Original Title: Survey of Current Network Intrusion Detection Techniques
Source: www.cse.wustl.edu
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការស្ទង់មតិស្តីពីបច្ចេកទេសត្រួតពិនិត្យការឈ្លានពានបណ្តាញបច្ចុប្បន្ន

ចំណងជើងដើម៖ Survey of Current Network Intrusion Detection Techniques

អ្នកនិពន្ធ៖ Sailesh Kumar (Washington University in St. Louis)

ឆ្នាំបោះពុម្ព៖ 2007

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយលើបញ្ហាប្រឈមនៃសន្តិសុខបណ្តាញកុំព្យូទ័រ និងដែនកំណត់នៃប្រព័ន្ធរកឃើញការឈ្លានពានបណ្តាញ (NIDS) បច្ចុប្បន្នក្នុងការទប់ទល់នឹងការវាយប្រហារតាមអ៊ីនធឺណិតដែលកាន់តែមានភាពស្មុគស្មាញ ទិន្នន័យធំ និងទិន្នន័យដែលបានអ៊ិនគ្រីប (Encrypted Data)។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះធ្វើការពិនិត្យ វាយតម្លៃស៊ីជម្រៅ និងប្រៀបធៀបលើប្រព័ន្ធ NIDS ធំៗចំនួនពីរប្រភេទ និងបច្ចេកវិទ្យាដែលប្រព័ន្ធទាំងនោះប្រើប្រាស់។

ការរកឃើញផ្អែកលើហត្ថលេខា (Signature-Based Detection) ដោយប្រើក្បួនដោះស្រាយ Aho-Corasick និង Regular Expressions
ការរកឃើញភាពមិនប្រក្រតី (Anomaly-Based Detection) ដោយប្រើវិធីសាស្ត្រស្ថិតិ ការរៀនរបស់ម៉ាស៊ីន (Machine Learning) និងការទាញយកទិន្នន័យ (Data Mining)
ការវិភាគលើស្ថាបត្យកម្មនៃការដាក់ពង្រាយប្រព័ន្ធ (Network Architecture and Deployments)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

ប្រព័ន្ធផ្អែកលើហត្ថលេខា (Signature-based NIDS) មានភាពសុក្រឹតខ្ពស់ចំពោះការវាយប្រហារដែលគេស្គាល់ ប៉ុន្តែជួបប្រទះបញ្ហាយឺតយ៉ាវក្នុងការត្រួតពិនិត្យកញ្ចប់ទិន្នន័យជ្រៅ (Deep Packet Inspection) ក្នុងកម្រិតល្បឿន Gigabit។
ប្រព័ន្ធរកឃើញភាពមិនប្រក្រតី (Anomaly-based NIDS) មានសក្តានុពលអាចចាប់យកការវាយប្រហារថ្មីៗ (Zero-day attacks) បាន ប៉ុន្តែនៅតែប្រឈមនឹងអត្រាផ្តល់សញ្ញាព្រមានខុស (False Positives) ខ្ពស់នៅឡើយ។
អនាគតនៃ NIDS នឹងពឹងផ្អែកលើស្ថាបត្យកម្មចែកចាយ (Distributed Architecture) ការឆ្លើយតបដោយស្វ័យប្រវត្តិដើម្បីកាត់បន្ថយការអន្តរាគមន៍ពីមនុស្ស និងការពង្រឹងសមត្ថភាពដោះស្រាយទិន្នន័យដែលបានអ៊ិនគ្រីប។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Signature-Based NIDS ប្រព័ន្ធរកឃើញការឈ្លានពានផ្អែកលើហត្ថលេខា	មានភាពសុក្រឹតខ្ពស់ និងមានអត្រាផ្តល់សញ្ញាព្រមានខុស (False Positives) ទាបក្នុងការស្វែងរកការវាយប្រហារដែលគេធ្លាប់ស្គាល់ច្បាស់។	មិនអាចរកឃើញការវាយប្រហារថ្មីៗដែលមិនធ្លាប់ស្គាល់ (Zero-day attacks) បានទេ ហើយជួបប្រទះបញ្ហាយឺតយ៉ាវ (Performance Bottleneck) ដោយសារត្រូវត្រួតពិនិត្យកញ្ចប់ទិន្នន័យជ្រៅ (Deep Packet Inspection)។	ទទួលបានជោគជ័យខ្ពស់ក្នុងការប្រើប្រាស់ជាលក្ខណៈពាណិជ្ជកម្ម និងប្រភពកូដបើកចំហរ (ឧ. Snort, Bro) ប៉ុន្តែល្បឿនមានកម្រិតត្រឹមបន្តិចបន្តួចនៃ Gigabit ក្នុងមួយវិនាទី។
Anomaly-Based NIDS ប្រព័ន្ធរកឃើញការឈ្លានពានផ្អែកលើភាពមិនប្រក្រតី	មានលក្ខណៈសកម្ម (Pro-active) និងអាចចាប់យកការវាយប្រហារថ្មីៗ (Unknown attacks) ដោយមិនចាំបាច់មានហត្ថលេខាទុកជាមុន។	អត្រាផ្តល់សញ្ញាព្រមានខុស (False Positives) មានកម្រិតខ្ពស់ ហើយត្រូវការទិន្នន័យចរាចរណ៍បណ្តាញធម្មតា (Normal traffic baseline) ដ៏សុក្រឹតដែលពិបាករកបានក្នុងស្ថានភាពជាក់ស្តែង។	មានសក្តានុពលខ្លាំងសម្រាប់អនាគត (ជាពិសេសពេលប្រើជាមួយ Machine Learning) ប៉ុន្តែបច្ចុប្បន្ននៅជាប្រធានបទស្រាវជ្រាវដែលពិបាកអនុវត្តក្នុងទីផ្សារដោយសារការផ្តល់សញ្ញាខុសច្រើន។

ការចំណាយលើធនធាន (Resource Cost)៖ ដើម្បីដាក់ពង្រាយប្រព័ន្ធ NIDS ឱ្យមានប្រសិទ្ធភាពខ្ពស់ ឯកសារនេះបានគូសបញ្ជាក់ពីតម្រូវការធនធានផ្នែករឹង (Hardware) និងផ្នែកទន់ (Software) កម្រិតខ្ពស់ ជាពិសេសសម្រាប់បណ្តាញដែលមានល្បឿនលឿន។

Hardware: ត្រូវការអង្គចងចាំប្រភេទ TCAM (Ternary Content Addressable Memories) សម្រាប់ផ្ទៀងផ្ទាត់ Header និងបន្ទះឈីប (FPGA/ASIC) ព្រមទាំងម៉ាស៊ីនមេពហុខួរក្បាល ដើម្បីដំណើរការក្បួន Regular Expressions និងស្តុកទុក Connection State រាប់លាន។
Software: ទាមទារប្រព័ន្ធវិភាគពិធីការ (Protocol Analyzer) និងក្បួនដោះស្រាយដ៏ស្មុគស្មាញ (ឧទាហរណ៍ Aho-Corasick Algorithm និង DFA/NFA សម្រាប់ទម្រង់ Regular Expressions)។
Dataset: សម្រាប់ប្រព័ន្ធ Anomaly Detection ត្រូវការទិន្នន័យចរាចរណ៍បណ្តាញដែលស្អាតគ្មានការវាយប្រហារទាល់តែសោះ (Attack-free data) ដើម្បីបង្ហាត់ប្រព័ន្ធកុំឱ្យចាប់សញ្ញាខុស។
Expertise: ត្រូវការអ្នកជំនាញផ្នែកសន្តិសុខបណ្តាញប្រចាំការជាប្រចាំ (Constant human supervision) ដើម្បីវិភាគរបាយការណ៍សញ្ញាព្រមានរាប់ពាន់ និងចាត់វិធានការឆ្លើយតប។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះគឺជាការស្ទង់មតិដែលពឹងផ្អែកលើទិន្នន័យ ទម្រង់ចរាចរណ៍បណ្តាញ និងបរិបទបច្ចេកវិទ្យានៅសហរដ្ឋអាមេរិក (មន្ទីរពិសោធន៍យោធា និងសាកលវិទ្យាល័យធំៗ) ត្រឹមឆ្នាំ២០០៧។ ទម្រង់ទិន្នន័យធម្មតា (Baseline profile) នៅទីនោះអាចមានលក្ខណៈខុសគ្នាស្រឡះពីទម្រង់ចរាចរណ៍បណ្តាញ ឧបករណ៍ចល័ត និងហេដ្ឋារចនាសម្ព័ន្ធនៅប្រទេសកម្ពុជាបច្ចុប្បន្ន។ ដូច្នេះ ការយកប្រព័ន្ធរកឃើញភាពមិនប្រក្រតី (Anomaly Detection) មកប្រើប្រាស់ដោយផ្ទាល់នៅកម្ពុជាដោយមិនមានការបង្វឹកទិន្នន័យក្នុងស្រុក អាចបណ្តាលឱ្យមានអត្រាផ្តល់សញ្ញាខុសខ្ពស់ខ្លាំង។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ទោះបីជាការសិក្សានេះមានវ័យចំណាស់បន្តិចក្តី ក៏គោលការណ៍គ្រឹះនៃបច្ចេកទេស NIDS ទាំងនេះនៅតែមានសារៈសំខាន់ និងអាចអនុវត្តបានយ៉ាងមានប្រសិទ្ធភាពដើម្បីការពារហេដ្ឋារចនាសម្ព័ន្ធឌីជីថលដែលកំពុងរីកចម្រើននៅកម្ពុជា។

វិស័យធនាគារ និងហិរញ្ញវត្ថុ (ឧទាហរណ៍ ធនាគារជាតិ, ACLEDA, ABA): ការដាក់ពង្រាយប្រព័ន្ធ NIDS បែបផ្ទៃក្នុង (Internal Deployments) នៅក្បែរម៉ាស៊ីនមេផ្ទុកទិន្នន័យ (Database servers) អាចការពារការវាយប្រហារបែបជ្រៀតចូល (Penetration Attacks) ដើម្បីធានាសុវត្ថិភាពទិន្នន័យហិរញ្ញវត្ថុអតិថិជន។
ក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍ និងអ៊ីនធឺណិត (ISPs ដូចជា Smart, Cellcard, Ezecom): ការប្រើប្រាស់ NIDS ជាប្រព័ន្ធប្រកាសអាសន្នជាមុន (Early Warning Mode) នៅទីតាំងបណ្តាញគោល (Backbone network) អាចជួយតាមដានចរាចរណ៍ខុសប្រក្រតី និងទប់ស្កាត់ការវាយប្រហារប្រភេទ DDoS ក្នុងទ្រង់ទ្រាយធំ។
ស្ថាប័នរដ្ឋាភិបាល (e-Government Portals): ប្រព័ន្ធ NIDS ផ្អែកលើហត្ថលេខាអាចជួយការពារគេហទំព័ររបស់រដ្ឋពីការវាយប្រហារដែលគេស្គាល់ច្បាស់ដូចជា Buffer Overflow ឬ SQL Injection ដោយឆ្លងកាត់ការត្រួតពិនិត្យជាមួយប្រព័ន្ធ Firewall បច្ចុប្បន្ន។

សរុបមក ការរួមបញ្ចូលប្រព័ន្ធ NIDS ទាំងពីរប្រភេទនេះ និងការកែច្នៃវាឱ្យស្របតាមទម្រង់ទិន្នន័យក្នុងស្រុក នឹងជួយកាត់បន្ថយហានិភ័យសន្តិសុខតាមអ៊ីនធឺណិតបានយ៉ាងមានប្រសិទ្ធភាពសម្រាប់ស្ថាប័ននៅកម្ពុជា។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

សិក្សាមូលដ្ឋានគ្រឹះនៃពិធីការបណ្តាញ: និស្សិតគួរសិក្សាស៊ីជម្រៅអំពីពិធីការ TCP/IP និងរបៀបវិភាគកញ្ចប់ទិន្នន័យជាក់ស្តែងដោយប្រើប្រាស់ឧបករណ៍ Wireshark មុននឹងឈានទៅសិក្សាពីប្រព័ន្ធវាយតម្លៃ។
អនុវត្តការប្រើប្រាស់ប្រព័ន្ធ Signature-Based NIDS: ដំឡើង និងរៀបចំរចនាសម្ព័ន្ធកម្មវិធីប្រភពកូដបើកចំហរ Snort ឬ Zeek (អតីត Bro) នៅលើម៉ាស៊ីននិម្មិត (VM) ដើម្បីសាកល្បងសរសេរ Custom Rules ចាប់យកការស្កេនបណ្តាញសាមញ្ញៗ (Nmap Scans)។
ឈ្វេងយល់ពីក្បួនដោះស្រាយស្វែងរកលំនាំ (Pattern Matching Algorithms): សិក្សាពីរបៀបដំណើរការនៃក្បួនដោះស្រាយ Aho-Corasick Algorithm និងការប្រើប្រាស់ Regular Expressions (DFA/NFA) ដែលជាបេះដូងនៃការត្រួតពិនិត្យទិន្នន័យជ្រៅ (DPI) ក្នុងប្រព័ន្ធ NIDS។
សាកល្បងបច្ចេកទេស Machine Learning សម្រាប់ Anomaly Detection: ប្រើប្រាស់ភាសា Python រួមជាមួយបណ្ណាល័យ Scikit-Learn ដើម្បីសាកល្បងបង្កើតម៉ូដែល Clustering (ឧ. K-Means) ឬ Bayesian Network តូចមួយដោយប្រើសំណុំទិន្នន័យចរាចរណ៍បណ្តាញសាធារណៈដូចជា NSL-KDD ជាដើម។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Network Intrusion Detection Systems (NIDS)	ប្រព័ន្ធផ្នែកទន់ ឬផ្នែករឹងដែលតាមដានចរាចរណ៍បណ្តាញកុំព្យូទ័រយ៉ាងសកម្ម ដើម្បីស្វែងរកសកម្មភាពគួរឱ្យសង្ស័យ ឬការបំពានគោលការណ៍សុវត្ថិភាព រួចផ្តល់សញ្ញាព្រមានដល់អ្នកគ្រប់គ្រងបណ្តាញ។	វាដូចជាកាមេរ៉ាសុវត្ថិភាព និងសន្តិសុខយាមច្រកទ្វារដែលចាំពិនិត្យមើលរាល់អ្នកចេញចូលក្នុងអគារ ដើម្បីរកមើលចោរ។
Anomaly Detection	បច្ចេកទេសស្វែងរកការវាយប្រហារដោយបង្កើតទម្រង់ទិន្នន័យចរាចរណ៍ធម្មតាជាមុន (Baseline) រួចប្រៀបធៀបទិន្នន័យថ្មីៗ បើមានអ្វីខុសប្លែកខ្លាំងពីធម្មតា វានឹងចាត់ទុកថាជាការគំរាមកំហែង។	ដូចជាសត្វឆ្កែចាំផ្ទះដែលព្រុសនៅពេលមានមនុស្សប្លែកមុខដើរចូល ទោះបីជាវាមិនធ្លាប់ស្គាល់មុខចោរនោះពីមុនមកក៏ដោយ។
Aho-Corasick Algorithm	ក្បួនដោះស្រាយសម្រាប់ស្វែងរកខ្សែអក្សរ (String Matching) យ៉ាងមានប្រសិទ្ធភាព ដែលអាចស្វែងរកពាក្យ ឬលំនាំជាច្រើនក្នុងពេលតែមួយដោយអានទិន្នន័យបញ្ចូលតែម្តងគត់ (Linear time complexity)។	ដូចជាការអានសៀវភៅមួយទំព័រម្តង រួចអាចរកឃើញពាក្យគន្លឹះទាំង១០ក្នុងពេលតែមួយ ដោយមិនបាច់អានទំព័រនោះចុះឡើង១០ដងឡើយ។
Deep packet inspection	ដំណើរការត្រួតពិនិត្យទិន្នន័យលម្អិតដល់ផ្នែកខាងក្នុងនៃកញ្ចប់ទិន្នន័យបណ្តាញ (Payload) ជាជាងការមើលត្រឹមតែអាសយដ្ឋានប្រភព និងគោលដៅ (Header) ដើម្បីរកមើលមេរោគ ឬកូដវាយប្រហារជាក់លាក់។	ដូចជាមន្ត្រីគយដែលមិនត្រឹមតែមើលសំបុត្រប្រកាសទំនិញពីក្រៅកេសប៉ុណ្ណោះទេ តែបានហែកកេសឆែកមើលទំនិញលម្អិតនៅខាងក្នុងផ្ទាល់តែម្តង។
False positives	ករណីដែលប្រព័ន្ធសុវត្ថិភាពផ្តល់សញ្ញាព្រមានខុស ទៅលើចរាចរណ៍បណ្តាញ ឬសកម្មភាពដែលធម្មតា និងគ្មានគ្រោះថ្នាក់ទាល់តែសោះ ដោយវាគិតច្រឡំថាជាការវាយប្រហារ។	ដូចជាម៉ាស៊ីនរោទិ៍ប្រាប់ថាមានភ្លើងឆេះនៅពេលនរណាម្នាក់គ្រាន់តែចៀនត្រីមានផ្សែងបន្តិចបន្តួច។
Buffer overflow	កំហុសឆ្គងផ្នែកសរសេរកូដកម្មវិធី ដែលអនុញ្ញាតឱ្យទិន្នន័យបញ្ចូលមានទំហំធំជាងកន្លែងផ្ទុក (Buffer) បណ្តាលឱ្យទិន្នន័យហៀរទៅកាន់តំបន់អង្គចងចាំផ្សេងទៀត ដែលហេគឃ័រអាចឆ្លៀតឱកាសបញ្ចូលកូដបញ្ជាអាក្រក់បាន។	ដូចជាការចាក់ទឹកចូលក្នុងកែវហួសចំណុះ រហូតដល់ទឹកហៀរចេញមកក្រៅប្រឡូកប្រឡាក់តុ។
Distributed Denial of Service attack (DDoS)	ការវាយប្រហារដោយប្រើប្រាស់កុំព្យូទ័រ ឬឧបករណ៍ជាច្រើនដែលត្រូវបានគ្រប់គ្រងដោយហេគឃ័រ (Botnet) ដើម្បីបញ្ជូនសំណើចូលទៅកាន់ម៉ាស៊ីនមេគោលដៅព្រមៗគ្នា រហូតធ្វើឱ្យម៉ាស៊ីនមេនោះគាំង ឬលែងមានសមត្ថភាពផ្តល់សេវាកម្មបាន។	ដូចជាមនុស្សមួយរយនាក់ត្រូវគេបញ្ជាឱ្យនាំគ្នាទូរស័ព្ទទៅកាន់លេខរបស់ហាងមួយក្នុងពេលតែមួយ ដើម្បីកុំឱ្យអតិថិជនពិតប្រាកដទូរស័ព្ទចូលបាន។
Polymorphic worms	ប្រភេទមេរោគកុំព្យូទ័រដែលអាចផ្លាស់ប្តូររូបរាងកូដ (Signatures) របស់វាដោយស្វ័យប្រវត្តិរាល់ពេលដែលវាចម្លងខ្លួនឯងទៅកាន់ម៉ាស៊ីនផ្សេងទៀត ដែលធ្វើឱ្យប្រព័ន្ធការពារប្រភេទ Signature-based ពិបាកនឹងរកឃើញវា។	ដូចជាឧក្រិដ្ឋជនដែលពូកែបន្លំខ្លួនដោយប្តូរសម្លៀកបំពាក់ និងពាក់ម៉ាស់មុខថ្មីរាល់ពេលធ្វើសកម្មភាពម្តងៗ ដើម្បីកុំឱ្យប៉ូលិសចំណាំមុខបាន។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖