Chulalongkorn University Theses and Dissertations (Chula ETD)

การเปรียบเทียบโปรแกรมตรวจหาการบุกรุกเครือข่ายระหว่างโปรแกรมสนอร์ทและเรียลซีเคียวภายใต้ปัจจัยการโจมตี

Other Title (Parallel Title in Other Language of ETD)

comparison of network intrusion detection system between SNORT and RealSecure under attack

Year (A.D.)

2002

Document Type

Thesis

First Advisor

ณัฐวุฒิ หนูไพโรจน์

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิทยาศาสตร์คอมพิวเตอร์

DOI

10.58837/CHULA.THE.2002.1233

Abstract

ระบบตรวจหาการบุกรุกถูกนำมาใช้ค้นหาสัญญาณที่บ่งบอกถึงการบุกรุกหรือการโจมตีที่เกิดขึ้น จากการศึกษาค้นคว้างานวิจัยด้านการทดสอบการตรวจหาการบุกรุกพบว่างานวิจัยส่วนใหญ่เกี่ยวข้องกับวิธีการสร้างเกณฑ์เปรียบเทียบ การปรับปรุงและทดสอบการทำงานของอัลกอริทึมที่ใช้ในการค้นหารูปแบบการบุกรุก ซึ่งงานวิจัยเหล่านั้นเป็นการทดสอบในเชิงทฤษฎีและยังไม่พบการทดสอบการทำงานของระบบตรวจหาการบุกรุกเครือข่ายในสภาพแวดล้อมที่เกี่ยวข้องกับปัจจัยด้านการโจมตี ในงานวิจัยนี้เป็นการทดสอบเพื่อเปรียบเทียบการทำงานของโปรแกรมตรวจหาการบุกรุกเครือข่ายระหว่างโปรแกรมสนอร์ทและเรียลซีเคียวภายใต้ปัจจัยการโจมตีในเครือข่ายปิด โดยทำการทดสอบในหลายสภาพแวดล้อมและใช้การโจมตีที่พบบ่อยในปัจจุบัน จากการทดสอบและเปรียบเทียบพบว่าโปรแกรมตรวจหาการบุกรุกทั้งสองมีพฤติกรรมในการทำงาน ความสามารถในการตรวจวิเคราะห์และการใช้งานซีพียูใกล้เคียงกัน จะมีความแตกต่างกันเล็กน้อยในเรื่องของเวลาที่ใช้ในการตรวจวิเคราะห์และความผิดพลาดในการแจ้งเตือนที่โปรแกรมสนอร์ททำงานได้ดีกว่า ส่วนโปรแกรมเรียลซีเคียวมีความถูกต้องของการแจ้งเตือนมากกว่า นอกจากนี้ยังพบว่าการโจมตีและข้อมูลปะปนส่งผลกระทบทำให้ความสามารถในการทำงานของทั้งสองโปรแกรมลดลง ความผิดพลาดในการแจ้งเตือนจึงสูงขึ้น ซึ่งผลจากงานวิจัยนี้สามารถใช้เป็นแนวทางในการทดสอบโปรแกรมตรวจหาการบุกรุกอื่นได้

Other Abstract (Other language abstract of ETD)

Network intrusion detection system has been used to find the signal that reflects intrusion or attack. According to our studies in existing intrusion detection research, we found that most studies focus in comparing, improving, and testing the intrusion detection algorithms. These researches are theoretical and usually ignore the study in the environment with actual attack. This research is to compare performance of intrusion detection software between SNORT and RealSecure under actual attacks in isolated local area network. Our studies have been conducted in various environments using attacks commonly found in the real world. The results of our experiments indicated that both software share similar performances and characteristics, as well as, CPU utilization. There are slightly differences in response time and accuracy. SNORT can detect faster but RealSecure is more accurate. Moreover, the performances of both systems decrease when being used in environments with multiple attacks and background data. Fault alerts become higher. The results from our studies can be used as a guideline for testing other intrusion detection systems in the future.

Link to Full Text

Share

COinS