cybersecurity knowledge architecture for supporting the adaptive

277

The Journal of KMUTNB., Vol. 25, No. 2, May. - Aug. 2015วารสารวชาการพระจอมเกลาพระนครเหนอ ปท 25 ฉบบท 2 พ.ค. - ส.ค. 2558

สถาปตยกรรมความรดานความมนคงปลอดภยไซเบอรเพอสนบสนนระบบตรวจหา

การบกรกแบบปรบตวดวยเทคนคกฎความสมพนธ

ธนกร มหนกอง*นกศกษา คณะเทคโนโลยสารสนเทศ มหาวทยาลยศรปทม

ประสงค ปราณตพลกรงรองศาสตราจารย คณะเทคโนโลยสารสนเทศ มหาวทยาลยศรปทม

นเวศ จระวชตชยอาจารย คณะเทคโนโลยสารสนเทศ มหาวทยาลยศรปทม

* ผนพนธประสานงาน โทรศพท 08-6060-4506 อเมล: [email protected]

รบเมอ 1 สงหาคม 2557 ตอบรบเมอ 24 กมภาพนธ 2558 เผยแพรออนไลน 14 พฤษภาคม 2558

DOI: 10.14416/j.kmutnb.2015.02.003 © 2015 King Mongkut’s University of Technology North Bangkok. All Rights Reserved.

บทคดยอ

ระบบการตรวจหาการบกรกเปนระบบทใชตรวจหาผทบกรกเขามาในเครอขายคอมพวเตอรเพอมงท�าลายระบบ

หรอขโมยขอมลทส�าคญ ในปจจบนพบวาการบกรกมการพฒนารปแบบใหมเพมขนอยางตอเนอง จงท�าใหเกดการศกษา

วจยเพอปรบปรงระบบการตรวจหาและวเคราะหรปแบบการบกรกใหมประสทธภาพมากยงขน งานวจยฉบบนได

ศกษาและออกแบบสถาปตยกรรมความรดานความมนคงปลอดภยไซเบอรเพอสนบสนนระบบตรวจหาการบกรกแบบ

ปรบตวใหม โดยใชตวแบบประเมนความเสยงดานความมนคงปลอดภยไซเบอรของสถาบนการพลศกษาตามมาตรฐาน ISO/IEC 27005 มาตรฐาน ISO/DIS 31000 และมาตรฐาน OCTAVE เพอตรวจสอบวดผลปจจยความเสยงดานตางๆ ควบคไปกบการตรวจสอบจากระบบตรวจหาการบกรกแบบปรบตว ดวยเทคนคเหมองขอมลจากการวเคราะหดวย

กฎความสมพนธจากโครงขายประสาทเทยม จากผลการทดลองพบวาระบบตรวจหาการบกรกทไดพฒนาขนนสามารถ

รายงานผลไดอยางรวดเรวโดยมคาความเทยงท 97.4% และคาเรยกคนท 92.0% จงสามารถน�าไปใชวเคราะหและ

ท�านายผลการรกษาความมนคงปลอดภยไซเบอรไดตอไป

ค�าส�าคญ: สถาปตยกรรมความรดานความมนคงปลอดภยไซเบอร ระบบตรวจหาการบกรกแบบปรบตว เหมองขอมล

การอางองบทความ: ธนกร มหนกอง, ประสงค ปราณตพลกรง และ นเวศ จระวชตชย, “สถาปตยกรรมความรดานความมนคงปลอดภยไซเบอรเพอสนบสนนระบบตรวจหาการบกรกแบบปรบตวดวยเทคนคกฎความสมพนธ,” วารสารวชาการพระจอมเกลาพระนครเหนอ,

ปท 25, ฉบบท 2, หนา 277 - 288, พ.ค. - ส.ค. 2558. http://dx.doi.org/10.14416/j.kmutnb.2015.02.003

278


Cybersecurity Knowledge Architecture for Supporting the Adaptive Intrusion Detection Systems Using Association Rules

Thanakorn Mehinkong*Student, School of Information Technology, Sripatum University, Bangkok, Thailand

Prasong PraneetpolgrangAssociate Professor, School of Information Technology, Sripatum University, Bangkok, Thailand

Nivet ChirawichitchaiLecturer, School of Information Technology, Sripatum University, Bangkok, Thailand

* Corresponding Author, Tel. 08-6060-4506, E-mail: [email protected] 1 August 2014; Accepted 24 February 2015; Published online: 14 May 2015DOI: 10.14416/j.kmutnb.2015.02.003 © 2015 King Mongkut’s University of Technology North Bangkok. All Rights Reserved.

AbstractThe Intrusion Detection Systems are used for detecting and preventing the organizations’ computer networks

from malicious intruders, who access to destroy or steal crucial information. Nowadays, many new intrusive attacks have been developing continuously. Therefore, many researchers have tried to find out more effective solutions. In this paper, we studied and designed a new Cybersecurity Knowledge Architecture for Supporting the Adaptive Intrusion Detection Systems by using Cybersecurity Risk Assessments Model of Physical Institute of Education according to the standard of ISO/IEC 27005, ISO/DIS 31000, and OCTAVE to measure risk factors. At the same time, we developed the Adaptive Cyber Intrusion Detection System by applying Neural Network with Association rules in Data Mining technique to classify the information of attack computer network. Finally, we have found that our developed detection system is able to report the results promptly and accurately with the precision at 97.4% and the recall at 92.0% which are easy to analyze and predict the results of Cybersecurity.

Keywords: Cybersecurity Knowledge Architecture, Adaptive Intrusion Detection Systems, Data Mining

Please cite this article as: T. Mehinkong, P. Praneetpolgrang and N. Chirawichitchai, “Cybersecurity Knowledge Architecture for Supporting the Adaptive Intrusion Detection Systems Using Association Rules,” J. KMUTNB, Vol. 25, No. 2, pp. 277 - 288, May. - Aug. 2015 (in Thai). http://dx.doi.org/10.14416/j.kmutnb.2015.02.003

279


1. บทน�า

การบกรกเพอหาผลประโยชนในระบบเครอขาย

คอมพวเตอรในปจจบนมจ�านวนเพมมากขน รวมทงม

วธหลกเลยงการตรวจจบจากเครองมอตางๆ และความ

หลากหลายของรปแบบการโจมตทซบซอนขน เหตจงใจ

สวนใหญมาจากการขยายตวอยางรวดเรวในการประยกตใช

เครอขายคอมพวเตอรและอนเทอรเนตในองคกรภาครฐ ภาคเอกชนและสวนบคคลเพอท�าธรกรรม ดานการเงน ดานสาธารณปโภค ดานการสอสาร

ดงนน ความส�าคญในการรกษาความมนคงปลอดภย

ระบบเครอขายคอมพวเตอรและอนเทอรเนตรวมถงขอมล

ทอยในเครอขาย จงเปนสงจ�าเปนททกองคกรและทกคน

ควรหาแนวทางและวธการในการปองกนอยางเหมาะสม การน�าระบบตรวจหาการบกรก (Intrusion Detection Systems: IDS) มาใชจะชวยลดปญหาลงไดบางในระยะหนง เมอเวลาผานไปการบกรกโจมตกเกดขนใหม ซงแสดง

ใหเหนวามรปแบบการบกรกโจมตแบบใหมเกดขน

ตลอดเวลา งานวจยในดานนมผสนใจศกษามากขนโดยน�า

ทฤษฎและวธการตางๆ มากมายมาชวยในการวเคราะห

รปแบบการบกรก เชน การใชแผนภาพการจดระเบยบ

ตวเอง (Self Organizing Map) [1], [2] รวบรวมคณสมบต

ของความถทเกดเหตการณบกรกการใชทฤษฎการสม

เมทรกซและระบผานการค�านวณของการวดความคลายกน

ของเครอขาย [3] การใชวธวดความคลายกนโดยใช

การจดกลมดวยการระบจ�านวนทเหมาะสมของกลมแบบ Hidden Markov Model [4], [5] การเปรยบเทยบใน

รายละเอยดยอยของพฤตกรรมผใชเครอขายแลวคนหา

องคประกอบทคลายกน งานวจยครงนจะศกษาและออกแบบสถาปตยกรรม

ความรดานความมนคงปลอดภยไซเบอรเพอสนบสนน

ระบบตรวจหาการบกรกแบบปรบตวโดยใชตวแบบ

ประเมนความเสยงดานความมนคงปลอดภยไซเบอรของ

สถาบนการพลศกษาตามมาตรฐาน ISO/IEC 27005 [5] มาตรฐาน ISO/DIS 31000 [6] และมาตรฐาน OCTAVE [7] เพอตรวจสอบวดผลปจจยความเสยงทางดานตางๆ

ควบคไปกบการตรวจสอบจากระบบตรวจหาการบกรก แบบมการสอน [8] ดวยเทคนคเหมองขอมลจากกฎ

การวเคราะหความสมพนธของโครงขายประสาทเทยม (Association Rules) เพอตรวจจบการโจมตเครอขาย

คอมพวเตอรจากผบกรก [9], [10] การน�าเสนอในสวนทเหลอเรยงล�าดบดงนคอทฤษฎ

และงานวจยทเกยวของ การด�าเนนการวจย ผลการวจย และอภปรายผลและสรป

2. ทฤษฎและงานวจยทเกยวของ

การวจยครงนไดศกษาทฤษฏและงานวจยทเกยวของ

ดานสถาปตยกรรมความร ดานความมนคงปลอดภย

ไซเบอร ดานระบบตรวจหาการบกรก ระบบการเรยนร การวเคราะหรปแบบการบกรกและขอมลทดสอบระบบ

ตรวจหาการบกรก โดยมรายละเอยดดงน

2.1 สถาปตยกรรมความรดานความมนคงปลอดภย

ไซเบอร (Cybersecurity Knowledge Architecture)สถาปตยกรรมความร หมายถงสถาปตยกรรม

สารสนเทศและขอมลกบสภาพแวดลอมทเนนผลกระทบ

และความสมพนธระหวางมนษยกบมนษย มนษยกบความร ความรกบความร การพฒนาสถาปตยกรรมความรเปน

การออกแบบโครงสรางการท�างานขององคประกอบตางๆ ใหท�างานอยางสมพนธกน [11] การรกษาความมนคง

ปลอดภยไซเบอรเปนกลไกในการปกปองโครงสรางพนฐาน

ไอซทขององคกรโดยมโครงสรางสถาปตยกรรมท

ประกอบดวยผมสวนไดเสย (Stakeholders) ไดแก ผบรหาร ผ ดแลระบบเครอขายคอมพวเตอรและอนเทอรเนต อาจารย เจาหนาท ดานมตองคความร (Knowledge Dimensions) เกยวกบการปรบแตงคอมพวเตอรและ

อปกรณเครอขาย การใชโปรแกรมระบบปฏบตการและ

อนๆ การวเคราะหและแกไขปญหาคอมพวเตอรและ

อปกรณเครอขาย การแกไขเหตการณทเปนภยคกคาม ดานคณลกษณะความร (Knowledge Characteristics) เกยวกบความตองการความรเพอน�าไปใชบ�ารงรกษา

280


ความมนคงปลอดภยไซเบอร ดานทรพยากรความร (Knowledge Resources) เกยวกบความรทมอยในองคกร

เชน เอกสาร คมอ ต�าราหลกสตรการฝกอบรมสอการสอน

วดโอ เวบไซตแสดงดงรปท 1

2.2 ระบบตรวจหาการบกรก (Intrusion Detection Systems)

ระบบตรวจหาการบกรก [12] เปนฮารดแวรหรอ

ซอฟตแวรทตดตามตรวจสอบสญญาณจราจร (Traffic) ในระบบเครอขายคอมพวเตอรแลวแจงเตอน (Alert) ใหผรบผดชอบระบบทราบ ในกรณมเหตการณผดปกต (Anomaly) สถาปตยกรรมระบบตรวจจบการบกรกโดย ทวไปม 2 ระบบ [13] ดงน

ระบบท 1 คอระบบตรวจจบการบกรกยดหลก

เครอขาย (Network-based IDS) [14] จะท�างานในเครอขาย

คอมพวเตอรดวยการตดตามตรวจสอบสญญาณจราจร (Traffic) ทอยในรปของ Packet ขอมล โดยตรวจสอบวา Packet ใดมลกษณะทผดปกต

ระบบท 2 คอระบบตรวจจบการบกรกยดหลก

เครองคอมพวเตอร (Host-based IDS) [15] จะท�างาน

ในเครองคอมพวเตอร โดยตดตามตรวจสอบสญญาณ

จราจร (Traffic) ทอยในรปของ Packet ขอมล และตรวจสอบ

การใชงานโปรแกรมประยกต (Application) ในเครอง

คอมพวเตอรดวยการใช Activity Profiles [16]งานวจยนผวจยจะใชระบบตรวจหาการบกรกยดหลก

เครอขาย (Network-based IDS) ซงสามารถตรวจจบ

เหตการณไดครอบคลมเครอขายมากกวาระบบตรวจจบ

การบกรกยดหลกเครองคอมพวเตอร (Host-based IDS)

2.3 การเรยนรของโครงขายประสาทเทยม (Learning of Neural Network)

โครงขายประสาทเทยมเปนหนงในเทคนคของ

การท�าเหมองขอมล [17] มรปแบบการเรยนรโดยทวไป ม 2 แบบ คอ

1) การเรยนรแบบมการสอน (Supervised Learning) เปนการเรยนรทตองมขอมลทงขอมลอนพทเขาระบบและ

คาเปาหมาย ทเอาทพทและใชคาผดพลาดในการปรบแตง

คาน�าหนกหรอพารามเตอรของโครงขายหรอโมเดล 2) การเรยนรแบบไมมการสอน (Unsupervised

Learning) เปนการเรยนรทใชขอมลอนพทเขาระบบโดย

ไมตองก�าหนดคาเปาหมายทเอาทพท ระบบจะท�าการ

ปรบแตงคาน�าหนกหรอพารามเตอรของโครงขายหรอ

โมเดล ตามขอมลอนพท

ส�าหรบงานวจยน จะใชเทคนคการท�าเหมองขอมล

ในรปแบบทมการสอนดวยกฎการวเคราะหความสมพนธ

เพอใชประมวลผลขอมลเชงคณภาพจากรปแบบการบกรก โดยมรปแบบโครงขายประสาทเทยมแสดงในรปท 2

รปท 1 องคประกอบของสถาปตยกรรมความร ด าน

ความมนคงปลอดภยไซเบอร

รปท 2 การท�างานของโครงขายประสาทเทยม

281


หลกการท�างานของกฎการวเคราะหความสมพนธ

เปนการหาความสมพนธระหวางขอมลดวยกนเอง

ซงมพนฐานมาจากการเกดขนรวมกนหรอพรอมกน

ในฐานขอมล รปแบบของการคนหากฎความสมพนธเปน

รปแบบทวไปของการคนหากฎความสมพนธคอ

A→B โดยท A: เปนเงอนไขหรอ LHS (Left - Hand Side) และ B: เปนผลลพธทเกดขนหรอ RHS (Right - Hand Side) หรออยในรปของ “ถา...............แลว” (If……Then….) เชน

กฎท 1: A→B ; if A Then B (1)

กฎท 2: B→A ; if B Then A (2)

การประเมนคาของกฎจะใชคาสนบสนน (Support) และคาความเชอมน (Confidence) โดยทคาสนบสนนคอ

เปอรเซนตของขอมลทมเงอนไขและผลลพธสอดคลอง

ตามกฎตอจ�านวนขอมลทงหมดสามารถเขยนเปน

สมการ (3) ดงน

คาสนบสนน (A, B) =จ�านวนของ Transaction (A,B)

จ�านวน Transaction ทงหมด (3)

โดยท A หมายถงเหตการณทใชเปนเงอนไขในการหา

ผลลพธ B หมายถงเหตการณทเปนผลลพธ

Transaction (A, B) หมายถงเหตการณทประกอบ

ดวยเหตการณ A และ Bคาความเชอมนคอเปอรเซนตของขอมลทมเงอนไข

และผลลพธสอดคลองตามกฎตอจ�านวนขอมลทงหมด

ทเปนเงอนไขสามารถเขยนเปนสมการ (4) ดงน

คาความเชอมน (A, B) = จ�านวนของ Transaction (A,B)จ�านวน Transaction (A)

(4)

โดยท Transaction (A) หมายถงเหตการณทประกอบ ดวยเหตการณ A อยางเดยว

ส�าหรบการเลอกวาจะใชกฎใดนนจะตองพจารณา

คาสนบสนนและคาความเชอมนทมคาสงกวาคาขดแบง (Threshold) ทตงไวนอกจากนจะตองก�าหนดคาสนบสนน

ต�าสด (Minimum Support) และคาความเชอมนต�าสด (Minimum Confidence) โดยทวไปจะก�าหนดคาสนบสนน

ต�าสดเปน 5-10% และคาความเชอมนต�าสดเปน 50-100% [18]

ขนตอนการท�างานของกฎความสมพนธ

เนองจากขนตอนการท�างานทใชในการสรางกฎ

ความสมพนธมหลากหลายรปแบบ งานวจยนจงเลอก

ขนตอนการท�างานทนยมใชกนแพรหลายเพอน�ามา

ประยกตเขากบการตรวจหาการบกรก โดยผวจยไดน�า

รปแบบขนตอนการท�างานแบบอพรโอร (Apriori Algorithm) [19] ซงเปนประเภทของการคนหาความ

สมพนธแบบตรวจสอบเชงตรรกกะ (Boolean Association Rule) ซงเปนเทคนควธทใชส�าหรบคนหาสงทปรากฎ

เดนชด (Frequent Item Sets) จากฐานขอมลทก�าหนด

โดยมหลกการท�างานคอ ขนตอนการท�างานแบบอพรโอร จะท�าหนาทสรางไอเทมเซต (Item Set) ทตองการวเคราะห

ทเปนไปไดทงหมดทมคาสนบสนนมากกวาคาสนบสนน

ขนต�าโดยจะเรมการท�างานในรปแบบจากลางขนบน (Bottom up) โดยมขนตอนการท�างานตามรหสเทยม (Pseudo Codes) ดงน

Pseudo Codes for Apriori Algorithm CK : Candidate item set of size K LK : Frequent item set of size K L1 = {Frequent 1 – item set); For (K = 1; LK ! = ∅; K++) do Begin CK+1 = Candidates generated from LK; For each transaction t in database do Increment the count of all candidates in

282


CK+1 that are contained in t LK+1 = Candidates in CK+1 with min_supportEndReturn CK LK;

อธบายขนตอนการท�างานตามรหสเทยม ขนตอนท 1 อ านฐานข อมลท งหมดและสร าง

ไอเทมเซตทผานคาสนบสนนขนต�าความยาว 1 ไอเทม (Frequent 1-itemset)

ขนตอนท 2 สรางไอเทมเซตทดสอบ (Candidate Item Set) ทมความยาว 2 ไอเทมจากไอเทมเซตทปรากฎ

เดนชดความยาว 1 ไอเทมในขนตอนแรกและน�าไปหาคา

สนบสนนเพอคนหาไอเทมเซตทปรากฎเดนชดความยาว 2 ไอเทมโดยขนตอนการท�างานจะวนรอบท�างานจน

กระทงไมพบไอเทมเซตทผานคาสนบสนนขนต�าจงจบ

การท�างานไอเทมเซตทผานคาสนบสนนขนต�าในแตละ

รอบคอสงทปรากฎเดนชดจากฐานขอมล

2.4 การวเคราะหรปแบบการบกรก (Intrusion Analysis)ระบบตรวจจบการบกรกมวธวเคราะหรปแบบการ

บกรกโดยทวไป 2 วธดงน วธท 1 เปนวธวเคราะหการตรวจจบการใชงาน

ในทางทผด (Misuse Detection) [20] เปนการวเคราะห

พฤตกรรมหรอเหตการณทเกดขนในระบบเครอขาย โดยการเปรยบเทยบพฤตกรรมหรอเหตการณ ณ เวลา

ขณะนนกบพฤตกรรมหรอเหตการณทเปนการบกรก

ซงจดเกบไวในฐานขอมลระบบ หากรปแบบตรงกน

แสดงวาเปนการบกรก วธท 2 เปนวธวเคราะหการตรวจจบเหตการณ

ผดปกต (Anomaly Detection) [21] เปนการวเคราะห

พฤตกรรมหรอเหตการณทเกดขนในระบบเครอขาย โดยการเปรยบเทยบพฤตกรรมหรอเหตการณ ณ เวลา

ขณะนนกบพฤตกรรมหรอเหตการณทปกตซงจดเกบไว

ในฐานขอมลระบบ หากรปแบบไมตรงกนแสดงวาเปน

พฤตกรรมหรอเหตการณการบกรก วธการท�างานของ

ระบบตรวจจบเหตการณผดปกตทนยมในปจจบน ไดแก การตรวจสอบทางเขา (Threshold Detection) ดวยการนบ

จ�านวนครงของบางเหตการณทเกดขน การวดดวยสถต (Statistical Measure) เปนวธการวดการกระจาย คณสมบต

ของโปรไฟลทใชวธการทางสถตรวบรวมแลวสมเหตการณ

มาเปรยบเทยบกบคามาตรฐานทก�าหนดขนเอง หรอ

เปรยบเทยบกบคาทวดไดจากในอดต หากเบยงเบน

ไปจากคามาตรฐานทสรางไวถอวาผดปกต การวดตามกฎ (Rule-based Measure) เปนวธการวดโดยก�าหนด

พฤตกรรมหรอเหตการณปกตเปนกฎไวแลวน�าพฤตกรรม

หรอเหตการณทเกดขนในเครอขาย ณ เวลาในขณะนนมา

เปรยบเทยบกบกฎ หากไมตรงกนแสดงวาเปนรปแบบ

การบกรก แบบผสมผสาน (Hybrid-based IDS) เปน

การวเคราะหรปแบบการโจมตทผสมผสานกนของ

การตรวจจบการใชงานในทางทผด (Misuse Detection) และการตรวจจบเหตการณผดปกต (Anomaly Detection) เพอเพมประสทธภาพในการตรวจจบการบกรกโจมต [16]

ตารางท 1 รปแบบการโจมต

ท กลมการโจมต 4 กลม การโจมต 22 รปแบบ

1 Denial of Service (DOS) Back, Land, Neptune, Pod, Smurt, Teardrop

2 Remote to Local (R2L)Ftp_write, Guess_passwd, Imap, Multihop, Phf, Spy, Warezclient, Warezmester

3 User to Root (U2R) Buffer_overflow, Perl, Loadmodule, Rookit

4 Probing Ipsweep, Nmap, Portsweep, Satan

จากตารางท 1 แสดงการแบงชดขอมลออกเปน 4 กลมการโจมตหลก คอ DOS, R2L, U2R และ Probe จาก 22 รปแบบการโจมตทแตกตางกน

2.5 ชดขอมลทดสอบระบบ

งานวจยนใชชดขอมล KDD CUP’99 Dataset [22] เปนฐานขอมลในการฝกและทดสอบประสทธภาพ

283


ของระบบ ซง KDD CUP’99 Dataset เปนชดขอมลทใช

ส�าหรบการแขงขน The Third International Knowledge Discovery and Data Mining ซงจดขนรวมกบ KDD-99 The Fifth International Conference on Knowledge Discovery and Data Mining ซง KDD CUP’99 dataset ประกอบดวยขอมลขนาดใหญมากมแอทรบวตมากถง 41 แอทรบวตตวอยางขอมลเชน 0,tcp,http,SF,174,6345,0, 0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0,0,0,0,1,0,0,3,25, 5,1,0,0.33,0.02,0,0,0

ขอมลเหลานจะถกแบงออกเปน 2 ชด คอ 1) ชดส�าหรบ

ใช สอนระบบใหมการเรยนร รปแบบการโจมตและ 2) ชดส�าหรบใชเปนขอมลสมมตการโจมตจรงเพอวดผล

ของระบบทไดรบการพฒนาขนในครงน

2.6 ตวแบบประเมนความเสยงดานความมนคง

ปลอดภยไซเบอรของสถาบนการพลศกษาตาม

มาตรฐาน ISO/IEC 27005 มาตรฐาน ISO/DIS 31000 และมาตรฐาน OCTAVE

ตวแบบประเมนความเสยงดานความมนคงปลอดภย

ไซเบอรในสถาบนการพลศกษานไดรบการออกแบบ

และพฒนาขนจากมาตรฐานการบรหารความเสยงดาน

ความมนคงปลอดภยสารสนเทศ คอมาตรฐาน ISO/DIS 31000 [6] มาตรฐาน ISO/IEC 27005 [7] และมาตรฐาน OCTAVE [8] เพอใชส�าหรบตรวจสอบและประเมน

ความเสยงทไดจากผลลพธการวเคราะหความสมพนธ

โดยค�านงถงระดบความพรอมดานความมนคงปลอดภย

ไซเบอรเพอใหไดแบบประเมนความเสยงทเหมาะสมกบ

สถาบนการพลศกษามากทสด ขนตอนการพฒนาตวแบบ

ประเมนความเสยงดงแสดงในรปท 3

3. การด�าเนนการวจย

การศกษาและวจยครงนมวตถประสงค เพอด�าเนนการ

วเคราะหและประเมนระดบความพรอมและสรางตวแบบ

การประเมนความเสยงดานความมนคงปลอดภยไซเบอร

พรอมทงพฒนาระบบตรวจหาการบกรกเชงเวลาจรงแบบ

ปรบตวในระบบการรกษาความมนคงปลอดภยไซเบอร

บนพนฐานของสถาปตยกรรมความรดานความมนคง

ปลอดภยไซเบอร โดยมขนตอนการด�าเนนการวจยดงน

1) ศกษาระบบตรวจหาการบกรก สถาปตยกรรม

ความร ด านความมนคงปลอดภยไซเบอร รวมท ง

กระบวนการและมาตรฐานการบรหารความเสยงดาน


2) รวบรวมขอมลแผนแมบท โครงสรางพนฐาน

ดานเทคโนโลยดานสารสนเทศและการสอสารทมอย

ในปจจบนของสถาบนการพลศกษาทเปนกรณศกษา

3) สรางแบบสอบถามเพอวเคราะหและประเมน

ระดบความพรอมดานความมนคงปลอดภยไซเบอร พรอมทงหาคณภาพของแบบสอบถามโดยผเชยวชาญ

และทดลองใชแบบสอบถามเพอใหไดแบบสอบถาม

ทมคณภาพน�าไปเกบขอมลจากกลมตวอยางจากนน วเคราะห ขอมลดวยคาทางสถตเพอหาคาความพรอมดาน


4) สรางตวแบบประเมนความเสยงดานความมนคง

ปลอดภยไซเบอร โดยใชมาตรฐานการบรหารความเสยง

ดานความมนคงปลอดภยสารสนเทศคอมาตรฐาน ISO/IEC 27005 มาตรฐาน ISO/DIS 31000 มาตรฐาน OCTAVE และน�าระดบความพรอมดานความมนคงปลอดภยไซเบอร

มาเปนเกณฑในการพจารณารวม

รปท 3 ขนตอนการพฒนาตวแบบประเมนความเสยง

ดานความมนคงปลอดภยไซเบอร

284


5) ออกแบบระบบตรวจหาการบกรกบนพนฐาน

สถาปตยกรรมความรดานความมนคงปลอดภยไซเบอร

ดวยเทคนคการท�าเหมองขอมลดวยกฎความสมพนธ

เพอใหสามารถตรวจหาและรายงานการบกรกไดทนกบ

เหตการณการบกรกในปจจบน

6) ทดสอบระบบตรวจหาการบกรก ดวยการใชขอมล

ทดสอบจาก KDD CUP’99 Dataset โดยการทดสอบและ

วดประสทธภาพของระบบตรวจหาการบกรกทไดรบการ

พฒนาขนในครงนผวจยจะพจารณาจากผลลพธทไดจาก

การวดคาความเทยง (Precision) และคาเรยกคน (Recall)

3.1 การออกแบบระบบ

ระบบตรวจหาการบกรกเชงเวลาจรงแบบปรบตว

บนพนฐานของสถาปตยกรรมความรดานความมนคง

ปลอดภยไซเบอรทไดรบการออกแบบจะมความสามารถ

ในการตรวจหาการบกรกอยางถกตอง รายงานผลไดเหมาะสม

กบสถานการณการบกรกในปจจบนดงแสดงในรปท 4จากรปท 4 แสดงกระบวนการท�างานของสถาปตยกรรม

ความรดานความมนคงปลอดภยไซเบอรอธบายไดดงน

1) ขอมลการบกรกจะถกปอนเขาสระบบ (Input Data)2) ขอมลจะถกจดเตรยม (Data Preparation) เพอ

เขาสการประมวลผลจากโครงขายประสาทเทยมดวยการท�า

การนอรมอลไลเซชน

3) ขอมลทผานการเตรยมจากกระบวนการท 2 จะถก

จดกลมรปแบบการบกรกทนทตามเวลาจรง (Real-time) และจะถกใชเปนฐานขอมลองคความรสนบสนนผดแล

ระบบ (System User) ในการแกปญหาเหตการณการบกรก

และเปนองคความรใหกบผใชทวไป (User) ไดศกษา

เพอปองกนความผดพลาดจากการใชระบบและสราง

ความตระหนกดานการรกษาความมนคงปลอดภยภายใน

องคกรใหมประสทธภาพสงสด

4) ขอมลการบกรกทถกปรบแตง (Adaptive) จาก

ผบรหารระบบ (System Admin) ในกระบวนการท 3 จะถกสง

เขาฐานพกสญญาณแจงเตอนชวคราว (Alarm Buffer) กอนสงเขาจดเกบในฐานขอมล

5) ขอมลจะถกบนทกลงฐานขอมลสญญาณเตอน

ปกตและการโจมต (Normal and Attacks) เพอจดเกบ

ขอมลในรปเหตการณปกตและรปแบบการบกรกโจมต

6) ฐานขอมลความร ด านความมนคงปลอดภย

ไซเบอรทไดจากตวแบบประเมนความเสยงดานความมนคง

ปลอดภยไซเบอรของสถาบนการพลศกษาตามมาตรฐาน ISO/IEC 27005 มาตรฐาน ISO/DIS 31000 และมาตรฐาน OCTAVE ซงรวบรวมขอมลแผนแมบท โครงสรางพนฐาน

ดานเทคโนโลยสารสนเทศและการสอสารทมอยในปจจบน

มาใชวเคราะหเปรยบเทยบกบขอมลบกรกทตรวจจบได

รปท 4 สถาปตยกรรมความรดานความมนคงปลอดภย

ไซเบอร

285


7) คลงวเคราะหขอมล (Analytical Warehouse) เปนคลงขอมลทวเคราะหและจดเกบองคความร ดาน

ความมนคงปลอดภยสารสนเทศและขอมลเหตการณปกต

และเหตการณทเปนการโจมต

8) เทคนคการท�าเหมองขอมลดวยกฎความสมพนธ (Association Rule Data Mining) รบขอมลจากคลง วเคราะหขอมลมาวเคราะหความสมพนธดวยกฎความ

สมพนธของรปแบบการโจมตกบวธด�าเนนการแกไขเพอ

ยตการโจมตและปองกนการโจมต

9) ขอมลออก (Output Data) คอกระบวนการเฝาด

สญญาณเตอนจากระบบตรวจหาการบกรกรวมเพอ

รายงานใหผควบคมระบบทราบเพอด�าเนนการปรบปรง

แกไขเหตการณ นอกจากนยงเปนการใหความรเพอสราง

ความตระหนกในการรกษาความมนคงปลอดภยใหผใชงาน

ไดทราบเพอหาวธปองกนทเหมาะสมตอไป

4. ผลการวจย

การวจยครงน ผวจยไดใชชดขอมล KDD CUP’99 Dataset เปนฐานขอมลในการฝกและทดสอบประสทธภาพ

ของระบบ โดยขอมลจาก KDD CUP’99 Dataset เหลาน

จะผานกระบวนการนอรมอลไลเซชนเพอปรบคาใหม

ความเหมาะสม หลงจากขอมลเหลานผานกระบวนการ

นอรมอลไลเซชนแลว จะน�าเขามาประมวลผลดวยเทคนค

การท�าเหมองขอมลแบบใชกฎความสมพนธโดยรปแบบ

การบกรกจะถกตรวจสอบและเปรยบเทยบจากองคความร

ดานความปลอดภย เพอใหไดผลลพธทมความถกตองสง

โดยขอมลทจะถกตรวจจบไดจะถกเปรยบเทยบจาก

คาความเชอมนและคาสนบสนน ดงตารางท 2

งานวจยครงน จะใชวธการประเมนประสทธภาพ

ระบบจากการค�านวณหาคาความเทยง (Precision) และคาเรยกคน (Recall) โดยทคาความเทยงหมายถง

ระบบสามารถคนหารปแบบการบกรกออกมาไดถกตอง

ทงหมดและคาเรยกคน หมายถงคาทระบบสามารถคนหา

รปแบบทเกยวของกบการบกรกทงหมดออกมาไดดงแสดง

ในสมการท (5) และ (6)

คาความเทยง = X Y (5)

คาเรยกคน = X Z (6)

โดยท X = จ�านวนรปแบบทเกยวของกบการบกรก

ทงหมดทระบบตรวจสอบและแสดงผลออกมา

Y = จ�านวนรปแบบทงหมด (รวมถงรปแบบทไม

เกยวของกบการบกรก) ทระบบตรวจสอบได

Z = จ�านวนรปแบบทเกยวของกบการบกรก

ทงหมด (รวมถงจ�านวนรปแบบทมอย แตระบบไมสามารถ

ตรวจสอบและแสดงผลออกมา)

ตารางท 3 ผลลพธทวดไดจากระบบตรวจจบการบกรก

ดวยการใชขอมล KDD CUP’99 ชดทดสอบ

Exp. no.

Normal Detection Attack Detection Precision Recall

1 56996 228475 97.4% 92.0%

2 57719 229602 94.3% 89.2%

3 59648 166454 95.1% 90.3%

4 59703 166405 91.5% 87.4%

ตารางท 2 ตวอยางผลการทดสอบความถกตองตวแบบ

ล�าดบท ความสมพนธ% คาความเชอมน

ขอมลเรยนร% คาความเชอมน ขอมลตรวจสอบ

% คาความถกตอง

1 Neptune Port 8088→ DOS attack 93.95 95.00 98.952 FTP_Writeport 80 →R2Lattack 100 100 1003 Buffer OverFlowPort 80 → U2R attempt 82.46 90.00 92.464 IPSweep Port 8088 →Probe attempt 89.22 92.35 96.87

286


อยางไรกด เมอน�ามาเปรยบเทยบกบงานวจย

ทเกยวของ ซงใชแผนภาพการจดระเบยบตวเอง (Self Organizing Map: SOM) [2] โดยการน�าผลการจดกลม

รปแบบการโจมตทถกตอง (Precision) และผลการจดกลม

รปแบบการโจมตทงหมด (Recall) แทนคาในสมการท (5) และ (6) แสดงในตารางท 4

ตารางท 4 ผลการเปรยบเทยบระหวางระบบทไดพฒนาขน

กบระบบตรวจจบของงานวจยทเกยวของExp. No.

Attack Categories

Association Rules SOM

Precision Recall Precision Recall1 Denial of

Service (DOS)

97.4% 92.0% 95.4% 91.1%

2 User to Root (U2R)

94.3% 89.2% 92.0% 87.5%

3 Remote to Local (R2L)

95.1% 90.3% 93.5% 89.0%

4 Probing (Probe)

91.5% 87.4% 87.0% 83.2%

จากตารางท 4 พบวาระบบทไดรบการออกแบบ

ในครงน มความถกตองในการประมวลผลลพธทม

ความถกตองสงกวา เนองจากมการเรยนรรปแบบจาก

องคความรทใชสอน ท�าใหคาผลลพธทไดมความเทยงตรง ซงตางจากงานวจยทเกยวของซงใชการวเคราะหขอมล

ในรปแบบไมมการสอน

5. อภปรายผลและสรป

ผวจยไดศกษาสภาพความพรอมดานความมนคง

ปลอดภยไซเบอรของสถาบนการพลศกษาตามมาตรฐาน ISO/IEC 27001 ดานการจดการเหตการณบกรกโจมต

ซงมความพรอมนอยทสด ดานการควบคมการเขาถง

ขอมลและสารสนเทศมความพรอมทรองลงมา เปนผล

ใหความตองการสารสนเทศในการจดการเหตการณ

การบกรกมความตองการสง การใหความรและสรางความ

ตระหนกในการปองกนตนเองของบคลากรในสถาบน

การพลศกษากมความตองการทรองลงมา ผวจยจงได

ออกแบบสถาปตยกรรมความรดานความมนคงปลอดภย

ไซเบอรมาสนบสนนระบบตรวจหาการบกรกแบบปรบตว

ทสามารถแกปญหาดานความมนคงปลอดภยสารสนเทศ

กรณศกษาของสถาบนการพลศกษา โดยใชเทคนค

การท�าเหมองขอมลแบบกฎความสมพนธ ซงใชใน

การตรวจหาการบกรก เพอวเคราะหหารปแบบการบกรก และแสดงผลลพธการโจมตพรอมทงปรบแตงฐานขอมล

รปแบบการบกรกโจมตในสถาปตยกรรมความมนคง

ปลอดภยไซเบอรใหใหมอย เสมอ เมอระบบรายงาน

รปแบบการโจมต ณ ขณะนนแลวระบบจะแสดงผลวธการ

ปองกนและแกไขเหตการณทบกรกในขณะนนจากฐาน

ขอมลของสถาปตยกรรมความรมนคงปลอดภยไซเบอร

ใหผดแลระบบทราบ รวมทงเปนแหลงใหความรผใชทวไป

ในการระมดระวง สรางความตระหนก ปองกนตวเองจาก

อนตรายในเครอขายไซเบอร

จากผลการวจยพบวา คาตรวจจบขอมลการบกรกท

อยในรปแบบของ DOS ใหคาสงทสด โดยมคาความเทยงท 97.4% และคาเรยกคนท 92.0% เนองจากขอมลในกลม DOS นมอยในฐานขอมลขององคความรแมแบบครบถวน จงท�าใหระบบสามารถวเคราะหรายละเอยดของรปแบบ

การบกรกไดอยางถกตองมากทสด ในทางตรงกนขามกบ

รปแบบการบกรกในกลม PROBE มกลมขอมลทกระจาย

แตกตางกนมากท�าใหการนอรมอลไลเซชนท�าไดอยาง

จ�ากด ระบบจงไมสามารถน�ามาใชวเคราะหกบฐานขอมล

ขององคความรแมแบบไดอยางถกตอง 100% จงเปน

สาเหตทท�าใหคาการตรวจหาออกมามคาความเทยงอยท 91.5% และคาเรยกคนอยท 87.4%

นอกจากนผวจยพบวาฐานขอมลองคความรทน�ามา

ใชตรวจสอบขอมลการบกรกจ�าเปนตองมการปรบปรงให

มความทนสมยอยตลอดเวลาเพอใหกระบวนการตรวจหา

ของระบบมประสทธภาพมากยงขนอกทงการตรวจหา

ดวยเทคนคการท�าเหมองขอมลแบบกฎความสมพนธ

ซงเปนหนงในเทคนคการท�าเหมองขอมลแบบมการสอน

ทผวจยไดเลอกมาเปนระบบตนแบบเพอใชในการวเคราะห

ความสมพนธขอมลการบกรกโจมต หากผสนใจทจะ

287


ศกษา วจยและพฒนารปแบบแนวคดตอไป สามารถท

น�าทฤษฏ หลกการหรอเทคโนโลยอนๆ มาวเคราะห เชน Hidden Markov Model (HMM), Fuzzy Logic มาวจย

และพฒนาเกยวกบรปแบบแนวคดในการพฒนาตวแบบ

สถาปตยกรรมความรดานความมนคงปลอดภยไซเบอร

เพอสนบสนนการตรวจหาการบกรกเชงเวลาจรงแบบ

ปรบตวในการรกษาความมนคงปลอดภยไซเบอรใหม

ความสามารถและประสทธภาพทแตกตางในอนาคตตอไป

เอกสารอางอง

[1] C. F. Tsai, Y. F. Hsu, C. Y. Lin, and W. Y. Lin, “Intrusion detection by machine learning: A review,” Expert Systems with Applications, vol. 36, no.10, pp. 11994-12000, 2009.

[2] M. K. Albertini and R. F. de Mello, A Self-Organizing Neural Network Approach Novelty Detection, IGI GLOBAL, 2010, pp. 49-71.

[3] M. Hassan et al., “A Data Clustering Algorithm based on Single Hidden Markov Model,” in Proceedings of the International Multi conference on Computer Science and Information Technology, 2006, pp. 57-66.

[4] K. Burbeck and S. Nadjm-Tehrani, “Adaptive real-time anomaly detection with incremental clustering,” Information security technical report, vol. 12, no. 1, pp. 56-67, 2007.

[5] ISO/IEC FDIS 27001:2005, Information Technology - Security Management Systems-Requirements, 2005.

[6] ISO/DIS 31000:2008, Risk management Principles & guidelines on Implementation, 2008.

[7] C. Alberts, A. Dorofee, J. Stevens, and C. Woody, Introduction to the OCTAVE® Approach, Carnegie Mellon University, Pittsburgh, PA, 2003.

[8] S. S. SivathaSindhu, S. Geetha, and A. Kannan,

“Decision tree based light weight intrusion detection using a wrapper approach,” Expert Systems with applications, vol. 39, no. 1, pp. 129-141, 2012.

[9] D. Brauckhoff, X. Dimitropoulos, A. Wagner, and K. Salamatian, “Anomaly extraction in backbone networks using association rules,” IEEE/ACM Transactions on Networking (TON), vol. 20, no.6, pp. 1788-1799, 2012.

[10] A. Chauhan, M. Gaurav, and K. Gulshan, Survey on data mining techniques in intrusion detection. Lap Lambert Academic Publ, 2012.

[11] T. Kohonen, “Essentials of the self-organizing map,” Neural Networks, vol. 37, pp. 52-65, 2013.

[12] S. Kesh and P. Ratnasingam “A Knowledge Architecture for IT Security,” Communications of the ACM, vol. 50, no. 7, pp. 103-108, 2007.

[13] L. Shahreza et al., “Anomaly detection using a self-organizing map and particle swarm optimization,” ScientiaIranica, vol. 18, no. 6, pp. 1460-1468, 2011.

[14] P. Garcia-Teodoro, J. Diaz-Verdejo,G. Maciá-Fernández, and E. Vázquez, “Anomaly-based network intrusion detection: Techniques, systems and challenges,” computers & security, vol. 28, no. 1, pp. 18-28, 2009.

[15] J. Shun and H. A. Malki, “Network intrusion detection system using neural networks,” in the 4th IEEE International Conference on Natural Computation, vol. 5, pp. 242-246, 2008.

[16] H. J. Liao, C. H. Richard Lin, Y. C. Lin, and K. Y. Tung, “Intrusion detection system:A comprehensive review,” Journal of Network and Computer Applications, vol. 36, pp. 16-24, 2013.

[17] Y. H. Hu and J. N. Hwang, Handbook of neural

288


network signal processing, CRC press, 2010.[18] G. K. Gupta, Introduction to data mining with

case studies, PHI Learning Pvt. Ltd., 2011.[19] P. Poncelet and M. Teisseire, Data mining patterns:

new methods and applications, Information Science Reference, 2008.

[20] A. N. Khan, K. Qureshi, and S. Khan, “An Intelligent Approach of Sniffer Detection,” The International Arab Journal of Information Technology, vol. 9, no. 1, pp. 9-15, 2012.

[21] G. Kim, S. Lee, and S. Kim, “A novel hybrid intrusion detection method integrating anomaly detection with misuse detection,” Expert Systems with Applications, vol. 41, no. 4, pp. 1690-1700, 2014.

[22] The UCI KDD Archive Information and Computer Science University of California. (2011, July 16). “KDD CUP 1999 Dataset.” [Online]. Available: http://kdd.ics.uci.edu/databases/kddcup99/ kddcup99.htm

cybersecurity knowledge architecture for supporting the adaptive

Documents