ប្រែសម្រួលដោយ៖ លោក សួន បញ្ញា | អ្នកស្រាវជ្រាវសន្តិសុខអុិនធឺណិត
Intrusion Prevention System (IPS) គឺជាបច្ចេកវិទ្យាការពារសុវត្ថិភាពពីការគំរាមគំហែង (threats) ទៅលើប្រព័ន្ធបណ្តាញ ដោយវាទៅត្រួតពិនិត្យចរាចរណ៍ទិន្ន័យរបស់បណ្តាញដើម្បីតាមដានចាប់ និងការពារការវាយប្រហារទៅលើចន្លោះប្រហោងផ្សេងៗរបស់ប្រព័ន្ធព័ត៌មានវិទ្យារបស់អ្នក។
ធម្មតាការវាយប្រហារទៅលើចន្លោះប្រហោងកើតឡើងដោយការដាក់បញ្ចូលមេរោគ ឬការបញ្ចូលទិន្នន័យ ឬកែសម្រួលទៅលើកម្មវិធី ឬ service ដែលអ្នកវាយប្រហារប្រើសម្រាប់រំខាន និងកាន់កាប់ទៅលើកម្មវិធី (application) និងម៉ាស៊ីន។
បន្ទាប់ពីវាយប្រហារបានសម្រេច ពួកគេអាចបញ្ឈប់ដំណើរការទៅលើគោលដៅណាមួយ (ដោយប្រើប្រាស់ការវាយប្រហារបែប DoS) ឬគេអាចធ្វើការអាក់សេស (access) ទៅកាន់រាល់សិទ្ធិអនុញ្ញាតទាំងអស់ (rights and permission) ដែលមានក្នុងកម្មវិធីដែលត្រូវបានហែគ។
ដំណើរការការពារ
IPS ជាធម្មតាត្រូវបានដាក់នៅទីតាំងបន្ទាប់ផ្ទាល់ពី firewall ហើយដើរតួផ្តល់ជាស្រទាប់ការពារ និងវិភាគបន្ថែមទៅលើទិន្ន័យទាំងទ្បាយណាដែលអាចបង្ករគ្រោះថ្នាក់។
IPS ត្រូវបានដាក់នៅចន្លោះរវាងប្រភព (source) និងទិសដៅ (destination) ហើយវាធ្វើការវិភាគនិងធ្វើសកម្មភាពដោយស្វ័យប្រវត្តិ ទៅលើលំហូរនៃចរាចរណ៍ទិន្ន័យ (traffic flows) ដែលចូលមកក្នុងប្រព័ន្ធបណ្តាញ។
ជាពិេសសនោះ សកម្មភាពទាំងនោះរួមមាន:
១. ផ្តល់ជាសញ្ញា (alarm) ទៅកាន់ administrator
២. ទម្លាក់ចោលនូវរាល់គ្រប់ទិន្ន័យដែលគ្មានសុវត្ថិភាព (dropping the malicious packets)
៣. បិទប្លក់ (block) ទិន្ន័យមកពីប្រភពដើម (blocking traffic from the source address)
៤. ធ្វើការដំណើរការការតភ្ជាប់ឡើងវិញ (Resetting the connection)
As an inline security component, the IPS must work efficiently to avoid degrading network performance. It must also work fast because exploits can happen in near real-time. The IPS must also detect and respond accurately, so as to eliminate threats and false positives (legitimate packets misread as threats).
IPS ត្រូវដំណើរការដោយមានប្រសិទ្ធិភាពដើម្បីចៀសវាងការធ្លាក់ចុះ performance របស់ប្រព័ន្ធបណ្តាញហើយក៏ត្រូវធ្វើការចាប់ និងឆ្លើយតបដោយត្រឹមត្រូវច្បាស់ដើម្បីកម្ចាត់ចោលការគំរាមគំហែង (threat) និង false positives (ការច្រឡំថាទិន្ន័យត្រឹមត្រូវជាការគំហែង)។
វិធីសាស្រ្តតាមដានចាប់ (Detection)
IPS មាននូវវិធីសាស្ត្រជាច្រើនដើម្បីចាប់ ឬរកឃើញនូវកូដវាយប្រហារ (exploits) ប៉ុន្តែវិធីសាស្ត្រពីរយ៉ាងដែលមានការនិយមប្រើប្រាស់គឺ signature-based detection (ការចាប់យកនូវអ្វីដែលមានរក្សាទុកនៅក្នុងដាតាបេស) និង statistical anomaly-based detection (ការចាប់យកដោយអង្កេតទៅលើស្ថិតិនៃស្ថានភាពខុសប្រក្រតី)
១. ការតាមដានចាប់ដោយប្រើគំរូ (signature-based detection): ធ្វើឡើងដោយពឹងពាក់ទៅលើលក្ខណ:ស្រដៀងគ្នា (patterns/signature) ដែលមានក្នុងកូដដែលយកមកធ្វើការវាយប្រហារ។
២. ការតាមដានចាប់ដោយអង្កេតរកមើលស្ថិតិនៃស្ថានភាពខុសប្រក្រតីខុសពីស្តង់ដា (Statistical Anomaly Detection): ត្រួតពិនិត្យមើលចរាចរណ៍ទិន្ន័យក្នុងបណ្តាញនៅត្រង់ចំនុច random ណាមួយហើយប្រៀបធៀបវាទៅនឹងកម្រិតស្តង់ដារ។ ក្នុងករណីវាខុសប្លែកឆ្ងាយពីស្តង់ដារដែលបានចែង នោះ IPS នឹងធ្វើសកម្មភាពភ្លាម។
កាលដើមឡើយ IPS ត្រូវបានគេបង្កើតឡើង និងបញ្ចេញលក់នៅលើទីផ្សារជាប្រភេទឧបករណ៍ដាច់ដោយឡែកមួយ (standalone) ក្នុងជំនាន់ឆ្នាំ២០០០។ ក៏ប៉ុន្តែ បច្ចុប្បន្ននេះ វាត្រូវបានពេញនិយមក្នុងការដាក់បញ្ចូលទៅក្នុងបច្ចេកវិទ្យា UTM (Unified Threat Management) ដែលប្រើប្រាស់សម្រាប់សហគ្រាសធុនតូច និងមធ្យម និង Next Generation Firewalls សម្រាប់ថ្នាក់សហគ្រាសធំៗ៕
ទាញយកកម្មវិធីសម្រាប់ទូរស័ព្ទស្មាតហ្វូន (Apple ឬ Android) ឬក៏ចូលរួមទៅក្នុងបន្ទប់ផ្តល់ព័ត៌មាន Telegram Channel សម្រាប់ទទួលបានព័ត៌មានចុងក្រោយស្តីអំពីសន្តិសុខអុិនធឺណិតទាំងក្នុង និងក្រៅប្រទេស៖ https://t.me/infosecisac
Download our iOS App or Android App or subscribe to our Telegram channel for the latest updates on the Cybersecurity Breaking News in both locally and internationally: https://t.me/infosecisac
ប្រភព៖
https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-system-ips
