การสำรวจช่องโหว่เครือข่ายเพื่อการปฏิบัติงานด้านความปลอดภัยองค์กร

วิชสุนี ธีรรัชต์กาญจน์

Please use this identifier to cite or link to this item: https://cuir.car.chula.ac.th/handle/123456789/70364

Title:	การสำรวจช่องโหว่เครือข่ายเพื่อการปฏิบัติงานด้านความปลอดภัยองค์กร
Other Titles:	Exploring network vulnerabilities for corporate security operations
Authors:	วิชสุนี ธีรรัชต์กาญจน์
Advisors:	ญาใจ ลิ่มปิยะกรณ์
Other author:	จุฬาลงกรณ์มหาวิทยาลัย. คณะวิศวกรรมศาสตร์
Advisor's Email:	Yachai.L@Chula.ac.th
Subjects:	ความปลอดภัยในระบบคอมพิวเตอร์ ความปลอดภัยในฐานข้อมูล Computer security
Issue Date:	2562
Publisher:	จุฬาลงกรณ์มหาวิทยาลัย
Abstract:	งานวิจัยนี้ได้นำเสนอระบบที่ช่วยในการรวบรวม วิเคราะห์ และจำแนกรูปแบบการโจมตีไซเบอร์บนระบบปฏิบัติการยูนิกซ์หรือลินุกซ์ พฤติกรรมน่าสงสัยจะถูกรวบรวมผ่านทางฮันนีพอตที่ถูกติดตั้งไว้เป็นกับดักล่อเหยื่อผู้บุกรุกทางไซเบอร์ โดยข้อมูลจะถูกเก็บในรูปแบบของบันทึกจัดเก็บ ขั้นตอนกระบวนการหลังจากนั้นจะถูกสั่งการผ่านเชลล์สคริปต์เพื่อวิเคราะห์หารูปแบบการโจมตี จากการทดลองค้นพบลักษณะของคำสั่งการโจมตีที่มีความคล้ายกัน ซึ่งสามารถแบ่งกลุ่มของคำสั่งออกเป็น 5 กลุ่มตามจุดมุ่งหมายการบุกรุก ประกอบด้วย 1. สืบค้นข้อมูลสารสนเทศ 2. ติดตั้งเครื่องมือ 3. โอนย้ายข้อมูล 4. เปลี่ยนแปลงข้อมูล 5. ยึดครองเครื่อง และอีก 2 กลุ่ม คือ กลุ่มของคำสั่งที่ผิดพลาด และกลุ่มของคำสั่งใหม่ที่ไม่เคยพบ สังเกตว่าแต่ละกลุ่มมีผลกระทบต่อระบบไม่เท่ากัน ไวรัสโททอลเปรียบเสมือนบริการฐานข้อมูลที่เก็บรวบรวมเอกลักษณ์ของไวรัสหลากหลายรูปแบบเอาไว้ เมื่อพบคำสั่งในกลุ่มเสี่ยง ระบบจะทำการเรียกใช้ไวรัสโททอลเอพีไอ เพื่อทำการแซนด์บ็อกซิ่ง หรือจำลองการดาวน์โหลด และติดตั้งไฟล์ในสภาพแวดล้อมเสมือนจริง เพื่อวิเคราะห์หารูปแบบการโจมตี ในกรณียูอาร์แอลหรือไฟล์ดังกล่าวเป็นไฟล์อันตราย ไวรัสโททอลจะส่งรายงานกลับมายังระบบที่พัฒนา และแจ้งเตือนไปที่ผู้ดูแลระบบเพื่อดำเนินการเสริมกำลัง เตรียมป้องกัน และพัฒนาการปฏิบัติงานด้านความปลอดภัยองค์กรให้รัดกุมมากยิ่งขึ้น ผลจากการทดลองพบว่า ยูอาร์แอลหรือไฟล์ต่าง ๆ ที่ระบุอยู่ในคำสั่งของผู้บุกรุก 86% เป็นภัยคุกคาม
Other Abstract:	This research presents a system to facilitate collecting, analyzing and classifying cyber-attack patterns, focusing on Unix or Linux operating systems. The suspect behaviors will be collected through Honeypot set up as a decoy to lure cyber attackers. The data are stored in the form of logs. The systematic process will be instructed through shell scripts in order to analyze the attack patterns. The findings from the experiments reported similar attack commands which can be categorized into 5 groups based on the attack goals consisting of: 1.Query Information, 2.Attempt to install, 3.Transfer files, 4.Change configurations, 5.Taking Over the Server, and two additional categories which are Error Case and New/ unseen Case. Observing that each category has different levels of impact upon the system. VirusTotal is considered a service which operates similar to a database that stores various virus signatures, when it discovers a command that belongs to the risk groups, the system will call VirusTotalAPI function to simulate a download and install the file in a virtual environment (sandboxing) to analyze the attack pattern. In case a particular file is infected, VirusTotal will return a report and notify the system moderator in order to defend, fortify and enhance the organization’s security operations. The experimental result showed that 86% of URLs or files that belong to the command risk groups are threats.
Description:	วิทยานิพนธ์ (วท.ม.)--จุฬาลงกรณ์มหาวิทยาลัย, 2562
Degree Name:	วิทยาศาสตรมหาบัณฑิต
Degree Level:	ปริญญาโท
Degree Discipline:	วิทยาศาสตร์คอมพิวเตอร์
URI:	http://cuir.car.chula.ac.th/handle/123456789/70364
URI:	http://doi.org/10.58837/CHULA.THE.2019.1140
metadata.dc.identifier.DOI:	10.58837/CHULA.THE.2019.1140
Type:	Thesis
Appears in Collections:	Eng - Theses

Files in This Item:

File	Description	Size	Format
6170963621.pdf		4.09 MB	Adobe PDF	View/Open

Show full item record