Chulalongkorn University Theses and Dissertations (Chula ETD)

ภาษาจำเพาะโดเมนสำหรับการตรวจจับการบุกรุกเครือข่าย

Other Title (Parallel Title in Other Language of ETD)

DOMAIN SPECIFIC LANGUAGE FOR NETWORK INTRUSION DETECTION

Year (A.D.)

2013

Document Type

Thesis

First Advisor

ญาใจ ลิ่มปิยะกรณ์

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมซอฟต์แวร์

DOI

10.58837/CHULA.THE.2013.1093

Abstract

งานวิจัยนี้ได้นำเสนอระบบตรวจจับการบุกรุกเครือข่าย ซึ่งจัดอยู่ในประเภทวิธีการตรวจจับแบบอิงลายเซ็นต์ ภาษาจำเพาะโดเมนอีสดีเอสแอลได้ถูกพัฒนาขึ้นเพื่อใช้ประกาศลายเซ็นต์การบุกรุก วากยสัมพันธ์ของกฏอีสดีเอสแอลได้ถูกกำหนดขึ้นบนพื้นฐานโครงสร้างโปรโตคอลทีซีพี/ไอพี และสัญญาณของการบุกรุกถูกกำหนดการเขียนให้อยู่ในรูปแบบของคุณสมบัติและค่าที่สามารถข้ามแพกเก็ตหรือชั้นโปรโตคอลทีซีพี/ไอพีได้ งานวิจัยได้พัฒนาระบบต้นแบบตรวจจับการบุกรุก ประกอบด้วยองค์ประกอบหลัก 3 ส่วน ได้แก่ 1) ตัวแจงส่วนอีสดีเอสแอล 2) ตัวเฝ้าระวังการจราจรเครือข่าย และ 3) ตัวตรวจจับการบุกรุกเครือข่าย ตัวแจงส่วนอีสดีเอสแอลสนับสนุนการวิเคราะห์คำในเงื่อนไขการบุกรุกของกฎในสคริปต์เพื่อเปลี่ยนเป็นเซตโครงสร้างของกฎสำหรับจับคู่กับแพกเก็ตการบุกรุกเครือข่ายที่เหมือนกัน ตัวเฝ้าระวังการจราจรเครือข่ายจะรับผิดชอบการดักจับแพกเก็ตเครือข่ายและเก็บไว้ในบัฟเฟอร์เพื่อตรวจสอบในขั้นตอนตรวจจับการบุกรุกเครือข่าย ซึ่งประยุกต์ใช้ขั้นตอนวิธีเชิงพันธุกรรมเพื่อค้นหาสถานะมุ่งร้ายบนการจราจรเครือข่าย ในงานวิจัยได้ทำการทดลองเบื้องต้นเพื่อศึกษาสมรรถนะของแนวทางที่นำเสนอ จากผลการทดลองพบว่าการประยุกต์ใช้ขั้นตอนวิธีเชิงพันธุกรรมเพื่อค้นหาสัญญาณการละเมิดความมั่นคงด้วยกฎเชิงประกาศเป็นแนวทางที่มีประสิทธิภาพและมีความเป็นไปได้

Other Abstract (Other language abstract of ETD)

This research presents a network intrusion detection system, which is categorized as a type of signature-based detection method. A domain specific language, called isDSL, is developed as a means of declaring intrusion signatures. The isDSL rule syntax is defined based on the structure of TCP/ IP stack, and the sign of attack is prescribed as a combination of properties and values that could span across the packets or TCP/IP layers. The prototype of intrusion detection system has been implemented. It consists of three major components: 1) isDSL parser, 2) Network traffic monitor, and 3) Network intrusion detector. The isDSL parser supports the parsing of the intrusion conditions prescribed in a rule script into a set of rule structures used for matching with the network intrusion packets. Traffic monitor is the engine responsible for capturing the network packets and storing them in the buffer for further inspection. The Network intrusion detector applies the genetic algorithm for searching malicious states on network traffics. Preliminary experiments were conducted to study the performance of the presented approach. The findings reported that the application of genetic algorithm for searching the signs of security breaches against declarative rules would be efficient and promising.

Link to Full Text

Share

COinS