การน าเสนอขอมลการสอสารในระบบเครอขาย คอมพวเตอรโดยใชกระดาน 3 มต
ชนาธป ชนมนส
วทยานพนธนเปนสวนหนงของการศกษาตามหลกสตร วทยาศาสตรมหาบณฑต (วทยาการคอมพวเตอร)
คณะสถตประยกต สถาบนบณฑตพฒนบรหารศาสตร
2552
บทคดยอ
ชอวทยานพนธ การน าเสนอขอมลการสอสารในระบบเครอขายคอมพวเตอร
โดยใชกระดาน 3 มต ชอผเขยน นายชนาธป ชนมนส ชอปรญญา วทยาศาสตรมหาบณฑต (วทยาการคอมพวเตอร) ปการศกษา 2552 วทยานพนธฉบบนเสนอวธการน าเสนอขอมลการสอสารในเครอขายคอมพวเตอร เพอชวยใหผดแลระบบเครอขายเขาใจสภาวะการตดตอสอสาร และสามารถตรวจจบความผดปกตทเกดขนในเครอขาย โดยใชเทคนคคอมพวเตอรกราฟฟกส 3 มตและการออกแบบสวนประสานกบผใชในการควบคมการแสดงผลและคนหาขอมล ขอมลการสอสารจะถกแสดงบนแผน 3 แผนทตงฉากกน ใน พนท 3 มต การแสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผนใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร ระบบ ตนแบบไดถกพฒนาขนตามหลกการออกแบบทน าเสนอและท าการประเมนประสทธผลโดยผประเมนจ านวน 6 คน ผลการประเมนประสทธผลแสดงใหเหนวาผประเมนสวนใหญมระดบความพงพอใจตอสวนประกอบตางๆ ของระบบอยในระดบมาก และวธการน าเสนอขอมลการสอสารทเสนอในงานวจยนสามารถชวยใหผใชเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได
ABSTRACT
Title of Thesis Three Dimensional Panel Approach to Network Traffic
Visualization
Author Mr. Chanatip Chuenmanus
Degree Master of Science (Computer Science)
Year 2009
This thesis proposes a novel approach to visualize network traffic which helps
network administrators understand status of the traffic and detect anomalies in the
communications. Data are displayed on perpendicular panels divided into three parts
in a three-dimensional space. Relationships between data on different panels are
represented as colored links connecting objects on those panels.
A prototype application is created according to the design principle and
evaluated by six experimenters. The results show that the approach is satisfactory, and
it can help administrators detect and understand anomalies in the network traffic.
กตตกรรมประกาศ
วทยานพนธฉบบนส าเรจลงไดเนองมาจากบคคลหลายทานใหความกรณาชวยเหลอในการใหขอมล ค าแนะน าปรกษา ขอเสนอแนะและความคดเหนตางๆ และใหก าลงใจ
ผเขยนขอขอบพระคณ อาจารยทปรกษาวทยานพนธ ผศ.ดร.โอม ศรนล ในความกรณาของทานทไดใหค าแนะน าปรกษาในทกดาน ใหขอมลและแนวทางการท าวจยในทกขนตอน ขอขอบพระคณ รศ.ดร.พพฒน หรณยวณชชากร ขอขอบพระคณ รศ.ดร.สรพงค เออวฒนามงคล และขอขอบพระคณ ผศ.ดร.รววรรณ เทนอสสระ ทไดสละเวลาในการตรวจทานแกไข จนวทยานพนธฉบบนส าเรจสมบรณ
ขอขอบพระคณ อาจารยทกทานของผเขยน ทไดถายทอดความรใหแกผเขยน ขอขอบคณเจาหนาทของคณะสถตประยกตทกทาน ทไดใหความชวยเหลอและประสานงานเปนอยางด และขอขอบคณ เพอนของผเขยน ทไดใหก าลงใจแกผเขยนตลอดมา
ในทายทสดน ขอกราบขอบพระคณ บดา มารดา และยายของผเขยน ทไดสงเสรมสนบสนน เปนก าลงใจ อกทงใหความรกและความปรารถนาดแกผเขยนมาโดยตลอด ขอขอบคณ แมวของผเขยน ทท าใหผเขยนอารมณดและผอนคลายในการท าวทยานพนธฉบบนอยเสมอ
ชนาธป ชนมนส เมษายน 2552
สารบญ
หนา บทคดยอ (5) ABSTRACT (6) กตตกรรมประกาศ (7) สารบญ (8) สารบญตาราง (10) สารบญภาพ (11) บทท 1 บทนา 1 1.1 ความเปนมาของปญหา 1 1.2 วตถประสงคงานวจย 2 1.3 ขอบเขตงานวจย 2 1.4 วธการดาเนนงานวจย 2 1.5 ประโยชนทคาดวาจะไดรบ 2 บทท 2 งานวจยทเกยวของ 3 2.1 งานวจยทเกยวของ 3 2.1.1 NVisionIP 3 2.1.2 Time-Based Network Traffic Visualizer 7 2.1.3 NetworkEye 9 2.1.4 IDS RainStorm 13 2.1.5 Tudumi 15 2.1.6 InetVis 18 2.2 ผลสรปทไดจากการศกษางานวจยทเกยวของ 23 บทท 3 การออกแบบและหลกการทางานของระบบ 25 3.1 โครงสรางการทางานของระบบ 25 3.1.1 ระบบตรวจจบการบกรกในระดบเครอขายคอมพวเตอร 25 3.1.2 ระบบฐานขอมล 25 3.1.3 ระบบการสรางภาพนามธรรม 26
(9)
3.2 การออกแบบระบบ 26 3.2.1 แนวคดในการออกแบบระบบ 26 3.2.2 ภาพรวมของระบบ 27 3.2.3 หนาจอแสดงขอมลในรปแบบ 3 มต 28 3.2.4 สวนกาหนดวนและเวลาของขอมลทแสดง 29 3.2.5 สวนควบคมการแสดงขอมลของ IP Address 29 3.2.6 สวนควบคมการแสดงขอมลของ Port 31 3.2.7 สวนกาหนดคาในการคนหาขอมล 36 3.2.8 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล 38 3.2.9 สวนกาหนดรายละเอยดของความสมพนธระหวางขอมล 39 3.2.10 สวนแสดงรายละเอยดของขอมล Header และ Signature 40 3.3 ตวอยางการวเคราะหลกษณะการโจมตและเหตการณผดปกตทเกดขนใน 43 เครอขายคอมพวเตอร 3.3.1 Port Scans 43 3.3.2 Denial of Service Attacks 44 3.3.3 ปรมาณของการตดตอสอสารในเครอขายทมากผดปกต 45 บทท 4 การประเมนประสทธผลของวธการทนาเสนอ 46 4.1 วธการประเมนประสทธผล 46 4.2 ผลทไดจากการประเมนประสทธผล 49 บทท 5 สรปผลการวจยและขอเสนอแนะ 53 5.1 สรปผลการวจย 53 5.2 ขอเสนอแนะ 54 บรรณานกรม 55 ประวตผเขยน 58
สารบญตาราง
ตารางท หนา 2.1 รายละเอยดโดยรวมของงานวจยทเกยวของ 23 4.1 ขอมลของกลมผประเมนประสทธผล 47 4.2 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 1 49 4.3 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 2 52
สารบญภาพ
ภาพท หนา 2.1 การแสดงผลในระดบ Galaxy View ของโปรแกรม NvisonIP 4 2.2 การแสดงผลในระดบ Small Multiple View ของโปรแกรม NvisonIP 5 2.3 การแสดงผลในระดบ Machine View ของโปรแกรม NvisonIP 6 2.4 แสดงความสมพนธในการแสดงขอมลทแตกตางกน 3 ระดบ 7 ของโปรแกรม NvisonIP 2.5 แสดงภาพของโปรแกรม TNV 8 2.6 การออกแบบสวนประกอบตางๆ ของโปรแกรม NetworkEye 10 2.7 การออกแบบในสวน Network Pixel Map และ Trust Levels 10 ของโปรแกรม NetworkEye 2.8 การออกแบบในสวน Communication Visualization 11 ของโปรแกรม NetworkEye 2.9 แสดงภาพของ Network View ทสรางตามแนวคดทไดออกแบบไว 11 2.10 การออกแบบในสวน Host View ของโปรแกรม NetworkEye 12 2.11 วธการแสดงขอมล IP Address ของโปรแกรม IDS RainStorm 13 2.12 โปรแกรม IDS RainStorm ในสวนของ Main View 14 2.13 โปรแกรม IDS RainStorm ในสวนของ Zoom View 14 2.14 การแสดงขอมลโดยใชลกษณะของดสกของโปรแกรม Tudumi 16 2.15 แนวคดการออกแบบ Network Access และ Log-in User ของ 16 โปรแกรม Tudumi 2.16 แสดงระดบชนซงแสดงกฎเกยวกบการเขาถง Hosts ของ 17 โปรแกรม Tudumi 2.17 แสดงตวอยางของการเลอกวตถของโปรแกรม Tudumi 17 2.18 แสดงตวอยางการควบคมระดบชนของโปรแกรม Tudumi 18 2.19 การออกแบบวธการแสดงขอมลของโปรแกรม InetVis 19 2.20 หนาจอแสดงขอมลของโปรแกรม InetVis 20 2.21 หนาจอควบคมของโปรแกรม InetVis 21 2.22 หนาจอตงคาการวาดกราฟของโปรแกรม InetVis 22
(12)
2.23 หนาจอตงคาการอางองของเฟรมของโปรแกรม InetVis 22 3.1 โครงสรางการทางานของระบบทนาเสนอในงานวจย 26 3.2 แนวคดในการออกแบบการแสดงขอมลในเครอขายของระบบทนาเสนอ 27 ในงานวจย 3.3 ภาพรวมและสวนประกอบตางๆ ของระบบทนาเสนอในงานวจย 28 3.4 หนาจอแสดงขอมลของเครอขายในรปแบบ 3 มต 29 3.5 สวนกาหนดวนและเวลาของขอมลทแสดง 29 3.6 แสดงตวอยางการเรยงลาดบ IP Address จานวน 80 IP ทแสดงบน Plate 30 3.7 สวนทใชในการกาหนด Page ในการแสดงขอมลของ IP Address 30 3.8 แสดง Middle Plate ในมมมองของ Source-Destination Port 31 3.9 สวนควบคมทใชกาหนดระดบชน (Layer) ในมมมองของ 32 Source-Destination Port 3.10 แสดงขอมลทมการใชงานใน Layer 1 ของ Plate 33 3.11 แสดงขอมลทมการใชงานใน Layer 2 ของ Plate 33 3.12 แสดงขอมลทมการใชงานใน Layer 3 ของ Plate 34 3.13 แสดงขอมลทมการใชงานใน Layer 4 ของ Plate 34 3.14 สวนควบคมทใชกาหนด Page ในมมมองของ Source Port 35 3.15 สวนควบคมทใชกาหนด Page ในมมมองของ Destination Port 35 3.16 แสดงตวอยางของการระบขอมลในการคนหา 36 3.17 แสดงผลทไดจากการการคนหา Source IP Address 202.0.0.0 ถง 36 204.0.0.0 3.18 แสดงตวอยางของการระบขอมลมากกวา 1 ขอมลในการคนหา 37 3.19 แสดงผลทไดจากการการคนหา Source IP Address 120.0.0.0 ถง 37 130.0.0.0 และ Source Port 80 ถง 90 3.20 แสดงตวอยางของการเลอกวตถเพอทาการคนหา 38 3.21 แสดงผลทไดจากการการคนหา Source IP Address 172.16.113.204 38 3.22 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล 39 3.23 สวนกาหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล 40 3.24 แสดงผลจากการกาหนดรายละเอยดของเสนทแสดงความสมพนธ 40 ระหวางขอมล 3.25 สวนแสดงรายละเอยดของ IP Header 41 3.26 สวนแสดงรายละเอยดของ TCP Header 42 3.27 สวนแสดงรายละเอยดของ UDP Header 42
(13)
3.28 สวนแสดงรายละเอยดของ ICMP Header 43 3.29 สวนแสดงรายละเอยดของ Signature 43 3.30 แสดงลกษณะของความผดปกตทเกดจาก Port Scans 44 3.31 แสดงลกษณะของความผดปกตทเกดจาก Denial of Service Attacks 45 3.32 แสดงลกษณะของความผดปกตทเกดจากปรมาณของการตดตอ 45 สอสารทมากผดปกต
บทท 1
บทน า
1.1 ความเปนมาของปญหา
ปญหาการบกรกทางเครอขายคอมพวเตอรในปจจบน มแนวโนมของความรนแรงและปรมาณของปญหาทเพมขนอยตลอดเวลา เหตการณตางๆ ทเกดขนในเครอขายคอมพวเตอรเปนสงทผดแลระบบตองใชความเชยวชาญ และประสบการณในการวเคราะหวามความผดปกตหรอมผบกรกหรอไม เนองจากขอมลทอยในเครอขายคอมพวเตอรมปรมาณมากและมความซบซอน อกทงการทผบกรกมวธการทหลากหลายในการโจมต ท าใหมวธจ านวนมากทใช เพอวเคราะหความผดปกตหรอผบกรก การ ออกแบบระบบทชวยผดแลระบบในการตรวจสอบถงความผดปกตจงมความจ าเปน
Network Intrusion Detection System (NIDS) เปนระบบทถกออกแบบ เพอชวยตรวจสอบเครอขายคอมพวเตอรจากการโจมต โดยจะวเคราะหขอมลในเครอขายหรอ Packet ทสงผานกนในเครอขายวาเปนการบกรกหรอไม โดยเปรยบเทยบกบกฎหรอรปแบบทไดก าหนดไวหรอจากสถตการโจมตทผานมา ขอมลทไดจะแสดงใหผดแลระบบ ทราบถงเหตการณและเวลาทเกดขนในเครอขาย เพอจะไดหยดความเสยหายไวไดทน
เทคนคการแสดงขอมลในปจจบน สวนใหญจะเปน แบบ Textual คอแสดงขอมลในรปแบบตวอกษร โดยจะเนนไปทการแสดงรายละเอยดของขอมล แตยงขาดการแสดงภาพรวมของขอมล การทขอมลมปรมาณมากท าใหยากแกผใชในการวเคราะหขอมลหรอความผดปกต จงไดมการพฒนาเทคนคในการแสดงขอมลใหดยงขน
Visualization คอเทคนคทใชในการน าขอมลทเปนนามธรรมมาแสดงใหเปนภาพ เพอเพมประสทธผลในการตดตอสอสาร หรอท าใหเขาใจขอมลไดงายขน เชน การใชส รปราง หรอสญลกษณ เทคนคทใชจะแตกตางกนขนกบชนดของขอมล และลกษณะการแสดงขอมล เปนตน
ในงานวจยนไดน าเสนอโปรแกรมตนแบบ ซงใชเทคนค Visualization ในการน าเสนอขอมลการสอสารในเครอขายคอมพวเตอรบนแผนกระดาน 3 แผน ทตงฉากกน ใน พนท 3 มต โดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม ในการแสดง ความสมพนธระหวางขอมลบนแผนกระดานแตละแผน และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร แนวคดนแตกตางจากแนวคดทใชในงานวจยอนในการแสดงใหผใชเหนถงภาพรวม
2 ของขอมล โดยการจดวางขอมลทแตกตางกนในพนทบนแผนกระดานทงสามซงชวยใหผใชวเคราะหขอมลไดงายขน และแสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผนโดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม
1.2 วตถประสงคงานวจย
งานวจยนมวตถประสงคเพอน าเสนอวธการแสดงขอมลโดยใชเทคนค Visualization 3มต เพอใหผผดแลระบบเครอขายสามารถทราบถงสภาวะการสอสาร และเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได
1.3 ขอบเขตงานวจย
น าเสนอวธการแสดงขอมลโดยใชเทคนค Visualization 3 มต เพอแสดงขอมลและความผดปกตทเกดขนภายในเครอขายคอมพวเตอร โดยงานวจยนมงเนนทวธการแสดงขอมล และการออกแบบสวนประสานกบผใช (User Interface) ในการควบคมการแสดงผลและการคนหาขอมล
1.4 วธการด าเนนงานวจย
1.4.1 ศกษาเอกสารและงานวจยทเกยวของ 1.4.2 ออกแบบโครงสรางและหลกการท างานของระบบ 1.4.3 พฒนาระบบตนแบบตามทไดออกแบบไว 1.4.4 ท าการประเมนประสทธผลของระบบ 1.4.5 สรปผลการวจยและขอเสนอแนะ
1.5 ประโยชนทคาดวาจะไดรบ
ชวยใหผดแลระบบเครอขายเขาใจสภาวะการสอสาร และตรวจจบเหตการณผดปกตทเกดขนในเครอขายคอมพวเตอรได
บทท 2
งานวจยทเกยวของ
2.1 งานวจยทเกยวของ
Visualization คอวธการทใชในการน าขอมลทเปนนามธรรมมาแสดงใหเปนภาพ เพอเพมประสทธผลในการตดตอสอสาร หรอท าใหเขาใจขอมลไดงายขน การใชเทคนค Visualization มหลายวธ ซง แตละวธเหมาะสมทจะใชในการแสดงขอมลทแตกตางกน การเลอกใชเทคนคใดนนขนกบองคประกอบหลายอยาง เชน ชนดของขอมลทจะน ามาแสดง วธทตองการแสดงขอมล เปนตน
ในปจจบนมงานวจยทน าเอาเทคนค Visualization มาใชโดยมจดประสงคเพอเพมประสทธผลในการแสดงขอมลการตดตอสอสารภายในเครอขายคอมพวเตอร และชวยในการวเคราะหความผดปกตทเกดขนในเครอขาย ในบทนเราจะแนะน างานวจย ทส าคญทไดน าเทคนคดงกลาวมาใช
2.1.1 NVisionIP โปรแกรม NVisionIP (Lakkaraju, Yurcik and Lee, 2004: 65-72; Bearavolu,
Lakkaraju, and Yurcik, 2005: 1-5) พฒนาขนโดยภาษา Java โปรแกรมถกออกแบบมาเพอ ชวยเหลอผดแลระบบเครอขายคอมพวเตอร ในการตรวจสอบสถานะของเครอขายทใช IP Address ใน Class B การออกแบบโครงสรางของระบบใช D2K Data Mining Software Package ในการวเคราะหขอมล และแสดงขอมลในลกษณะของ Drill-Down Levels ซงแบงเปน 3 ระดบ ไดแก
Galaxy View แสดงภาพรวมของเครอขายคอมพวเตอร ประกอบดวยแกน 2 แกน ไดแก Subnet และ Host ขอมลทแสดงจะใชสในการก าหนดปรมาณของขอมลในเครอขาย ดงแสดงในภาพท 2.1 ซงมรายละเอยดดงน
(1) Menu Bar (2) แสดงรายละเอยดตางๆ ของโปรแกรม (3) แสดงรายละเอยดตางๆ ทแสดงอยบน Grid (4) แสดงรายละเอยดของ Filters ทก าลงใชงานอย
4
(5) ปมควบคมการเปลยนแกนของ Grid และปมก าหนด Filters (6) แสดงสทก าหนดปรมาณของขอมลภายในเครอขาย (7) ปมก าหนดรายละเอยดของส (8) ก าหนดชวงเวลาของขอมลทจะแสดง (9) ปมส าหรบก าหนดมมมองของ View (10) สวนทใหผใชสามารถเพมบนทกหรอขอความ (11) แสดงรายละเอยดของขอมลทใชในโปรแกรม (12) แสดงเวลาของขอมลทแสดง (13) แกน XY Grid ทแสดงเครอขายใน Class B (14) แกนของ Subnet (15) แกนของ Hosts
ภาพท 2.1 การแสดงผลในระดบ Galaxy View ของโปรแกรม NvisonIP
แหลงทมา: Bearavolu and others, 2005: 2.
5
Small Multiple View แสดงขอมลจากเครองคอมพวเตอรทงหมดทอยภายในเครอขาย โดยใชกราฟ 2 กราฟในการแสดงปรมาณของขอมลของ Well-Known Port และ Port อนๆ และใชสในการก าหนดหมายเลขของ Port ดงแสดงในภาพท 2.2 ซงมรายละเอยดดงน
(1) แสดงชวงของ IP Address ทเลอก (2) ปมก าหนดมาตราสวนของกราฟ (3) ปมก าหนดจ านวนของกราฟ (4) แสดงสทก าหนด Port หรอ Protocol (5) ปมก าหนดรายละเอยดของส (6) ปม Reset ทใชในคนการตงคาตางๆ (7) ปมแสดง Machine View (8) ปมคนคาการเลอกกราฟ (9) แสดงรายละเอยดของ IP Address หมายเลขหนง (10) แสดง IP Address ทไมไดมการใชงานใดๆ (11) กราฟดานลางแสดง Port อนๆ ทมการใชงาน (12) กราฟดานบนแสดง Port พเศษทมการใชงาน
ภาพท 2.2 การแสดงผลในระดบ Small Multiple View ของโปรแกรม NvisonIP
แหลงทมา: Bearavolu and others, 2005: 3.
6
Machine View แสดงขอมลจากเครองคอมพวเตอรหนงเครองภายในเครอขาย โดยใชกราฟในการแสดงปรมาณของขอมลใน Protocol และ Port ทงหมดทใชโดยเครองคอมพวเตอรหนงเครอง ดงแสดงในภาพท 2.3 ซงมรายละเอยดดงน
(1) แสดง IP Address ทเลอก (2) Tab ทใชแสดงรายละเอยดตางๆ (3) แสดงปรมาณขอมลทใชใน Port พเศษของ IP ทเลอก (4) แสดงปรมาณขอมลทใชใน Port อนๆของ IP ทเลอก (5) กราฟแสดง Source Port ทมการใชงาน (6) กราฟแสดง Destination Port ทมการใชงาน
ภาพท 2.3 การแสดงผลในระดบ Machine View ของโปรแกรม NvisonIP
แหลงทมา: Bearavolu and others, 2005: 4.
7
ประโยชนของโปรแกรมนคอชวยใหผใชสามารถวเคราะหรปแบบการโจมตทเกดขน และเขาใจถงการเปลยนแปลงทเกดขนในเครอขายคอมพวเตอร โดย ใชวธการแสดงขอมลทมความละเอยดแตกตางกน 3 ระดบคอ Galaxy View, Small Multiple View และ Machine View ดงแสดงในภาพท 2.4 ซงผใช สามารถเลอกระดบขอมลทตองการและแสดงใหเหนถงความสมพนธของขอมลในระดบทตางกนได
ภาพท 2.4 แสดงความสมพนธในการแสดงขอมลทแตกตางกน 3 ระดบ ของโปรแกรม NvisonIP
แหลงทมา: Lakkaraju and others, 2004: 70.
2.1.2 Time-Based Network Traffic Visualizer (TNV) โปรแกรม TNV (Goodall, Lutters, Rheingans and Komlodi, 2005: 47-54, 2006:
72-80) พฒนาขนโดยใชภาษา Java และใช Jpcap Library ในการดกจบ Packet ในเครอขาย โปรแกรมนถกออกแบบมาเพอวเคราะหการบกรก รปแบบการโจมตของผบกรก และส ารวจขอมลการสอสารในเครอขาย ซงชวยใหผดแลระบบสามารถเรยนรระบบเครอขายในโครงสรางระดบใหญและระดบยอย
8
แนวคดในการออกแบบโปรแกรม เพอสนบสนนผดแลระบบในการดแลระบบเครอขายและการวเคราะหขอมลในเครอขายทซบซอน ชวยใหเขาใจความสมพนธของเหตการณระหวาง Host และเขาใจถงการโจมตและความผดปกตทเกดขนได โดยมเวลาเปนขอมลส าคญในการวเคราะหซงจะบอกชวงทเกดเหตการณ และชวงทเกดความผดปกตได การออกแบบสวนประสานกบผใชจะเปนในลกษณะของ Matrix โดย Column จะแสดงเวลา และ Row จะแสดงถง Host โดยม Network Link แสดงความสมพนธระหวาง Host และม Port Activity View แสดงภาพรวมของ Port ทถกใชงานโดย Host ทเลอก
ภาพท 2.5 แสดงภาพของโปรแกรม TNV
แหลงทมา: Goodall and others, 2006: 75.
สวนตางๆ ของโปรแกรม TNV ดงแสดงในภาพท 2.5 ประกอบไปดวย (1) Main Visualization Matrix เปนสวนแสดงหนาจอหลกของโปรแกรม แกน X แสดง
ถง Host IP Address แกน Y แสดงถง Network Packet Timestamps และใชเสน (Network Link) ในการแสดงความสมพนธระหวาง Host
9
(2) แสดงภาพรวมของการเปลยนแปลงของขอมล (3) สแสดงจ านวนของ Packet เพอใหสามารถสงเกตไดงาย และใชในการก าหนด
ประเภทของ Protocol (4) ตารางแสดง Packet ทงหมดของ Host ทเลอก (5) แสดงรายละเอยดของ Packet ทเลอกในตารางหมายเลข 4 (6) Emphasis Filtering Panel ปมควบคมการก าหนด Filter ในการแสดงขอมล (7) Port Activity View แสดงรายละเอยด Port ทก าลงใชงานของ Host ทเลอก (8) ตวอยาง Host ทผใชสามารถเลอกได ประโยชนของโปรแกรม TNV คอ การแสดงภาพรวมของขอมลทงหมดในหนาจอหลก
โดยใช Matrix-Based Visualization ในการวเคราะหขอมลและกจกรรมทเกดขนในเครอขาย ในสวนของ Port Activity View จะแสดงภาพรวมของ Port ทถกใชงานโดย Host ทเลอก และผใชสามารถเขาถงรายละเอยดของขอมลในเครอขาย ซงจะชวยใหผใชเหนทงมมมองขนาดใหญและมมมองขนาดยอยได
2.1.3 NetworkEye โปรแกรม NetworkEye (Fink, Ball, North, Jawalkar, and Correa, 2004: 1-15)
ถกออกแบบมาเพอใหผดแลระบบมองเหนถงการตดตอสอสารทเกดขนภายในเครอขาย แนวคดทใชในการออกแบบคอ End-to-End Visualization ซงเนนไปทการตดตอระหวาง End-Point รวมถง Application, Process, Socket และ Port ทตอบสนองตอการตดตอสอสารทงหมดในเครอขาย ซงจะชวยใหผใชมองเหนภาพรวม และสามารถเขาถงรายละเอยดยอยของเครอขายได โปรแกรมนสามารถแบงสวนการท างานไดดงในภาพท 2.6 ซงประกอบดวย
(1) Network View สวนนจะท าการแทนแตละ IP Address ดวย Pixels ซงเรยกวา Network Pixel Map โดยโปรแกรม Network Eye จะแสดง IP Address ทไมซ ากนทงหมดในรปของ Pixels ซงสามารถแสดงไดพรอมกนถง 100,000 IP Address จากนนจงก าหนดสและความสวางของ Pixels ตามประเภทและระดบของกจกรรม ดงแสดงในภาพท 2.7 ซงแบงเปน 5 ระดบไดแก Home, Trusted, Safe, Untrusted และ Danger โดยใหต าแหนงทใกลศนยกลางทสดเปนต าแหนงของ Host ทเชอถอไดมากทสด ระดบความนาเชอถออาจก าหนดโดยให IP Address ทอยภายในองคกรมความนาเชอถอทสด ระดบทอนตรายอาจเปน IP Address ทอยใน Blacklists หรออยไกลจากองคกร ส าหรบเสนทแสดงการตดตอกนระหวาง IP Address จะเรยกวา Communication Visualization ดงแสดงในภาพท 2.8 โดยสของเสนแสดงถงประเภทของการตดตอสอสาร ความหนาบางของเสนแสดงปรมาณของการตดตอสอสาร
10
ภาพท 2.6 การออกแบบสวนประกอบตางๆ ของโปรแกรม NetworkEye
แหลงทมา: Fink and others, 2004: 7.
ภาพท 2.7 การออกแบบในสวน Network Pixel Map และ Trust Levels ของโปรแกรม NetworkEye
แหลงทมา: Fink and others, 2004: 8.
11
ภาพท 2.8 การออกแบบในสวน Communication Visualization ของโปรแกรม NetworkEye
แหลงทมา: Fink and others, 2004: 8.
ภาพท 2.9 แสดงภาพของ Network View ทสรางตามแนวคดทไดออกแบบไว
แหลงทมา: Fink and others, 2004: 8.
12
(2), (3) Host View แสดงความสมพนธระหวาง Applications, Processes, Sockets, Ports และ Remote Hosts โดยท าการแทน Pixel ซงแสดง Port ในการตดตอสอสาร เรยกวา Port Pixel Map ดงแสดงในภาพท 2.10 โดยผใชสามารถเลอกการตดตอสอสารทสนใจและคนหาเฉพาะ Hosts, Ports, Sockets, Processes และ Applications ทตองการ โดยทหมายเลข (2) จะเปนสวนของ Client Host View และหมายเลข (3) เปนสวนของ Server Host View
ภาพท 2.10 การออกแบบในสวน Host View ของโปรแกรม NetworkEye
แหลงทมา: Fink and others, 2004: 9.
(4) End-to-End View คอการน าคณลกษณะของ Network View และ Host View มารวมกนเพอใหไดภาพของ End-to-End ซงจะชวยใหผดแลระบบมงเนนไปทการตดตอสอสารในจดทสนใจและแสดงถง Applications, Processes, Sockets และ Ports ทใชในการตดตอสอสารทงหมด
ประโยชนของโปรแกรม NetworkEye คอ แสดงขอมลและเหตการณผดปกตภายในเครอขายคอมพวเตอร เพอเพมประสทธผลของระบบในการวเคราะหความผดปกต และลดเวลาในการตรวจสอบเครอขายคอมพวเตอร
13
2.1.4 IDS RainStorm IDS RainStorm (Abdullah, Lee, Conti, Copeland and Stasko, 2005: 1-10)
ถกออกแบบมาเพอแสดง IP Address ใน Class B โปรแกรมนจะแบงมมมองออกเปน 2 สวนไดแก Main View ส าหรบแสดงภาพรวมทงหมดของระบบและ Zoom View ส าหรบแสดงขอมลทละเอยดขนเมอผใชเลอกชวงของ IP Address ทตองการ รายละเอยดในแตละสวนเปนดงน
Main View หนาจอหลกส าหรบแสดงภาพรวมทงหมดของระบบ โดยใชเทคนคการแสดงขอมลในลกษณะจากบนลงลาง ( Top-to-Bottom) ดงแสดงในภาพท 2.11 แตละแกนในแนวตงแสดง IP Address ในล าดบทตางกน แกนในแนวนอนแสดงชวงเวลาภายใน 24 ชวโมง ภาพท 2.12 จะแสดงโปรแกรมในสวนของ Main View ทสรางจากแนวคดทไดออกแบบไว แตละ Pixel ในแกน X แสดงขอมลในชวง 20 นาท และแตละชวง IP Address ในแกน Y จะแสดงไดประมาณ 20 IP Address เมอผใชเลอนเมาสเลอกพนทใน Main View จะเกดเปนกลองสแดงในชวง IP Address ทเลอกตรงต าแหนงนน IP Address ทเลอกจะแสดงทดานบนของกลองสแดง เมอผใชคลกบนภาพจะปรากฏหนาจอท 2 ขนมาซงจะเปนภาพขยายของกลองสแดงทไดเลอกไว ซงหนาจอดงกลาวนกคอสวนของ Zoom View
ภาพท 2.11 วธการแสดงขอมล IP Address ของโปรแกรม IDS RainStorm
แหลงทมา: Abdullah and others, 2005: 2.
14
ภาพท 2.12 โปรแกรม IDS RainStorm ในสวนของ Main View
แหลงทมา: Abdullah and others, 2005: 4.
ภาพท 2.13 โปรแกรม IDS RainStorm ในสวนของ Zoom View
แหลงทมา: Abdullah and others, 2005: 6.
15
Zoom View เปนสวนทแสดงรายละเอยดจากการเลอกของผใชในสวนของ Main View ดงแสดงในภาพท 2.13 ซงแสดง IP Address ทมาจากภายในทดานซายของแกน และแสดง IP Address ทมาจากภายนอกทดานขวาของแกน จดสแตละจดคอ Alarm Severity (สญญาณเตอนถงความผดปกต) สแดงหมายถงมความผดปกตทมความรนแรงสง สเหลองหมายถงมความรนแรงปานกลาง สเขยวหมายถงมความรนแรงต า ซงระดบสนผใชสามารถก าหนดเองได เสนแสดงถงการตดตอระหวาง IP Address ภายนอกและ IP Address ภายใน เมอผใชวางเคอรเซอรของเมาสไวเหนอไอคอนหรอขอความ ขอมลทเปนค าอธบายจะถกขยายออกมาเรยกวา Glossing
IDS RainStorm มประโยชนส าหรบเครอขายขนาดใหญ ชวยในการวเคราะหแบบเรยลไทม แสดง IP Address ทงภายในและภายนอก และแสดงสญญาณเตอนถงความผดปกตทเกดขน มความสามารถในการกรองขอมลทเรยกวา Filtering ทงใน Main View และ Zoom View ผใชสามารถเลอกแสดงเฉพาะสญญาณเตอนทเปนสแดง เหลอง หรอเขยวได ซงชวยใหผใชวเคราะหสญญาณเตอนทเกดขนในเวลาเดยวกนได
2.1.5 Tudumi Tudumi (Takada and Koike, 2002: 560-566) ถกออกแบบมาใหเปน Log
Visualization System ประกอบดวยฟงกชนทชวยผดแลระบบในการตรวจสอบผใชและความผดปกตจากการบกรกในเครอขายคอมพวเตอรขนาดใหญ การแสดงขอมลของโปรแกรมจะแสดงในลกษณะของดสก ( Disks) ซงแบงเปนระดบชนโดยแบงเปน 2 กลมคอ ดสกชนลางสดแสดงขอมลของผใช และชนอนๆ ทอยเหนอขนไปแสดงการเขาถงขอมลในเครอขายและขอมลการใชงานระบบเครอขายของผใชดงแสดงในภาพท 2.14
ภาพท 2.15 แสดงโปรแกรม Tudumi ในการเขาถง Hosts และการเขาสระบบของผใช การเขาถง Hosts ( Access Hosts) จะแสดงเปนทรงกลมทวงดานนอกของดสก การเขาสระบบของผใช ( Log-in Users) จะแสดงเปนสเหลยมลกบาศกกบภาพทวงดานในของดสก เสนทโยงระหวางทรงกลมและลกบาศกแสดงถงความสมพนธระหวางการเขาถง Hosts และการเขาสระบบของผใช รปแบบทตางกนของเสนแสดงถงวธการเขาถงขอมล เสนประทหยาบแสดงถง Terminal Use คอผใชทเขาสระบบและมการใชค าสงบางอยาง เสนประทละเอยดแสดงถงมการถายโอนไฟล และเสนประหนาแสดงถงการใชงานในทงสองกรณ
โดยทวไปผดแลระบบจะมเกณฑในการตดสนวา แตละเหตการณเปนพฤตกรรมปกตหรอไม โปรแกรม Tudumi สามารถแสดงกฎเหลานนเปนภาพแทนได คอกฎในการเขาถง Hosts และกฎในการเขาสระบบของผใช โดยจะแทนกฎเกยวกบการเขาถง Hosts ในลกษณะชนของดสกเรยกวา Layers ผดแลระบบสามารถก าหนดกฎส าหรบการเขาถง Hosts ได โดเมนทมาจากตางประเทศจะปรากฏทชนบนสดของดสกดงแสดงในภาพท 2.16
16
ภาพท 2.14 การแสดงขอมลโดยใชลกษณะของดสกของโปรแกรม Tudumi
แหลงทมา: Takada and Koike, 2002: 562.
ภาพท 2.15 แนวคดการออกแบบ Network Access และ Log-in User ของโปรแกรม Tudumi
แหลงทมา: Takada and Koike, 2002: 562.
17
ภาพท 2.16 แสดงระดบชนซงแสดงกฎเกยวกบการเขาถง Hosts ของโปรแกรม Tudumi
แหลงทมา: Takada and Koike, 2002: 563.
ภาพท 2.17 แสดงตวอยางของการเลอกวตถของโปรแกรม Tudumi
แหลงทมา: Takada and Koike, 2002: 565.
18
รปภาพทแสดงอยบนลกบาศกแตละลกจะแสดงภาพทเปนตวแทนของผใชแตละคนซงใชในการแบงกลมของผใช ถาผใชคลกทลกบาศกจะสามารถแสดงขอมลเฉพาะทผใชเลอกและขอมลทเกยวของดงแสดงในภาพท 2.17
ภาพท 2.18 แสดงตวอยางการควบคมระดบชนของโปรแกรม Tudumi
แหลงทมา: Takada and Koike, 2002: 565.
โปรแกรมสามารถแสดงเฉพาะสวนหนงของชนทผใชเลอกดงแสดงในภาพท 2.18 เพอการควบคมจ านวนขอมลทแสดง และเพอลดขอบเขตการมองของผใชทเกดจากการแสดงจ านวนของขอมลมากเกนไป
ประโยชนของโปรแกรม Tudumi ชวยใหผดแลระบบตดตามและตรวจสอบ Log และท าใหการตรวจหาเหตการณทมความผดปกตจากการบกรกในเครอขายคอมพวเตอรไดงายขน
2.1.6 InetVis InetVis (Riel, 2006: 1) เปนโปรแกรมซงใชเทคนค 3-D Scatter-Plot Visualization
ส าหรบแสดงภาพในเครอขายคอมพวเตอร เพอชวยในการสงเกตกจกรรมตางๆ และรปแบบของการตดตอสอสารทผดปกตในเครอขายขนาดใหญ แนวคดในการออกแบบโปรแกรมนมาจาก Spinning Cube of Potential Doom โดย Stephen Lau โดยก าหนดให Destination Address (Home Network) แสดงในแกน X ของกราฟซงเปนสน าเงน Source Address (External
19 Internet Range) แสดงในแกน Z ของกราฟซงเปนสแดง Ports (TCP และ UDP) แสดงในแกน Y ของกราฟซงเปนสเขยว และ ICMP จะแสดงอยดานลางของ TCP/UDP โดยเปนแผนสเทาหรอขาว ดงแสดงในภาพท 2.19
ภาพท 2.19 การออกแบบวธการแสดงขอมลของโปรแกรม InetVis
แหลงทมา: Riel, 2006: 1.
สวนประสานกบผใช (User Interface) จะแบงออกเปนสหนาจอการท างานไดแก หนาจอแสดงขอมล (Dedicated Display Panel) หนาจอควบคมหลก (Main Control Panel), หนาจอตงคาการวาดกราฟ (Plotter Settings) และ หนาจอตงคาการอางองของเฟรม (Reference Frame Settings)
หนาจอแสดงขอมล ( Display Pane) แสดงในภาพท 2.20 สามารถควบคมมมมองของขอมลดวยเมาส เมอกดเมาสปมซายจะสามารถหมนมมมองรอบวตถ กดเมาสปมขวาจะสามารถเลอนแกนไปตามแนว X-Y ลอเลอนทปมกลางจะเลอนแกนไปตามแนว Z และเมอกดเมาสปมกลางจะสามารถยอ ขยาย มมมองได
20
ภาพท 2.20 หนาจอแสดงขอมลของโปรแกรม InetVis
แหลงทมา: Riel, 2006: 1.
หนาจอควบคม (Control Panel) แสดงในภาพท 2.21 ท าหนาทควบคมการแสดงขอมลประกอบดวย
(1) เมนหลก (Main Menu) ส าหรบค าสงตางๆ เชน เปดไฟล ก าหนดโหมดทจะแสดง (2) ปมควบคมต าแหนงทจะแสดงเหตการณซ า (Replay Position Controls) (3) ปมควบคมความเรวของเหตการณทจะแสดงซ า (Replay Speed Controls) (4) ปมควบคมการบนทกเหตการณ (Recording Controls) (5) ปมแสดงเหตการณทเคยเกดขน (Historic View) (6) ตวกรองการแสดงผล (Filter) (7) รายงานจ านวนของ Packets ปจจบนทอยใน Buffer
21
ภาพท 2.21 หนาจอควบคมของโปรแกรม InetVis
แหลงทมา: Riel, 2006: 1.
หนาจอตงคาการวาดกราฟ ( Plotter Settings) แสดงในภาพท 2.22 ก าหนดคาและควบคมการวาดกราฟทแสดงขอมลประกอบดวย
(1) สวนก าหนดคา Destination Home Network Range (2) สวนก าหนดคา Source Internet Network Range (3) สวนก าหนดคา Port Range (4) สวนก าหนดคาสทใช ก าหนดสของพนหลง ก าหนดความโปรงแสง (5) สวนก าหนดคาขนาด ความเรยบ ความนน ของจดทใชวาดกราฟ หนาจอตงคาการอางองของเฟรม ( Reference Frame Settings) แสดงในภาพท 2.23
ประกอบดวย (1) สวนก าหนดโหมดการแสดงภาพ (Projection Mode) (2) สวนก าหนดเฟรมทอางอง (Reference Frame) (3) สวนก าหนดความโปรงแสงของเสนตาราง (Transparent Grid) (4) สวนก าหนดการแบงความถของเสนตาราง (Grid Partitions) (5) สวนก าหนดการแสดงแถบตวอกษร (Text Labels)
22
ภาพท 2.22 หนาจอตงคาการวาดกราฟของโปรแกรม InetVis
แหลงทมา: Riel, 2006: 1.
ภาพท 2.23 หนาจอตงคาการอางองของเฟรมของโปรแกรม InetVis
แหลงทมา: Riel, 2006: 1.
23
ประโยชนของโปรแกรม InetVis คอชวยในการสงเกตกจกรรมตางๆ และรปแบบของการตดตอสอสารทผดปกตในเครอขายขนาดใหญ ชวยในการส ารวจเครอขายคอมพวเตอรและชวยแสดงขอมลใหเขาใจไดดยงขน
2.2 ผลสรปทไดจากการศกษางานวจยทเกยวของ
จากงานวจยตางๆ ทไดกลาวมาจะเหนไดวา แตละงานวจย ใชเทคนคในการแสดงขอมลภายในเครอขายคอมพวเตอร แหลงขอมลทใช ขอมลทน ามาแสดง และฟงกชนแตกตางกนไป สามารถสรปไดดงตารางท 2.1 ซง ในวทยานพนธฉบบนไดน าเทคนคตางๆ ทไดศกษาจากงานวจยขางตนมาเปนแนวทางและประยกตใช โดยเลอกคณลกษณะทเหมาะสมมาใชในงานวจย ซงพจารณาจากวตถประสงคของงานวจยเปนหลก โดยมรายละเอยดคอ เทคนคทใชแสดงขอมลจะแสดงขอมลบนแผนกระดาน (Plate) 3 แผน ทตงฉากกน ในพนท 3 มต และ แสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผน โดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร แหลงขอมลทใชจะน ามาจากผลของการวเคราะหท Snort ตรวจจบได (Snort Log) ขอมลทจะแสดงประกอบดวย IP Address, Port, Timestamp, Signature และ Header ซงแนวคดในการออกแบบและหลกการท างานของระบบจะกลาวถงในบทถดไป
ตารางท 2.1 รายละเอยดโดยรวมของงานวจยทเกยวของ
งานวจย เทคนคทใชแสดง
ขอมล แหลงขอมล
ทใช ขอมลทแสดง ฟงกชนทม
NvisonIP XY Grid, Drill-Down Levels
NetFlow IP Address, Port, Protocol
Color Mapping, Zooming, Frame Animation, Graph
TNV Matrix-Based NetFlow IP Address, Port, Protocol, Timestamp
Filtering, Zooming, Color Mapping, Network Links
NetworkEye End-to-End NetFlow IP Address, Port, Protocol, Files in Use
Pixel Map, Trust Levels, Network Links, Color Mapping
IDS RainStorm
Parallel Coordinate Plot
Snort Log IP Address, Alarm, Time stamp
Zooming, Filtering, Color Mapping
24 ตารางท 2.1 (ตอ)
งานวจย เทคนคทใชแสดง
ขอมล แหลงขอมล
ทใช ขอมลทแสดง ฟงกชนทม
Tudumi Disks Log-Files IP Address, Network Access, Log-in User
Filtering, Network Links, Color Mapping
InetVis 3D-Scatter Plot NetFlow IP Address, Port
Filtering, Color Mapping
บทท 3
การออกแบบและหลกการท างานของระบบ
3.1 โครงสรางการท างานของระบบ
โครงสรางการท างานของระบบสามารถแบงการท างานออกเปน 3 สวนไดดงน
3.1.1 ระบบตรวจจบการบกรกในระดบเครอขายคอมพวเตอร Network Intrusion Detection System (NIDS) คอระบบตรวจจบการบกรกในระดบ
เครอขายคอมพวเตอร มหนาทวเคราะหขอมลตางๆ ทเกดขนในเครอขายคอมพวเตอรวาเปนการบกรกหรอไม โดยการพจารณาจากขอก าหนดและกฎทไดระบไว หรอจากการเกบสถตของการบกรกทเกดขนในระบบ ในงานวจยนไดน าเอา Snort ซงเปนโปรแกรมส าหรบตรวจจบการบกรกทางเครอขายมาใชในการวเคราะหขอมลในเครอขายคอมพวเตอร เพอหาถงความพยายามในการบกรกหรอความผดปกตทเกดขนจากการโจมตในระบบเครอขาย โปรแกรม Snort มการท างานหลกอย 3 การท างานคอ 1 ) Packet Sniffer ท าหนาทในการตรวจจบ Packet ในเครอขายคอมพวเตอร 2 ) Packet Logger ท าหนาทบนทกขอมลตางๆ ซงตรวจจบไดจากเครอขายคอมพวเตอร 3 ) NIDS ท าหนาทวเคราะหการบกรกหรอความผดปกตทเกดขนในเครอขายคอมพวเตอร ในงานวจยนไดใชการท างานในสวนของ NIDS ของ Snort มาชวยในการวเคราะหการบกรก ขอมลทวเคราะหหรอตรวจจบไดจาก Snort (Snort Log) จะท าการเกบไวในระบบฐานขอมล และแสดงเปนภาพในระบบทพฒนาขนตอไป
3.1.2 ระบบฐานขอมล ระบบฐานขอมลท าหนาทในการเกบ Alert Data (ขอมลตางๆ ทวเคราะหหรอตรวจจบได
จาก Snort) ในงานวจยนไดใช MySQL เปนฐานขอมล ขอมลทเกบไวจะใชในการวเคราะหและน าขอมลมาแสดงในระบบ ขอมลทมการจดเกบประกอบดวย IP Address, Port, IP Header, TCP Header, UDP Header, ICMP Header, Data Payload, Signature (หมายเลขท Snort ใชในการระบลกษณะของความผดปกตในเครอขายทตรวจจบได) และ Timestamp
26
3.1.3 ระบบการสรางภาพนามธรรม ท าหนาทในการแสดงขอมลทน ามาจากฐานขอมลตามเงอนไขทผใชก าหนดในรปแบบ
สามมต โดยใชหลกการของ Visualization ซงเปนการใชเสน รปราง และส เพอแทนความหมายของขอมล
ภาพท 3.1 โครงสรางการท างานของระบบทน าเสนอในงานวจย
3.2 การออกแบบระบบ
การออกแบบหนาจอการใชงานของระบบ จะยดหลกของความงายในการใชงานของผใช ความสมพนธของขอมลทน ามาแสดง การใหอสระแกผใชในการก าหนดขอมลทจะน ามาแสดง และการแสดงขอมลทไดในรปแบบ 3 มต การอธบายสวนประกอบตางๆ ของระบบจะเรมจากการอธบายภาพโดยรวมของระบบ และรายละเอยดของระบบในแตละสวน
3.2.1 แนวคดในการออกแบบระบบ ขอมลการสอสารในเครอขายจะถกแสดงบนแผนกระดาน 3 แผนทตงฉากกนในพนท 3
มต โดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสามในการแสดงความสมพนธระหวางขอมล และใชสของเสนในการแสดงปรมาณของการตดตอสอสารในเครอขาย แนวคดในการออกแบบการแสดงขอมลในเครอขายของระบบทน าเสนอในงานวจยแสดงดงรป 3. 2 ซงประกอบดวยสวนตางๆ ดงน
27
ภาพท 3.2 แนวคดในการออกแบบการแสดงขอมลในเครอขายของระบบทน าเสนอในงานวจย
(1) Front Plate เปนพนทส าหรบวางวตถทแสดงถง Source IP Address (2) Middle Plate เปนพนทส าหรบวางวตถทแสดงถง Port (3) Back Plate เปนพนทส าหรบวางวตถทแสดงถง Destination IP Address (4) Object แสดงถงวตถทวางอยบน Plate ซงผใชสามารถคลกเลอกวตถได (5) Line แสดงถงเสนซงใชแสดงความสมพนธระหวางวตถทอยบน Plate ทงสาม แนวคดในการออกแบบการแสดงขอมลบนแผนกระดานทงสาม แบงพนทในการแสดง
ขอมลออกเปนสามสวน แตละสวนใชแสดงขอมลทแตกตางกน การใชเสนสในการแสดงความสมพนธของขอมล สามารถชวยใหผใชมองเหนภาพรวมของการตดตอสอสารในเครอขาย และท าการคนหาขอมลทตองการไดงายขน
3.2.2 ภาพรวมของระบบ ภาพรวมของระบบจะประกอบดวยหนาจอหลายสวนทมวตถประสงคในการใชงานท
แตกตางกน แตมความสมพนธกนในดานขอมล ซงแสดงดงภาพท 3. 3 โดยสามารถแบงสวนประกอบหลกของระบบไดดงน
3.2.2.1 หนาจอแสดงขอมลในรปแบบ 3 มต (หมายเลข 1) 3.2.2.2 สวนก าหนดวนและเวลาของขอมลทแสดง (หมายเลข 2) 3.2.2.3 สวนควบคมการแสดงขอมลของ IP Address (หมายเลข 3) 3.2.2.4 สวนควบคมการแสดงขอมลของ Port (หมายเลข 4) 3.2.2.5 สวนก าหนดคาในการคนหาขอมล (หมายเลข 5) 3.2.2.6 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล (หมายเลข 6) 3.2.2.7 สวนก าหนดรายละเอยดของความสมพนธระหวางขอมล (หมายเลข 7)
28
3.2.2.8 สวนแสดงรายละเอยดของขอมล Header และ Signature (หมายเลข 8)
ภาพท 3.3 ภาพรวมและสวนประกอบตางๆ ของระบบทน าเสนอในงานวจย 3.2.3 หนาจอแสดงขอมลในรปแบบ 3 มต หนาจอแสดงขอมลในรปแบบ 3 มต มแนวคดในการออกแบบโดยขอมลการสอสารใน
เครอขายจะถกแสดงบนแผนกระดาน 3 แผนทตงฉากกนในพนท 3 มต และแสดงความสมพนธระหวางขอมลบนแผนกระดานโดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม ใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขาย ผใชงานสามารถหมนมมมองในการแสดงขอมลโดยการคลกและเลอนเมาสปมซาย เมอผใชคลกและเลอนเมาสปมขวาจะสามารถเลอนมมมองในการแสดงขอมล และเมอผใชเลอนลกเลอนทกลางเมาสจะสามารถยอขยายมมมองของวตถได หนาจอแสดงขอมลในเครอขายในรปแบบ 3 มตไดพฒนาขนตามแนวคดทไดออกแบบไวแสดงไดดงภาพท 3.4
29
ภาพท 3.4 หนาจอแสดงขอมลของเครอขายในรปแบบ 3 มต
3.2.4 สวนก าหนดวนและเวลาของขอมลทแสดง ผใชสามารถก าหนดวนและเวลาของเหตการณการสอสารในเครอขายทตองการแสดง
ขอมล หรอสามารถก าหนดชวงเวลาทตองการแสดงขอมลได ดงภาพท 3.5
ภาพท 3.5 สวนก าหนดวนและเวลาของขอมลทแสดง
3.2.5 สวนควบคมการแสดงขอมลของ IP Address สวนควบคมการแสดงขอมลของ IP Address ประกอบดวย Source IP Address และ
Destination IP Address ซงแสดงอยบน Front Plate และ Back Plate ตามล าดบ โดยใชวตถรปลกบาศก 1 ลกแทน IP Address 1 IP การจดเรยงวตถจะเรยงตามหมายเลข IP Address จากนอยไปมาก โดยเรมจากมมบนดานซายของ Plate ไปจนหมดแถวหนงแลวเรมตวตอไปใหมจากดานซายของแถวท 2 เรยงกนไปจนถงตวสดทายคอมมลางขวาของ Plate ตามภาพท 3.6
30
ภาพท 3.6 แสดงตวอยางการเรยงล าดบ IP Address จ านวน 80 IP ทแสดงบน Plate
ภาพท 3.7 สวนทใชในการก าหนด Page ในการแสดงขอมลของ IP Address
ใน Plate 1 Plate จะก าหนดใหมขนาด 30 x30 ท าใหสามารถรองรบขอมลไดสงสด 900 IP Address ในแตละ Plate ถาม IP Address มากกวา 900 IP จะก าหนดใหแสดงในหนาท 2 ซงถกก าหนดโดยหมายเลขทเรยกวา Page เชน ขอมลของ IP Address 2000 IP จะใช Page ในการแสดงขอมลทงหมด 3 Page โดยสวนทใชในการก าหนด Page ในการแสดงขอมลแสดงดงภาพท 3.7 เหตผลทตองก าหนดจ านวนของ IP Address ทจะแสดงตอ Plate หนงๆ นนเพราะการแสดง IP Address ทงหมดในคราวเดยวจะท าใหมมมองมขนาดใหญเกนไป และการแสดงความสมพนธของขอมลจะซบซอนยากทผใชจะเขาใจเนองจากขอมลมปรมาณมาก
31
3.2.6 สวนควบคมการแสดงขอมลของ Port สวนควบคมการแสดงขอมลของ Port ใน Middle Plate ซงผใชสามารถก าหนดมมมอง
ของ Port ไดสามมมมอง คอ 3.2.6.1 มมมองของ Source-Destination Port มมมองนจะแสดงทง Source Port และ Destination Port รวมกนเพอใหเหน
ภาพรวมของ Port ทงหมด และงายตอการวเคราะหขอมลของ Port ทมการใชงาน โดยก าหนดให Plate มขนาด 32x32 ชอง แกน X แทน Source Port และแกน Y แทน Destination Port คาของ Source Port 0 และ Destination Port 0 อยทต าแหนงมมบนดานซายของ Plate ดงแสดงในภาพท 3. 8 Port ทมการใชงานจะแสดงดวยวตถรปทรงสเหลยม เชนเดยวกบ IP Address
Port จะมคาสงสดได 65536 คา เมอน ามาแสดงบน Plate ทม 32 ชองจะท าใหแตละชองจะมขอมลได 2048 Port ถา Port ทมการใชงานแสดงอยในชองหนง จะยงไมสามารถรไดวา Port ทใชงานมคาอะไรเพราะมคาทเปนไปได 2048 คา การทจะรไดวาขอมลนนคอ Port อะไรกตอเมอก าหนด Scale ให 1 ชองแทน 1 Port แสดงวาจะตองม Plate ขนาด 65536x65536 ชอง ซงเปนไปไมไดทจะท าเชนนน การแกปญหานท าไดโดยก าหนด Plate ใหแบงเปนระดบชนเรยกวา Layer ดงแสดงในภาพท 3. 9 ซงผใชสามารถเลอก Layer ทตองการแสดงได โดยสามารถแบง Layer ไดเปน 4 Layer ดงน
ภาพท 3.8 แสดง Middle Plate ในมมมองของ Source-Destination Port
32
ภาพท 3.9 สวนควบคมทใชก าหนดระดบชน (Layer) ในมมมองของ Source-Destination Port
1) Layer 1 Plate ในระดบนจะมขนาด 32x32 ชอง แตละชองจะมขอมลของ Port ได
2048 Port 2) Layer 2 Plate ในระดบนจะมขนาด 32x32 ชอง แตละชองจะมขอมลของ Port ได
64 Port 3) Layer 3 Plate ในระดบนจะมขนาด 32x32 ชอง แตละชองจะมขอมลของ Port ได
2 Port 4) Layer 4 Plate ในระดบนจะมขนาด 2 x2 ชอง แตละชองจะมขอมลของ Port ได 1
Port การหาวา Port ทมการใชงานแสดงอยในชองๆ หนงคอ Port อะไร ตวอยางเชน
ขอมลของ Port ทมการใชงานม Source Port เปน 80 และ Destination Port เปน 2049 1) Layer 1 ขอมลทมการใชงานอยในชวง Source Port เทากบ 0 ถง 2047 และ
Destination Port เทากบ 2048 ถง 4095 ดงแสดงในภาพท 3.10 2) Layer 2 ขอมลทมการใชงานอยในชวง Source Port เทากบ 64 ถง 127 และ
Destination Port เทากบ 2048 ถง 2111 ดงแสดงในภาพท 3.11 3) Layer 3 ขอมลทมการใชงานอยในชวง Source Port เทากบ 80 ถง 81 และ
Destination Port เทากบ 2048 ถง 2049 ดงแสดงในภาพท 3.12
33
4) Layer 4 ขอมลทมการใชงานอยในชวง Source Port เทากบ 80 และ Destination
Port เทากบ 2049 ดงแสดงในภาพท 3.13 ซงจะไดขอมลทตองการ
ภาพท 3.10 แสดงขอมลทมการใชงานใน Layer 1 ของ Plate
ภาพท 3.11 แสดงขอมลทมการใชงานใน Layer 2 ของ Plate
34
ภาพท 3.12 แสดงขอมลทมการใชงานใน Layer 3 ของ Plate
ภาพท 3.13 แสดงขอมลทมการใชงานใน Layer 4 ของ Plate
35
3.2.6.2 มมมองของ Source Port แสดง Source Port ทมการตดตอสอสารในเครอขายใน Middle Plate โดยใชวตถ
รปทรงสเหลยม 1 รปแทน Source Port แตละ Port การจดเรยง Port จะเรยงตามหมายเลข Port เหมอนกบการเรยงหมายเลข IP Address แตละ Plate มขนาด 32x32 ชอง สามารถรองรบขอมลได 1024 Port ถาม Port มากกวา 1024 Port จะก าหนดใหแสดงในหนาถดไป ซงถกก าหนดโดยหมายเลขทเรยกวา Page เชนเดยวกบ IP Address เชน ขอมลของ Port 2000 Port จะตองใช Page ในการแสดงขอมลทงหมด 2 Page โดยทผใชสามารถเปลยน Page ไปยง Page ทตองการแสดงขอมลไดดงแสดงในภาพท 3.14
ภาพท 3.14 สวนควบคมทใชก าหนด Page ในมมมองของ Source Port
3.2.6.3 มมมองของ Destination Port แสดง Destination Port ทมการตดตอสอสารในเครอขายใน Middle Plate โดยม
การแสดงขอมลเชนเดยวกบ Source Port ดงแสดงในภาพท 3.15
ภาพท 3.15 สวนควบคมทใชก าหนด Page ในมมมองของ Destination Port
36
3.2.7 สวนก าหนดคาในการคนหาขอมล สวนนใชส าหรบก าหนดคาในการคนหาส าหรบแสดงขอมล Source IP, Destination IP,
Source Port และ Destination Port ในหนาจอแสดงขอมลในรปแบบ 3 มต โดยขอมลทแสดงเปนขอมลทผใชก าหนดในเงอนไขของการคนหาเทานน ซงสามารถแบงได 2 รปแบบดงน
3.2.7.1 การคนหาโดยระบขอมลในการคนหา ผใชสามารถระบขอมลของ Source IP, Destination IP, Source Port และ
Destination Port ทจะท าการคนหา หรอระบชวงของขอมลทจะท าการคนหาได เชน ผใชระบ Source IP Address ทจะท าการคนหาระหวาง 202.0.0.0 ถง 204.0.0.0 ดงแสดงในภาพท 3.16 ผลทไดจะแสดงขอมลของ Source IP Address ในชวงทระบเทานนดงแสดงในภาพท 3.17 ผใชสามารถเลอกขอมลทจะท าการคนหามากกวา 1 ขอมลได เชน ผใชระบขอมลทจะคนหาคอ Source IP Address 120.0.0.0 ถง 130.0.0.0 และ Source Port 80 ถง 90 ดงแสดงในภาพท 3.18 ผลทไดแสดงดงภาพท 3.19
ภาพท 3.16 แสดงตวอยางของการระบขอมลในการคนหา
ภาพท 3.17 แสดงผลทไดจากการการคนหา Source IP Address 202.0.0.0 ถง 204.0.0.0
37
ภาพท 3.18 แสดงตวอยางของการระบขอมลมากกวา 1 ขอมลในการคนหา
ภาพท 3.19 แสดงผลทไดจากการการคนหา Source IP Address 120.0.0.0 ถง 130.0.0.0 และ Source Port 80 ถง 90
3.2.7.2 การคนหาโดยเลอกวตถในหนาจอแสดงขอมล เมอผใชเลอกวตถในหนาจอแสดงขอมล วตถนนจะเปลยนสเปนสแดง และขอมลท
ผใชเลอกจะแสดงในสวนก าหนดคาในการคนหา เมอกดปมคนหาขอมลหนาจอแสดงขอมลจะแสดงเฉพาะวตถทผใชเลอก เชน ผใชเลอก Source IP Address 172.16.113.204 ดงแสดงในหมายเลข 1 ของภาพท 3.20 จะปรากฏขอมลของ IP นนในสวนก าหนดคาในการคนหาดงแสดงในหมายเลข 2 ของภาพท 3.20 เมอกดปมคนหาจะแสดงขอมลของ Source IP Address นนดงแสดงในภาพท 3.21
38
ภาพท 3.20 แสดงตวอยางของการเลอกวตถเพอท าการคนหา
ภาพท 3.21 แสดงผลทไดจากการการคนหา Source IP Address 172.16.113.204
3.2.8 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล แสดงรายละเอยดของวตถทเลอกในหนาจอแสดงขอมล ดงแสดงในภาพท 3.22 ซง
ประกอบดวย 3.2.8.1 Database Status แสดงสถานะของฐานขอมลในขณะนน
39
3.2.8.2 Source IP แสดงหมายเลข Source IP Address ทผใชเลอก, จ านวนความสมพนธของ
Source IP Address ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Source IP Address ในขณะนน
3.2.8.3 Destination IP แสดงหมายเลข Destination IP Address ทผใชเลอก, จ านวนความสมพนธของ
Destination IP Address ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Destination IP ในขณะนน
3.2.8.4 Source Port แสดงหมายเลข Source Port ทผใชเลอก, จ านวนความสมพนธของ Source Port
ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Source Port ในขณะนน 3.2.8.5 Destination Port แสดงหมายเลข Destination Port ทผใชเลอก, จ านวนความสมพนธของ
Destination Port ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Destination Port ในขณะนน
ภาพท 3.22 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล
3.2.9 สวนก าหนดรายละเอยดของความสมพนธระหวางขอมล สวนทใหผใชสามารถก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมลบน
แผนกระดานทงสาม ซงสามารถก าหนดชวงของความสมพนธได 5 ชวง ในแตละชวงจะสามารถก าหนดสของเสนทแสดงความสมพนธระหวางวตถ ตามจ านวนของความสมพนธทมตอวตถนน
40
ดงแสดงในภาพท 3.23 เชน ความสมพนธทมคา 1-5 แสดงดวยสเหลอง ความสมพนธทมคา 6-10 แสดงดวยสสม ความสมพนธทมคา 11-15 แสดงดวยสแดง เปนตน ผลทไดจะแสดงดงภาพท 3.24 การก าหนดใหเสนมสทตางกนจะท าใหเหนถงจ านวนความสมพนธของขอมลไดงายขน
ภาพท 3.23 สวนก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล
ภาพท 3.24 แสดงผลจากการก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล
3.2.10 สวนแสดงรายละเอยดของขอมล Header และ Signature แสดงรายละเอยดของ IP Header, TCP Header, UDP Header, ICMP Header และ
Signature โดยมรายละเอยดดงน
41
3.2.10.1 IP Header แสดงรายละเอยดของ IP Header ดงภาพท 3.25 ซง
ประกอบดวย 1) Version (4 bits) หมายเลขเวอรชนของ Protocol 2) Internet Header Length (4 bits) ความยาวของ Header ในหนวย
32 bit words คาทวไปจะมคาเปน 5 (5*32-bit) 3) Type of Service (8 bits) ใชเปนขอมลส าหรบ Router ในการเลอก
การสงขอมล 4) Total Length (16 bits) ความยาวทงหมดของ IP Datagram (byte) 5) Identification (16 bits) หมายเลขของ Datagram 6) Flags (3 bits) 7) Fragment Offset (13 bits) ใชในการก าหนดต าแหนงขอมลใน
Datagram 8) Time to Live (8 bits) ก าหนดจ านวนครงทมากทสดท Datagram
จะสงระหวาง Hop เพอปองกนการสงขอมลทไมสนสด 9) Protocol (8 bits) ระบ Protocol ทใชใน Datagram 10) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ
ขอมลใน Header
ภาพท 3.25 สวนแสดงรายละเอยดของ IP Header
3.2.10.2 TCP Header แสดงรายละเอยดของ TCP Header ดงภาพท 3.26 ซงประกอบดวย
1) Source Port (16 bits) 2) Destination Port (16 bits) 3) Sequence Number (32 bits) หมายเลขบอกล าดบในการสอสารใน
แตละครง 4) Acknowledgment Number (32 bits) เหมอนกบ Sequence
Number แตจะใชในการตอบรบ
42
5) Data Offset (4 bits) บอกต าแหนงท Data เรมตน 6) Reserved (3 bits) 7) Flags (6 bits) ควบคมจงหวะการรบสงขอมล 8) Window (16 bits) 9) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ
ขอมลใน Header 10) Urgent Pointer (16 bits)
ภาพท 3.26 สวนแสดงรายละเอยดของ TCP Header
3.2.10.3 UDP Header แสดงรายละเอยดของ UDP Header ดงภาพท 3.27 ซงประกอบดวย
1) Source Port (16 bits) 2) Destination Port (16 bits) 3) Length (16 bits) ความยาวของ Datagram 4) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ
ขอมลใน Header
ภาพท 3.27 สวนแสดงรายละเอยดของ UDP Header
3.2.10.4 ICMP Header แสดงรายละเอยดของ ICMP Header ดงภาพท 3.28 ซงประกอบดวย
1) Type (8 bits) 2) Code (8 bits)
43
3) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ
ขอมลใน Header
ภาพท 3.28 สวนแสดงรายละเอยดของ ICMP Header
3.2.10.5 Signature แสดงรายละเอยดของ Signature ดงภาพท 3.29 โดย Signature คอหมายเลขท Snort ใชในการระบลกษณะของความผดปกตในเครอขายทตรวจจบได โดยผใชสามารถระบหมายเลข Signature ทตองการคนหาได
ภาพท 3.29 สวนแสดงรายละเอยดของ Signature
3.3 ตวอยางการวเคราะหลกษณะการโจมตและเหตการณผดปกตทเกดขนในเครอขายคอมพวเตอร
ในสวนนจะแสดงถงการใชเทคนค Visualization ในการแสดงลกษณะการโจมตแบบ
ตางๆ และสถานการณทผดปกตทเกดขนในเครอขายคอมพวเตอร
3.3.1 Port Scans Port Scans เปนรปแบบการโจมตแบบหนงทสามารถตรวจพบไดงาย โดยจะมการใช
งาน Port เปนจ านวนมากใน Host หนง Host การโจมตเกดขนโดยผโจมตสแกนหาวา Port ไหนมการเปดใชงานบางบน Host ทตองการโจมต จดประสงคเพอตรวจสอบวามบรการใดบางบนระบบทรอรบการเชอมตอ หรออยในสถานะทใหบรการไดบน Host ทตองการโจมต จากภาพ ท 3.30 หมายเลข 1 แสดงถงจ านวน Port ทมการใชงานซงมจ านวนมาก โดยผโจมตคอ Host
44
หมายเลข 2 ในภาพท 3.30 และผถกโจมตคอ Host หมายเลข 3 ในภาพท 3.30 เสนสแดงแสดงความสมพนธระหวาง Source IP, Destination IP และ Port ทมการใชงานอย
ภาพท 3.30 แสดงลกษณะของความผดปกตทเกดจาก Port Scans
3.3.2 Denial of Service Attacks Denial of Service Attacks เปนการโจมตทมจดประสงคเพอท าใหเครอขายปฏเสธการ
ใหบรการหรอไมสามารถด าเนนการตอไป เนองจากไมสามารถเขาใชบรการหรอทรพยากรในระบบได ซงการโจมตแบบนมดวยกนหลายวธ ในภาพท 3.31 เปนการโจมตแบบ Denial of Service Attacks วธหนงเรยกวา Smurf Attack โดยจากภาพ 3.31 หมายเลข 1 เปน Host ทอยในเครอขายเดยวกนซงทงหมดไดรบ Broadcast Message มาจาก Host หนงทเปนผโจมตแตไดท าการปลอม IP Address เปนของผทตองการโจมตคอหมายเลข 2 ในภาพท 3.31 เมอ Host ทก Host ในหมายเลข 1 ท าการสง Echo Message กลบไปทหมายเลข 2 พรอมกนในปรมาณมากจะท าให Host หมายเลข 2 หยดการท างานไปได
45
ภาพท 3.31 แสดงลกษณะของความผดปกตทเกดจาก Denial of Service Attacks
3.3.3 ปรมาณของการตดตอสอสารในเครอขายทมากผดปกต ปรมาณของการตดตอสอสารในเครอขาย เปนปจจยหนงในการวเคราะหความผดปกตท
เกดขน Host ทมปรมาณการตดตอสอสารมากในชวงเวลาสนๆ เปนเหตการณหนงทผดแลระบบควรใหความสนใจ เพราะอาจเปนเปาหมายของการโจมตหรอมความผดปกตเกดขน โดยสามารถตรวจสอบ Host ทมปรมาณการตดตอสอสารไดโดยใชสในการจ าแนก จากภาพท 3.32 พบวา Host หมายเลข 1 และ Host หมายเลข 2 มการตดตอสอสารในปรมาณทมากซงแสดงดวยเสนสฟา โดยสงเกตไดจาก สวนก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล ดงแสดงในหมายเลข 3 ของภาพท 3.32
ภาพท 3.32 แสดงลกษณะของความผดปกตทเกดจากปรมาณของการตดตอสอสารทมาก ผดปกต
บทท 4
การประเมนประสทธผลของวธการทน าเสนอ
4.1 วธการประเมนประสทธผล
ขอมลการตดตอสอสารในเครอขายคอมพวเตอรทใชในการประเมนประสทธผลนมาจาก DARPA Intrusion Detection Evaluation Data Sets ในป ค .ศ.1999 ซง สรางขนโดย The Information Systems Technology Group (IST) of MIT Lincoln Laboratory
การประเมนประสทธผลมจดประสงค เพอวดระดบ ความพงพอใจของผใชทมตอการออกแบบสวนประสานกบผใชและสวนประกอบตางๆ ของระบบ และ วดประสทธผลของวธการแสดงขอมลทไดน าเสนอในงานวจยน เพอ ชวยใหผใชสามารถสงเกตและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได
การประเมนประสทธผลจะท าโดยกลมผประเมนจ านวน 6 คน รายละเอยดและขอมลของกลมผประเมนแสดงไวดงตารางท 4.1 การ ประเมนประสทธผลเรมดวยการอธบายใหผประเมนเขาใจถงวตถประสงคของงานวจย แนวคดในการออกแบบระบบ และจดประสงคของการ ประเมนประสทธผล จากนนจะใหผ ประเมนไดใชงานระบบและท าการตอบแบบสอบถามซงแบงเปน 2 สวน ดงน
สวนท 1 เปนสวนทเกบขอมลเกยวกบความพงพอใจของผประเมนทมตอระบบ โดยจะใหผประเมนไดทดลองใชงานระบบในสวนตางๆ จดประสงคในการ ประเมนประสทธผลสวนนเพอวดระดบความพงพอใจของผใชทมตอการออกแบบสวนประสานกบผใช และสวนประกอบตางๆ ของระบบ แบบสอบถามสวนนมตนแบบมาจาก Questionnaire for User Interface Satisfaction (QUIS) โดยน ามาประยกตใชเพอใหเหมาะสมกบการใชเปนแบบสอบถามส าหรบงานวจยน
สวนท 2 ใชเหตการณจ าลองทมความผดปกตเกดขนในเครอขาย โดยจะใหผ ประเมนอธบายถงลกษณะของความผดปกต หรอการโจมตทเกดขนในแตละขอโดยสงเขป จดประสงคในการประเมนประสทธผลสวนนเพอวดประสทธผลของงานวจยใหตรงตามวตถประสงควา วธการแสดงขอมลโดยใชเทคนค Visualization ทไดน าเสนอในงานวจยนจะชวยใหผใชสามารถสงเกตและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรไดหรอไม
47 ตารางท 4.1 ขอมลของกลมผประเมนประสทธผล
ต าแหนง (ปจจบน)
สถานทท างาน ประสบการณการท างาน
ผประเมนคนท 1
Analyst Programmer
DST International Co., Ltd.
● RIA Web Application for Mutual Fund's Transfer Agency, 2007 - Present ● A JavaScript API Providing a Streaming Real-Time Quote Data, 2007 ● SDS - Web Services for Snapshot Financial Data, 2006 - 2007 ● IRIS - A Web Application for Software Process Management System, 2004 - 2006
ผประเมนคนท 2
ครสอนวชาคอมพวเตอร
โรงเรยนวดออมนอย (สงกด สพฐ.)
● ครอตราจาง โรงเรยนวดออมนอย (สงกด สพฐ.) ● ก าลงศกษา การบรหารสารสนเทศ มหาวทยาลยวลยลกษณ ● ส าเรจหลกสตร ใบประกอบวชาชพคร มหาวทยาลยราชฏชบานสมเดจ
ผประเมนคนท 3
Senior Application Engineer
The Stock Exchange of Thailand
● SET Community Portal - Web Application for Information Disclosure, 2006 - Present ● Price Reporting System - Real Time Application & Web Services for Information Dissemination, 2005 - 2006 ● Market for Alternative Investment - Web Application for Information Representation, 2005 ● SET Information Management System Data Warehouse - Web Application for Information Management System, 2004 - 2005 and 2008 - 2009 ● SET Market Analysis and Reporting Tool - Web Application for Information Representation, 2004
48 ตารางท 4.1 (ตอ)
ต าแหนง (ปจจบน)
สถานทท างาน ประสบการณการท างาน
ผประเมนคนท 4
System Administrator
National Science and Technology Development Agency, National Electronics and Computer Technology Center
● System Administrator, 2004 - Present
● Web Server Setting, 2004 - Present ● Web Application Programmer, 2004 - Present ● Computer Testing Engineer, 2004 - Present
ผประเมนคนท 5
Senior Project Developer
Freewill Solutions Co., Ltd.
● iFIS - Stock Trading Application, 2007 - Present ● IIA - Insurance Management Application, 2004 - 2006
ผประเมนคนท 6
Senior Developer (SA)
CSI Group (Thailand)
● Sales Management System, Office Sale Department, 2009 ● Excite Tax Management, Denso, 2008 ● PMCS (Permission Control System), Denso, 2008 ● E-Budgeting System, Denso, 2007 - 2009 ● ATM (Automated Teller Machine), Fujitsu, 2006 ● POS (Point of Sale), Family Mart, 2005 ● Asset Management System, Office Admin Department, 2005 ● Coil Management System, Sumikin coil Center, 2004 ● Production Control System , Siam Toyota, 2004
49
4.2 ผลทไดจากการประเมนประสทธผล
ผลการประเมนประสทธผลทไดจากแบบสอบถามในสวนท 1 การวดระดบความพงพอใจของผประเมนทมตอระบบ แสดงไวในตารางท 4.2 ซงมผลการประเมนประสทธผลดงน
ความพงพอใจของผประเมนทมตอระบบในภาพรวม พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4) โดยมผเลอก 23 จาก 36 ขอ คดเปน 63.89 %
ความพงพอใจของผประเมนทมตอสวนการจดการเกยวกบหนาจอ พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4 ) โดยมผเลอก 10 จาก 24 ขอ คดเปน 41.67 %
ความพงพอใจของผประเมนทมตอสวนการจดการขอมลตางๆ ของระบบ พบวาผประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4) โดยมผเลอก 11 จาก 24 ขอ คดเปน 45.83 %
ความพงพอใจของผประเมนทมตอการเรยนรการใชงานระบบ พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4) โดยมผเลอก 9 จาก 18 ขอ คดเปน 50%
ความพงพอใจของผประเมนทมตอความสามารถของระบบ พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมากและมากทสด (ระดบท 4 และระดบท 5 ) โดยมผเลอกเทากนคอ 9 จาก 24 ขอ คดเปน 37.5 %
สรปผลการประเมนทไดจากแบบสอบถามในสวนท 1 ผประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก โดยมผเลอก 62 จาก 126 ขอ คดเปน 49.21% ของจ านวนขอทงหมด
ตารางท 4.2 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 1
ขอค าถาม ระดบความพงพอใจ
*(NA = ไมสามารถระบได) OVERALL REACTION TO THE
SOFTWARE 1 2 3 4 5
NA
1.ภาพรวมของระบบ แย
5 1 ดเยยม 2.การใชงาน ยาก
1 5
งาย
3.ความพงพอใจทมตอระบบ ไมพอใจ
4 2 พอใจ 4.ฟงกชนของระบบ ไมพอเพยง
5 1 พอเพยง
5.ความนาสนใจ นาเบอ
2 4 นาสนใจ 6.ความยดหยน ไมยดหยน
3 2 1 ยดหยน
50 ตารางท 4.2 (ตอ)
ขอค าถาม ระดบความพงพอใจ
*(NA = ไมสามารถระบได) SCREEN
1 2 3 4 5
NA
7.การอานตวอกษรบนหนาจอ ยาก
2 3 1 งาย 8.การควบคม Cursor และการ
เคลอนไหวบนหนาจอ ยาก
1
2 3 งาย 9.การแสดงขอมลตางๆบนหนาจอ สบสน
2 3 1 เขาใจงาย
10.การจดวางต าแหนงของหนาจอและปมตางๆ สบสน
1 2 3 เขาใจงาย
SYSTEM INFORMATION
1 2 3 4 5
NA 11.ขอความทแสดงชวยในการท าความเขาใจขอมล ไมชวย
3 3
ชวย
12.ขอความทแสดงสอดคลองกบสงทก าลงท า
ไมสอดคลอง
2 4
สอดคลอง
13.ต าแหนงของขอความบนหนาจอ
ไมสอดคลอง
2 2 2 สอดคลอง
14.การปอนขอมล (Input) ของผใช สบสน
2 3 เขาใจงาย 1
LEARNING
1 2 3 4 5
NA
15.การเรยนรวธใชงานระบบ ยาก
1
4 1 งาย 16.การจดจ าชอและท าความเขาใจปม
ค าสงตางๆ ยาก
1 3 2 งาย 17.ขนตอนทใชเพอใหไดขอมลทตองการ มาก
1 2 3 นอย
SYSTEM CAPABILITIES
1 2 3 4 5
NA
18.ความเรวของระบบ ชา
1 1 1 3 เรว
19.ความนาเชอถอของระบบ ไม
นาเชอถอ 1 2 3 นาเชอถอ
20.การเกด Error บอย 1 4 1 ไมเคย
21.การท าสงทผดพลาดใหกลบมาถก ยาก 1 2 2 งาย 1
51
ผลการประเมนประสทธผลทไดจากแบบสอบถามในสวนท 2 การวดประสทธผลของงานวจยวาวธการแสดงขอมลแบบใหมโดยใชเทคนค Visualization ทไดน าเสนอในงานวจยนจะชวยใหผใชสามารถสงเกตและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรไดหรอไม แสดงไวในตารางท 4.3 ซงมผลการประเมนประสทธผลดงน
ค าถามขอท 1 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มจ านวนของ Source IP หลาย IP ท าการตดตอไปยง Destination IP 202.168.23.6 ในจ านวนทมากผดปกต และ Source IP เหลานนอยในเครอขายเดยวกน ผลทไดจากแบบสอบถามพบวาผ ประเมนทกคนสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง
ค าถามขอท 2 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มการตดตอจาก Source IP 129.152.1.22 ไปท Destination IP 198.47.255.2 โดยการตดตอแตละครงจะใช Source Port ทแตกตางกนซงมจ านวนมากผดปกต ผลทไดจากแบบสอบถามพบวาผ ประเมนทกคนสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง
ค าถามขอท 3 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มการตดตอจาก Source IP 212.160.184.82 ไปท Destination IP 212.160.184.82 ซงเปนคาเดยวกนในปรมาณทมากผดปกต ผลทไดจากแบบสอบถามพบวามผ ประเมน 4 คนทสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง มผประเมน 1 คนทระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไมถกตอง และมผประเมน 1 คนทไมสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตได
ค าถามขอท 4 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มการตดตอจาก Source IP 200.34.150.37 ไปท Destination IP 160.168.47.47 โดยการตดตอแตละครงจะใช Destination Port ทแตกตางกนซงมจ านวนมากผดปกต ผลทไดจากแบบสอบถามพบวามผประเมน 3 คนทสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง และมผประเมน 3 คนทระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไมถกตอง
สรปผลการประเมนประสทธผลทไดจากแบบสอบถามในสวนท 2 วธการแสดงขอมลแบบใหมโดยใชเทคนค Visualization ทไดน าเสนอในงานวจยนชวยใหผใชสามารถเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได โดยวดจากจ านวนขอทผ ประเมนสามารถระบลกษณะของความผดปกตไดถกตอง 19 จาก 24 ขอ คดเปน 79.17 % ของจ านวนขอทงหมด
52 ตารางท 4.3 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 2
ลกษณะของความผดปกต
จ านวนผประเมนทระบลกษณะความผดปกตไดถกตอง
จ านวนผประเมนทระบลกษณะความผดปกตไมถกตอง
จ านวนผประเมนทไมสามารถระบลกษณะความผดปกตได
1. มจ านวนการตดตอจากหลาย Source IP ไปท Destination IP 202.168.23.6 ในจ านวนทมากผดปกต
6
2. มการตดตอจาก Source IP 129.152.1.22 ไปท Destination IP 198.47.255.2 โดยการตดตอแตละครงจะใช Source Port ทแตกตางกนซงมจ านวนมากผดปกต
6
3. มการตดตอจาก Source IP 212.160.184.82 ไปท Destination IP 212.160.184.82 ซงเปนคาเดยวกนในปรมาณทมากผดปกต
4 1 1
4. มการตดตอจาก Source IP 200.34.150.37 ไปท Destination IP 160.168.47.47 โดยการตดตอแตละครงจะใช Destination Port ทแตกตางกนซงมจ านวนมากผดปกต
3 3
จากแบบสอบถามทง 2 สวน สรป ผลการประเมนประสทธผลไดวา ผ ประเมนสวนใหญม
ระดบความพงพอใจตอการออกแบบสวนประสานกบผใชและสวนประกอบตางๆ ของระบบอยในระดบมาก โดยวดจากระดบความพงพอใจ ในลกษณะการใชงานของผประเมน และ วธการแสดงขอมลโดยใชเทคนค Visualization ทน าเสนอในงานวจยนชวยใหผใชสามารถตรวจจบและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได
บทท 5
สรปผลการวจยและขอเสนอแนะ
5.1 สรปผลการวจย
วทยานพนธฉบบนเสนอวธการน าเสนอขอมลการสอสารในเครอขายคอมพวเตอร เพอชวยใหผดแลระบบเครอขายเขาใจสภาวะการตดตอสอสาร และสามารถตรวจจบความผดปกตทเกดขนในเครอขาย โดยใชเทคนคคอมพวเตอรกราฟฟกส 3 มตและการออกแบบสวนประสานกบผใชในการควบคมการแสดงผลและคนหาขอมล ขอมลการสอสารจะถกแสดงบนแผนกระดา น (Plate) 3 แผนทตงฉากกนในพนท 3 มต การแสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผนใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร
วธการทน าเสนอประกอบดวยสวนประกอบทส าคญ 3 สวน คอ สวนทหนงระบบการตรวจจบการบกรกในระดบเครอขายคอมพวเตอร ท าหนาทวเคราะหการสอสารในเครอขายคอมพวเตอรวาเปนการบกรกหรอไม สวนทสองระบบฐานขอมล ท าหนาทในการ จดเกบผลของการวเคราะหทไดจากระบบตรวจจบการบกรก และสวนทสามระบบการ สรางภาพนามธรรม ท าหนาทแสดงขอมลในเครอขายคอมพวเตอรในลกษณะ 3 มต ซงใชเทคนค Visualization ในการแสดงขอมล โดยจะแสดงขอมลบนแผนกระดาน 3 แผนทตงฉากกน ในพนท 3 มต โดยใชต าแหนงของแผนกระดานในการก าหนดพนทในการแสดงขอมล ประกอบดวย 1 ) แผนกระดานดานหนา (Front Plate) เปนพนทส าหรบแสดงขอมลของ Source IP Address 2) แผนกระดานตรงกลาง (Middle Plate) เปนพนทส าหรบแสดงขอมลของ Port 3) แผนกระดานดานหลง (Back Plate) เปนพนทส าหรบแสดงขอมลของ Destination IP Address โดยใชเสนในการแสดงความสมพนธระหวางขอมลบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร ผใชงานสามารถหมนและยอขยายมมมองในการแสดงขอมลได
ระบบตนแบบไดถกพฒนาขนตามหลกการออกแบบทน าเสนอ และท าการประเมนประสทธผลโดยใชแบบสอบถามกบผประเมนจ านวน 6 คน ผลการ ประเมนประสทธผลสรปไดวา ผประเมนสวนใหญมระดบความพงพอใจตอการออกแบบสวนประสานกบผใช และสวนประกอบตางๆ ของระบบอยในระดบมาก โดยวดจากระดบความพงพอใจ ในการใชงานของผประเมน และ
54
วธการแสดงขอมลแบบใหมโดยใชเทคนค Visualization ทไดเสนอในงานวจยนชวยใหผใชสามารถตรวจจบและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได
5.2 ขอเสนอแนะ
ในสวนของการแสดงขอมล การพฒนาตอไปในอนาคตควรปรบปรงรปแบบการแสดงรายละเอยดของขอมล โดยเมอน าเมาสไปชทวตถควรจะแสดงรายละเอยดของขอมลเปนกลองขอความ (Tooltip) เหนอวตถนนได
ในสวนของการออกแบบสวนประสานกบผใช ควรปรบปรงใหงายตอการใชงานของผใช และเปนประโยชนในการใชงานยงขน เชน การพฒนาในสวนของการคนหาขอมล ใหสามารถท าการคนหา IP Address หลาย IP Address พรอมกน หรอท าการคนหาในลกษณะเงอนไข เชน ไมเทากบ มากกวา หรอนอยกวาได และพฒนาในสวนของการแสดงรายละเอยดของ Header ใหสามารถจบเกบผลของการแสดงขอมลเปน Text Files หรอพมพออกเปนรายงานได เปนตน
บรรณานกรม
Abdullah, Kulsoom; Lee, Chris; Conti, Gregory; Copeland, John A. and Stasko, John.
2005. IDS RainStorm: Visualizing IDS Alarms. In VizSEC: Proceedings of the IEEE Workshops on Visualization for Computer Security. Washington, DC: IEEE Computer Society. Pp. 1-10.
Archibald, Neil; Ramirez, Gilbert; Rathaus, Noam. 2005. Nessus, Snort, & Ethereal Power Tools: Customizing Open Source Security Applications. Rockland: Syngress.
Beale, Jay. 2004. Snort 2.1 Intrusion Detection. 2nd ed. Rockland: Syngress. Beale, Jay; Temmingh, Roelof; Meer, Haroon; Walt, Charl van der and Moore, HD.
2005. Penetration Tester’s Open Source Toolkit. Rockland: Syngress. Bearavolu, Ratna; Lakkaraju, Kiran and Yurcik, William. 2005. NVisionIP: An
Animated State Analysis Tool for Visualizing NetFlows. Retrieved May 8, 2008 from http://www.cert.org/flocon/2005/presentations/Bearavolu-NVisionIP-FloCon2005.pdf
Bejtlich, Richard. 2004. The Tao of Network Security Monitoring: Beyond Intrusion Detection. Boston: Addison Wesley.
Fink, Glenn A.; Ball, Robert; North, Chris; Jawalkar, Nipun and Correa, Ricardo. 2004. Network Eye: End-to-End Computer Security Visualization. Retrieved May 21, 2008 from http://people.cs.vt.edu/~finkga/downloads/Fink-etal-VizSec2004.pdf
Goodall, John R.; Lutters, Wayne G.; Rheingans, Penny and Komlodi, Anita. 2005. Preserving the Big Picture: Visual Network Traffic Analysis with TNV. In VizSEC: Proceedings of the IEEE Workshop on Visualization for Computer Security. Washington, DC: IEEE Computer Society. Pp. 47-54.
Goodall, John R.; Lutters, Wayne G.; Rheingans, Penny and Komlodi, Anita. 2006. Focusing on Context in Network Traffic Analysis. In IEEE Computer Graphics and Applications. Los Alamitos: IEEE Computer Society. Pp. 72-80.
56
Kasemsri, Rawiroj Robert. 2005. A Survey, Taxonomy, and Analysis of Network Security Visualization Techniques. Master’s thesis, Georgia State University.
Kilgard, Mark J. 1996. The OpenGL Utility Toolkit (GLUT) Programming Interface. Retrieved June 9, 2008 from http://www.opengl.org/resources/libraries/ glut/glut-3.spec.pdf
Lakkaraju, Kiran; Yurcik, William and Lee, Adam J.. 2004. NVisionIP: NetFlow Visualizations of System State for Security Situational Awareness. In VizSEC/DMSEC: Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security. New York: ACM. Pp. 65-72.
Lincoln Laboratory, Massachusetts Institute of Technology. 1999. 1999 DARPA Intrusion Detection Evaluation Data Set. Retrieved October 15, 2008 from http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/ 1999data.html
Northcutt, Stephen; Cooper, Mark; Fearnow, Matt and Frederick, Karen. 2001. Intrusion Signatures and Analysis. Indianapolis: New Riders.
OpenGL. 2008. OpenGL 2.1 Reference Pages. Retrieved June 9, 2008 from http://www.opengl.org/sdk/docs/man
Riel, Jean-Pierre van. 2006. InetVis: Internet Visualization for Network Traffic Analysis. Retrieved January 22, 2009 from http://www.cs.ru.ac.za/ research/g02v2468/inetvis/0.9.3/doc/inetvisdoc.html
Snort Team. 2006. Snort Users Manual. Retrieved July 20, 2008 from http://www.snort.org/docs/snort_htmanuals/htmanual_284
Steele, Michael E.. 2008. Windows Intrusion Detection System (WinIDS). Retrieved October 25, 2008 from http://www.winids.com/index.php?module=Pages& func=display&pageid=11
Sweet, Michael; Earls, Craig P.; Melcher, Matthias and Spitzak, Bill. 2006. FLTK 1.1.8 Programming Manual. Retrieved October 23, 2008 from http://www.fltk.org/ doc-1.1/fltk.pdf
57
Takada, Tetsuji and Koike, Hideki. 2002. Tudumi: Information Visualization System for Monitoring and Auditing Computer Logs. In Proceedings of 6th International Conference on Information Visualization (IV' 02). IEEE CS Press. Pp. 560-576.
The University of Maryland. 2004. Questionnaire for User Interaction Satisfaction (QUIS). Retrieved January 28, 2009 from http://lap.umd.edu/quis
ประวตผเขยน
ชอ ชอสกล นายชนาธป ชนมนส
ประวตการศกษา ปรญญาตร หลกสตรวทยาศาสตรบณฑต
สาขาศาสตรคอมพวเตอร คณะวทยาศาสตร มหาวทยาลยธรรมศาสตร ปการศกษา 2546
Top Related