោយលួចលាក់នៅលើមូលប្បទានប័ត្រ (សែកធនាគារ) ដែលធ្វើឱ្យបុគ្គលិកច្រឡំប្រគល់ប្រាក់ទាំងអស់ក្នុងទូដែកមកឱ្យអ្នក។
Multiagent Technology	បច្ចេកវិទ្យាដែលប្រើប្រាស់កម្មវិធីកុំព្យូទ័រតូចៗជាច្រើនដែលហៅថាភ្នាក់ងារ (Agents) ដែលអាចធ្វើការវិភាគទិន្នន័យដោយឯករាជ្យ និងអាចផ្លាស់ទីទាក់ទងគ្នាទៅវិញទៅមកក្នុងបណ្តាញ ដើម្បីសហការគ្នារកឃើញការវាយប្រហារយ៉ាងឆាប់រហ័ស។	ដូចជាការប្រើប្រាស់ឆ្កែហិតក្លិនជាច្រើនក្បាលដែលដើរល្បាតតាមតំបន់ផ្សេងៗគ្នា ហើយព្រុសប្រាប់គ្នាទៅវិញទៅមកពេលរកឃើញគ្រឿងញៀន ជំនួសឱ្យការប្រើប៉ូលីសតែម្នាក់ដើររកសព្វកន្លែង។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖