Original Title: State of the Art Analysis of Defense Techniques against Advanced Persistent Threats
Source: 10.2313
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការវិភាគកម្រិតខ្ពស់នៃបច្ចេកទេសការពារប្រឆាំងនឹងការគំរាមកំហែងកម្រិតខ្ពស់ដែលបន្តមាន (Advanced Persistent Threats)

ចំណងជើងដើម៖ State of the Art Analysis of Defense Techniques against Advanced Persistent Threats

អ្នកនិពន្ធ៖ Jeslin Thomas John (Technical University of Munich)

ឆ្នាំបោះពុម្ព៖ 2017

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ការវាយប្រហារតាមអ៊ីនធឺណិតបែបកម្រិតខ្ពស់ និងបន្តមាន (Advanced Persistent Threats - APTs) មានភាពស្មុគស្មាញ លាក់កំបាំង និងប្រើរយៈពេលយូរ ដែលធ្វើឱ្យប្រព័ន្ធការពារប្រពៃណីដូចជាការកំណត់បញ្ជីខ្មៅ និងហត្ថលេខាមេរោគមិនមានប្រសិទ្ធភាពក្នុងការទប់ស្កាត់ឡើយ។

វិធីសាស្ត្រ (The Methodology)៖ ឯកសារនេះធ្វើការវិភាគប្រៀបធៀបលើការស្រាវជ្រាវសិក្សា និងដំណោះស្រាយឧស្សាហកម្មដែលមានស្រាប់ ហើយស្នើឡើងនូវវិធីសាស្ត្រថ្មីមួយដោយប្រើប្រាស់ទ្រឹស្តីកុំព្យូទ័រ និងបញ្ញាសិប្បនិម្មិត។

ការវិភាគហ្វ្រាក់តាល់ផ្អែកលើម៉ាស៊ីនរៀន (Fractal Dimension based Machine Learning)
ការរកឃើញដោយប្រើប្រាស់បរិបទ និងអន្ទាក់ទឹកឃ្មុំ (Context-Based Detection and Honeypots)
ខ្សែសង្វាក់សម្លាប់ការឈ្លានពាន (Intrusion Kill Chains)
ការវិភាគកញ្ចប់ទិន្នន័យស៊ីជម្រៅក្នុងដំណោះស្រាយឧស្សាហកម្ម (Deep Packet Inspection - DPI)
ការបង្កើតម៉ាស៊ីនស្វ័យប្រវត្តិផ្អែកលើបរិបទ (Context-sensitive Automatons)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

ប្រព័ន្ធការពារភាគច្រើននៅលើទីផ្សារបច្ចុប្បន្ននៅមានគម្លាតធំធៀបនឹងការស្រាវជ្រាវសិក្សាថ្មីៗ ដោយនៅតែពឹងផ្អែកខ្លាំងលើការវិភាគលំហូរបណ្តាញ (Network Flow) និង Sandbox ដែលពិបាកវាយតម្លៃប្រសិទ្ធភាពជាក់ស្តែង។
វិធីសាស្ត្រស្រាវជ្រាវដូចជា ការវិភាគហ្វ្រាក់តាល់ (Fractal analysis) ផ្តល់ប្រសិទ្ធភាពខ្ពស់ជាងក្នុងការស្វែងរកព្រឹត្តិការណ៍ពាក់ព័ន្ធ និងទស្សន៍ទាយការវិវត្តនៃការវាយប្រហារ APTs ។
ការប្រើប្រាស់ប្រព័ន្ធកូនកាត់ (Hybrid system) ដែលរួមបញ្ចូលម៉ាស៊ីនទាក់ទងនឹងបរិបទ ដើម្បីយកមកបង្កើតជាម៉ាស៊ីនបង្កើតវដ្តជីវិត (APT life cycle generator) ត្រូវបានស្នើឡើងជាយន្តការដ៏ល្អបំផុតដើម្បីដោះស្រាយបម្រែបម្រួលនៃការវាយប្រហារជាបន្តបន្ទាប់។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Fractal Analysis (Machine Learning based) ការវិភាគហ្វ្រាក់តាល់ផ្អែកលើម៉ាស៊ីនរៀន	មានប្រសិទ្ធភាពខ្ពស់ក្នុងការតាមដានលំហូរចរាចរណ៍ទិន្នន័យធំៗ និងស្វែងរកលក្ខណៈប្លែកៗ (Unique features) នៃបណ្តាញ។	ទាមទារធនធានគណនាខ្ពស់ និងទិន្នន័យគំរូ (Training data) ដែលច្បាស់លាស់ដើម្បីចៀសវាងភាពរំខាន (Noise)។	បានបង្ហាញប្រសិទ្ធភាពខ្ពស់នៅក្នុងការធ្វើតេស្តស្រាវជ្រាវដោយប្រើប្រាស់គុណលក្ខណៈពិធីការ TCP ។
System & Attack Intelligence ប្រព័ន្ធចារកម្មវាយប្រហារ និងប្រព័ន្ធប្រតិបត្តិការអุตស្សាហកម្ម	មានភាពសាមញ្ញ ដំណើរការបានល្អជាមួយហេដ្ឋារចនាសម្ព័ន្ធឧស្សាហកម្ម (SCADA, PLC) និងប្រើការត្រួតពិនិត្យកញ្ចប់ទិន្នន័យស៊ីជម្រៅ (DPI)។	ពឹងផ្អែកខ្លាំងលើមូលដ្ឋានទិន្នន័យនៃអាកប្បកិរិយាវាយប្រហារដែលបានស្គាល់ពីមុន (Known attack patterns) ដែលងាយនឹងខកខានការវាយប្រហារថ្មីៗ។	អាចរកឃើញការវាយប្រហារស្រដៀងនឹង Stuxnet ដោយជោគជ័យតាមរយៈការប្រើប្រាស់ឧបករណ៍ Tofino និងយន្តការ State Table ។
Context-Based Detection (Attack Pyramids/Trees) ការរកឃើញផ្អែកលើបរិបទ (ដើមឈើ/ពីរ៉ាមីតនៃការវាយប្រហារ)	ផ្តល់នូវរូបភាពរួមនៃស្ថាបត្យកម្មសន្តិសុខ និងជួយអ្នកគ្រប់គ្រងប្រព័ន្ធក្នុងការតាមដានផ្លូវវាយប្រហារឆ្លងកាត់កម្រិតផ្សេងៗ (User, Network, App)។	មានភាពស្មុគស្មាញក្នុងការបង្កើតច្បាប់ទំនាក់ទំនង (Correlation rules) រវាងព្រឹត្តិការណ៍ផ្សេងៗគ្នានៅក្នុងប្រព័ន្ធ។	អនុញ្ញាតឱ្យមានការទស្សន៍ទាយយ៉ាងត្រឹមត្រូវទៅលើវឌ្ឍនភាពនៃការវាយប្រហារ APT ឆ្លងកាត់បរិស្ថានប្រព័ន្ធខុសៗគ្នា។
Honeypots ប្រព័ន្ធអន្ទាក់ទឹកឃ្មុំ	ងាយស្រួលរៀបចំ ចំណាយធនធានតិច និងមានអត្រាផ្តល់សញ្ញាព្រមានខុស (False positives) ទាបបំផុត។	មានដែនកំណត់ត្រឹមតែតំបន់នៃកម្មវិធី (Application domain) និងពឹងផ្អែកទាំងស្រុងលើការចាញ់បោករបស់ Hacker មកលើអន្ទាក់នេះ។	ទទួលបានជោគជ័យក្នុងការរកឃើញការជ្រៀតចូលលឿនរហ័ស តាមរយៈការប្រើប្រាស់កម្មវិធី KFSensor នៅក្នុងប្រព័ន្ធ Windows ។
Intrusion Kill Chains (IKC) ខ្សែសង្វាក់សម្លាប់ការឈ្លានពាន	មានសមត្ថភាពកំណត់រចនាសម្ព័ន្ធនៃការវាយប្រហារពហុដំណាក់កាល (Multi-staged) និងជួយរៀបចំយុទ្ធសាស្ត្រការពារទុកជាមុន។	ត្រូវការប្រព័ន្ធផ្ទុក និងវិភាគទិន្នន័យខ្នាតធំ (Distributed Computing) ដើម្បីដំណើរការទិន្នន័យចេញពី Sensor ច្រើនប្រភព។	ការអនុវត្តប្រព័ន្ធជាក់ស្តែងដោយប្រើ Hadoop clusters និងជំនួយពី Apache Sqoop ទទួលបានលទ្ធផលល្អក្នុងការកសាងខ្សែសង្វាក់ IKC និងព្យាករណ៍ការវាយប្រហារ។

ការចំណាយលើធនធាន (Resource Cost)៖ ការអនុវត្តបច្ចេកទេសការពារកម្រិតខ្ពស់ទាំងនេះ ទាមទារការរួមបញ្ចូលគ្នានូវធនធានផ្នែកទន់ កម្លាំងម៉ាស៊ីនគណនាធំៗ និងអ្នកជំនាញកម្រិតខ្ពស់។

Hardware: ត្រូវការប្រព័ន្ធកុំព្យូទ័រចែកចាយ (Distributed computing) ដូចជា Hadoop Clusters ដើម្បីប្រមូល និងវិភាគទិន្នន័យ (Logs) ច្រើនសន្ធឹកសន្ធាប់ក្នុងពេលជាក់ស្តែង។
Software: ចាំបាច់ត្រូវមានប្រព័ន្ធគ្រប់គ្រងព្រឹត្តិការណ៍សន្តិសុខ (SIEM), ឧបករណ៍ត្រួតពិនិត្យ DPI (ឧ. Tofino), និងកម្មវិធីអន្ទាក់ទឹកឃ្មុំ (ឧ. KFSensor) រួមទាំងក្បួនដោះស្រាយ Machine Learning។
Dataset: ត្រូវការសំណុំទិន្នន័យបណ្តាញដែលមានភាពច្បាស់លាស់ (Clean training data) ទាំងចរាចរណ៍ទិន្នន័យធម្មតា និងទិន្នន័យវាយប្រហារ ដើម្បីបង្វឹកម៉ូដែលការពារឱ្យមានភាពសុក្រឹត។
Expertise: ទាមទារក្រុមអ្នកជំនាញប្រតិបត្តិការសន្តិសុខ (SOC team) ដែលមានសមត្ថភាពក្នុងការបង្កើតច្បាប់ទំនាក់ទំនង (Correlation rules) និងតាមដានការគំរាមកំហែង។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះគឺផ្អែកលើការវិភាគទ្រឹស្តីសិក្សា និងដំណោះស្រាយឧស្សាហកម្មធំៗ (ដូចជា Symantec, Kaspersky, TrendMicro) ដែលភាគច្រើនបង្កើតឡើងក្នុងបរិបទប្រទេសអភិវឌ្ឍន៍ដែលមានហេដ្ឋារចនាសម្ព័ន្ធ IT រឹងមាំ។ សម្រាប់ប្រទេសកម្ពុជា បញ្ហានេះជាឧបសគ្គមួយ ដោយសារស្ថាប័នជាច្រើននៅខ្វះខាតប្រព័ន្ធកត់ត្រា (Logging) ពេញលេញ និងទិន្នន័យចរាចរណ៍បណ្តាញស្អាត ដើម្បីយកមកប្រើប្រាស់ជាមួយប្រព័ន្ធ AI ទាំងនេះ។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ទោះបីជាបច្ចេកវិទ្យាខ្លះទាមទារធនធានខ្ពស់ក៏ពិតមែន ក៏វិធីសាស្ត្រមួយចំនួននៅក្នុងឯកសារនេះពិតជាមានសក្តានុពល និងអាចយកមកអនុវត្តជាក់ស្តែងសម្រាប់ស្ថាប័នសំខាន់ៗនៅកម្ពុជាបាន។

វិស័យហិរញ្ញវត្ថុ និងធនាគារ (Banking & Finance Sector): ធនាគារពាណិជ្ជ និងធនាគារជាតិអាចយកគំរូ Intrusion Kill Chains និងឧបករណ៍ SIEM មកប្រើប្រាស់ដើម្បីទប់ស្កាត់ការវាយប្រហារចោរកម្មតាមអ៊ីនធឺណិតឆ្លងដែន និងរក្សាប្រតិបត្តិការទូទាត់ប្រាក់ឱ្យមានសុវត្ថិភាព។
ក្រសួង និងស្ថាប័នរដ្ឋាភិបាល (Government Institutions): អាចចាប់ផ្តើមដាក់ពង្រាយ Honeypots ដែលចំណាយថវិកាតិច (Low-cost) ដើម្បីតាមដានរាល់សកម្មភាពគួរឱ្យសង្ស័យ ឬការស្កេនបណ្តាញពីសំណាក់ Hacker ដែលព្យាយាមលួចទិន្នន័យជាតិសម្ងាត់។
ក្រុមហ៊ុនផ្តល់សេវាអ៊ីនធឺណិត និងទូរគមនាគមន៍ (ISPs & Telecoms): អាចអនុវត្តបច្ចេកទេសត្រួតពិនិត្យលំហូរទិន្នន័យ (Network Flow Analysis) និង Fractal Analysis ដើម្បីកំណត់អត្តសញ្ញាណទីតាំងបញ្ជា (Command & Control) ដែលលាក់កំបាំងនៅក្នុងចរាចរណ៍បណ្តាញអតិថិជន។

ជារួម ការចាប់ផ្តើមអនុវត្តយន្តការអន្ទាក់ទឹកឃ្មុំ (Honeypots) និងការវិភាគរចនាសម្ព័ន្ធនៃការវាយប្រហារ (Attack Pyramids) គឺជាជំហានដំបូងដ៏មានប្រសិទ្ធភាព និងសមស្របបំផុតទៅនឹងធនធានបច្ចុប្បន្នរបស់កម្ពុជា មុននឹងឈានទៅប្រើប្រាស់ AI ពេញលេញ។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

ជំហានទី១៖ សិក្សាស៊ីជម្រៅពីវដ្តជីវិតនៃការវាយប្រហារ (APT Lifecycle): និស្សិតត្រូវស្រាវជ្រាវឱ្យបានច្បាស់អំពីដំណាក់កាលទាំង៧ នៃបច្ចេកទេសការពារ Intrusion Kill Chains និងរបៀបដែល Hacker ប្រើប្រាស់បច្ចេកទេសលាក់បាំង (Obfuscation) ដើម្បីរក្សាការចូលប្រើប្រាស់រយៈពេលយូរ។
ជំហានទី២៖ អនុវត្តការវិភាគចរាចរណ៍បណ្តាញផ្ទាល់: ប្រើប្រាស់ឧបករណ៍ Wireshark ឬ Zeek ដើម្បីចាប់យក និងវិភាគកញ្ចប់ទិន្នន័យ (PCAP files) ដោយផ្តោតលើការស្វែងរកអាកប្បកិរិយាមិនប្រក្រតី ដូចជាការភ្ជាប់ទំនាក់ទំនងទៅកាន់ម៉ាស៊ីនមេ C&C ខាងក្រៅ។
ជំហានទី៣៖ សាកល្បងរៀបចំប្រព័ន្ធអន្ទាក់ទឹកឃ្មុំ: រៀបចំ និងដាក់ពង្រាយ KFSensor ឬ Cowrie Honeypot នៅក្នុងមន្ទីរពិសោធន៍ផ្ទាល់ខ្លួន ដើម្បីតាមដានកត់ត្រាពីសកម្មភាពរបស់អ្នកវាយប្រហារ និងយល់ដឹងពីរបៀបកំណត់រចនាសម្ព័ន្ធ Alerting module។
ជំហានទី៤៖ ការគ្រប់គ្រងកំណត់ហេតុចម្រុះកម្រិតខ្ពស់: អនុវត្តការដំឡើងប្រព័ន្ធ SIEM ដូចជា Elastic Stack (ELK) ឬ Splunk ដើម្បីប្រមូលផ្តុំទិន្នន័យកំណត់ហេតុ (Logs) ពីកុំព្យូទ័រ សារពើភ័ណ្ឌបណ្តាញ និងជញ្ជាំងភ្លើង រួចសរសេរច្បាប់ប្រកាសអាសន្ន (Correlation rules)។
ជំហានទី៥៖ អនុវត្តម៉ាស៊ីនរៀនសម្រាប់ការរកឃើញការវាយប្រហារ: ប្រើប្រាស់ភាសា Python ជាមួយបណ្ណាល័យ Scikit-Learn ដើម្បីបង្កើតម៉ូដែលចំណាត់ថ្នាក់ទិន្នន័យ (Classification Algorithm) ដូចជា K-Nearest Neighbors ដោយបង្វឹកលើសំណុំទិន្នន័យសុវត្ថិភាពស្តង់ដារ។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Advanced Persistent Threats (APT)	គឺជាប្រភេទនៃការវាយប្រហារតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ ដែលហេគឃ័រ (Hacker) លួចចូលទៅក្នុងប្រព័ន្ធកុំព្យូទ័រ ហើយសម្ងំលាក់ខ្លួនក្នុងរយៈពេលយូរ ដើម្បីលួចយកទិន្នន័យសំខាន់ៗដោយមិនឱ្យម្ចាស់ប្រព័ន្ធដឹងខ្លួន។	ដូចជាចោរដែលលួចចូលក្នុងផ្ទះអ្នកយ៉ាងស្ងៀមស្ងាត់ រួចរស់នៅទីនោះរាប់ខែដើម្បីអង្កេតមើលកន្លែងលាក់លុយរបស់អ្នកដោយមិនឱ្យអ្នកដឹង។
Intrusion Kill Chains	គឺជាគំរូនៃដំណាក់កាលជាបន្តបន្ទាប់ (ជាទូទៅមាន ៧ ជំហាន) ដែលអ្នកវាយប្រហារត្រូវតែឆ្លងកាត់ដើម្បីធ្វើការវាយប្រហារដោយជោគជ័យ ចាប់ពីការស៊ើបអង្កេតរហូតដល់ការលួចយកទិន្នន័យ។	ប្រៀបដូចជាផែនការលម្អិតរបស់ចោរប្លន់ធនាគារ ដែលត្រូវមានជំហានច្បាស់លាស់ ដូចជាការចុះពិនិត្យទីតាំង ការរៀបចំឧបករណ៍ កាត់សោ និងការចូលទៅយកលុយ។
Fractal Analysis	ជាវិធីសាស្ត្រគណិតវិទ្យាប្រើប្រាស់ក្នុងម៉ាស៊ីនរៀន (Machine Learning) ដើម្បីវិភាគរកលក្ខណៈពិសេស ឬគំរូម្តងហើយម្តងទៀតនៅក្នុងចរាចរណ៍ទិន្នន័យបណ្តាញ ដែលជួយចាប់យកសកម្មភាពខុសប្រក្រតីរបស់ APTs។	ដូចជាការប្រើប្រាស់កែវពង្រីកដើម្បីមើលទម្រង់របស់ស្លឹកឈើដែលដុះត្រួតស៊ីគ្នា ដើម្បីរកមើលសត្វល្អិតតូចៗដែលកំពុងលាក់ខ្លួនបំផ្លាញស្លឹកនោះ។
Honeypots	ជាប្រព័ន្ធកុំព្យូទ័រនុយដែលគេបង្កើតឡើងដោយក្លែងបន្លំជាប្រព័ន្ធពិតប្រាកដ ដើម្បីទាក់ទាញអ្នកវាយប្រហារឱ្យចូលមក ក្នុងគោលបំណងតាមដាន កត់ត្រា និងសិក្សាពីបច្ចេកទេសវាយប្រហាររបស់ពួកគេ។	ដូចជាការដាក់អន្ទាក់ចំណីដើម្បីទាក់ទាញសត្វកណ្តុរឱ្យចូល ដើម្បីឱ្យយើងដឹងថាវាដើរចូលមកតាមផ្លូវណា។
Command & Control (C&C)	ជាមជ្ឈមណ្ឌល ឬម៉ាស៊ីនមេនៅខាងក្រៅប្រព័ន្ធ ដែលហេគឃ័រប្រើដើម្បីបញ្ជា និងទាក់ទងដោយសម្ងាត់ជាមួយមេរោគ (Malware) ដែលបានជ្រៀតចូលក្នុងប្រព័ន្ធរងគ្រោះរួចហើយ។	ដូចជាមេខ្លោងដែលប្រើវិទ្យុទាក់ទងដើម្បីបញ្ជាពីចម្ងាយ ទៅកាន់ចារជនដែលកំពុងលាក់ខ្លួនក្នុងទឹកដីសត្រូវ។
Deep Packet Inspection (DPI)	គឺជាបច្ចេកទេសត្រួតពិនិត្យបណ្តាញកម្រិតខ្ពស់ ដែលមិនត្រឹមតែមើលអាសយដ្ឋាននៃទិន្នន័យប៉ុណ្ណោះទេ តែវាក៏បើកមើលទិន្នន័យលម្អិតនៅខាងក្នុងដើម្បីរកមើលកូដមេរោគ ឬសកម្មភាពគួរឱ្យសង្ស័យ។	ដូចជាឆ្មាំគយដែលមិនត្រឹមតែមើលឈ្មោះអ្នកផ្ញើនៅលើប្រអប់ប៉ុណ្ណោះទេ ថែមទាំងបើកកេសនោះមើលឥវ៉ាន់ខាងក្នុងដើម្បីរកមើលរបស់ខុសច្បាប់ទៀតផង។
Attack Trees	ជាទម្រង់នៃការគូសផែនទីជាមែកធាង ដើម្បីវិភាគនិងបង្ហាញពីផ្លូវ ឬវិធីសាស្ត្រផ្សេងៗ ដែលអ្នកវាយប្រហារអាចប្រើដើម្បីឈានទៅសម្រេចគោលដៅវាយប្រហារចុងក្រោយរបស់ពួកគេ។	ប្រៀបដូចជាការគូសផែនទីនៃផ្លូវខ្វាត់ខ្វែងទាំងអស់ដែលចោរអាចប្រើដើម្បីចូលទៅដល់បន្ទប់ទូដែកនៅក្នុងអគារមួយ។
Context-sensitive Automatons	ជាគំរូទ្រឹស្តីគណិតវិទ្យា និងវិទ្យាសាស្ត្រកុំព្យូទ័រ ដែលស្នើឡើងដើម្បីបង្កើតម៉ាស៊ីនស្វ័យប្រវត្តិ អាចចងក្រងព្រឹត្តិការណ៍វាយប្រហារនីមួយៗបញ្ចូលគ្នាទៅតាមបរិបទ (Context) ដើម្បីទស្សន៍ទាយជំហានបន្ទាប់នៃការវាយប្រហារ។	ដូចជាអ្នកស៊ើបអង្កេតដ៏ឆ្លាតវៃម្នាក់ ដែលអាចយកបំណែកតម្រុយតូចៗនីមួយៗមកផ្គុំគ្នា ដើម្បីទស្សន៍ទាយថាជនល្មើសនឹងទៅណាជាបន្តទៀត។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖