การน...

การน าเสนอขอมลการสอสารในระบบเครอขาย คอมพวเตอรโดยใชกระดาน 3 มต

ชนาธป ชนมนส

วทยานพนธนเปนสวนหนงของการศกษาตามหลกสตร วทยาศาสตรมหาบณฑต (วทยาการคอมพวเตอร)

คณะสถตประยกต สถาบนบณฑตพฒนบรหารศาสตร

2552

บทคดยอ

ชอวทยานพนธ การน าเสนอขอมลการสอสารในระบบเครอขายคอมพวเตอร

โดยใชกระดาน 3 มต ชอผเขยน นายชนาธป ชนมนส ชอปรญญา วทยาศาสตรมหาบณฑต (วทยาการคอมพวเตอร) ปการศกษา 2552 วทยานพนธฉบบนเสนอวธการน าเสนอขอมลการสอสารในเครอขายคอมพวเตอร เพอชวยใหผดแลระบบเครอขายเขาใจสภาวะการตดตอสอสาร และสามารถตรวจจบความผดปกตทเกดขนในเครอขาย โดยใชเทคนคคอมพวเตอรกราฟฟกส 3 มตและการออกแบบสวนประสานกบผใชในการควบคมการแสดงผลและคนหาขอมล ขอมลการสอสารจะถกแสดงบนแผน 3 แผนทตงฉากกน ใน พนท 3 มต การแสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผนใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร ระบบ ตนแบบไดถกพฒนาขนตามหลกการออกแบบทน าเสนอและท าการประเมนประสทธผลโดยผประเมนจ านวน 6 คน ผลการประเมนประสทธผลแสดงใหเหนวาผประเมนสวนใหญมระดบความพงพอใจตอสวนประกอบตางๆ ของระบบอยในระดบมาก และวธการน าเสนอขอมลการสอสารทเสนอในงานวจยนสามารถชวยใหผใชเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได

ABSTRACT

Title of Thesis Three Dimensional Panel Approach to Network Traffic

Visualization

Author Mr. Chanatip Chuenmanus

Degree Master of Science (Computer Science)

Year 2009

This thesis proposes a novel approach to visualize network traffic which helps

network administrators understand status of the traffic and detect anomalies in the

communications. Data are displayed on perpendicular panels divided into three parts

in a three-dimensional space. Relationships between data on different panels are

represented as colored links connecting objects on those panels.

A prototype application is created according to the design principle and

evaluated by six experimenters. The results show that the approach is satisfactory, and

it can help administrators detect and understand anomalies in the network traffic.

กตตกรรมประกาศ

วทยานพนธฉบบนส าเรจลงไดเนองมาจากบคคลหลายทานใหความกรณาชวยเหลอในการใหขอมล ค าแนะน าปรกษา ขอเสนอแนะและความคดเหนตางๆ และใหก าลงใจ

ผเขยนขอขอบพระคณ อาจารยทปรกษาวทยานพนธ ผศ.ดร.โอม ศรนล ในความกรณาของทานทไดใหค าแนะน าปรกษาในทกดาน ใหขอมลและแนวทางการท าวจยในทกขนตอน ขอขอบพระคณ รศ.ดร.พพฒน หรณยวณชชากร ขอขอบพระคณ รศ.ดร.สรพงค เออวฒนามงคล และขอขอบพระคณ ผศ.ดร.รววรรณ เทนอสสระ ทไดสละเวลาในการตรวจทานแกไข จนวทยานพนธฉบบนส าเรจสมบรณ

ขอขอบพระคณ อาจารยทกทานของผเขยน ทไดถายทอดความรใหแกผเขยน ขอขอบคณเจาหนาทของคณะสถตประยกตทกทาน ทไดใหความชวยเหลอและประสานงานเปนอยางด และขอขอบคณ เพอนของผเขยน ทไดใหก าลงใจแกผเขยนตลอดมา

ในทายทสดน ขอกราบขอบพระคณ บดา มารดา และยายของผเขยน ทไดสงเสรมสนบสนน เปนก าลงใจ อกทงใหความรกและความปรารถนาดแกผเขยนมาโดยตลอด ขอขอบคณ แมวของผเขยน ทท าใหผเขยนอารมณดและผอนคลายในการท าวทยานพนธฉบบนอยเสมอ

ชนาธป ชนมนส เมษายน 2552

สารบญ

หนา บทคดยอ (5) ABSTRACT (6) กตตกรรมประกาศ (7) สารบญ (8) สารบญตาราง (10) สารบญภาพ (11) บทท 1 บทนา 1 1.1 ความเปนมาของปญหา 1 1.2 วตถประสงคงานวจย 2 1.3 ขอบเขตงานวจย 2 1.4 วธการดาเนนงานวจย 2 1.5 ประโยชนทคาดวาจะไดรบ 2 บทท 2 งานวจยทเกยวของ 3 2.1 งานวจยทเกยวของ 3 2.1.1 NVisionIP 3 2.1.2 Time-Based Network Traffic Visualizer 7 2.1.3 NetworkEye 9 2.1.4 IDS RainStorm 13 2.1.5 Tudumi 15 2.1.6 InetVis 18 2.2 ผลสรปทไดจากการศกษางานวจยทเกยวของ 23 บทท 3 การออกแบบและหลกการทางานของระบบ 25 3.1 โครงสรางการทางานของระบบ 25 3.1.1 ระบบตรวจจบการบกรกในระดบเครอขายคอมพวเตอร 25 3.1.2 ระบบฐานขอมล 25 3.1.3 ระบบการสรางภาพนามธรรม 26

(9)

3.2 การออกแบบระบบ 26 3.2.1 แนวคดในการออกแบบระบบ 26 3.2.2 ภาพรวมของระบบ 27 3.2.3 หนาจอแสดงขอมลในรปแบบ 3 มต 28 3.2.4 สวนกาหนดวนและเวลาของขอมลทแสดง 29 3.2.5 สวนควบคมการแสดงขอมลของ IP Address 29 3.2.6 สวนควบคมการแสดงขอมลของ Port 31 3.2.7 สวนกาหนดคาในการคนหาขอมล 36 3.2.8 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล 38 3.2.9 สวนกาหนดรายละเอยดของความสมพนธระหวางขอมล 39 3.2.10 สวนแสดงรายละเอยดของขอมล Header และ Signature 40 3.3 ตวอยางการวเคราะหลกษณะการโจมตและเหตการณผดปกตทเกดขนใน 43 เครอขายคอมพวเตอร 3.3.1 Port Scans 43 3.3.2 Denial of Service Attacks 44 3.3.3 ปรมาณของการตดตอสอสารในเครอขายทมากผดปกต 45 บทท 4 การประเมนประสทธผลของวธการทนาเสนอ 46 4.1 วธการประเมนประสทธผล 46 4.2 ผลทไดจากการประเมนประสทธผล 49 บทท 5 สรปผลการวจยและขอเสนอแนะ 53 5.1 สรปผลการวจย 53 5.2 ขอเสนอแนะ 54 บรรณานกรม 55 ประวตผเขยน 58

สารบญตาราง

ตารางท หนา 2.1 รายละเอยดโดยรวมของงานวจยทเกยวของ 23 4.1 ขอมลของกลมผประเมนประสทธผล 47 4.2 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 1 49 4.3 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 2 52

สารบญภาพ

ภาพท หนา 2.1 การแสดงผลในระดบ Galaxy View ของโปรแกรม NvisonIP 4 2.2 การแสดงผลในระดบ Small Multiple View ของโปรแกรม NvisonIP 5 2.3 การแสดงผลในระดบ Machine View ของโปรแกรม NvisonIP 6 2.4 แสดงความสมพนธในการแสดงขอมลทแตกตางกน 3 ระดบ 7 ของโปรแกรม NvisonIP 2.5 แสดงภาพของโปรแกรม TNV 8 2.6 การออกแบบสวนประกอบตางๆ ของโปรแกรม NetworkEye 10 2.7 การออกแบบในสวน Network Pixel Map และ Trust Levels 10 ของโปรแกรม NetworkEye 2.8 การออกแบบในสวน Communication Visualization 11 ของโปรแกรม NetworkEye 2.9 แสดงภาพของ Network View ทสรางตามแนวคดทไดออกแบบไว 11 2.10 การออกแบบในสวน Host View ของโปรแกรม NetworkEye 12 2.11 วธการแสดงขอมล IP Address ของโปรแกรม IDS RainStorm 13 2.12 โปรแกรม IDS RainStorm ในสวนของ Main View 14 2.13 โปรแกรม IDS RainStorm ในสวนของ Zoom View 14 2.14 การแสดงขอมลโดยใชลกษณะของดสกของโปรแกรม Tudumi 16 2.15 แนวคดการออกแบบ Network Access และ Log-in User ของ 16 โปรแกรม Tudumi 2.16 แสดงระดบชนซงแสดงกฎเกยวกบการเขาถง Hosts ของ 17 โปรแกรม Tudumi 2.17 แสดงตวอยางของการเลอกวตถของโปรแกรม Tudumi 17 2.18 แสดงตวอยางการควบคมระดบชนของโปรแกรม Tudumi 18 2.19 การออกแบบวธการแสดงขอมลของโปรแกรม InetVis 19 2.20 หนาจอแสดงขอมลของโปรแกรม InetVis 20 2.21 หนาจอควบคมของโปรแกรม InetVis 21 2.22 หนาจอตงคาการวาดกราฟของโปรแกรม InetVis 22

(12)

2.23 หนาจอตงคาการอางองของเฟรมของโปรแกรม InetVis 22 3.1 โครงสรางการทางานของระบบทนาเสนอในงานวจย 26 3.2 แนวคดในการออกแบบการแสดงขอมลในเครอขายของระบบทนาเสนอ 27 ในงานวจย 3.3 ภาพรวมและสวนประกอบตางๆ ของระบบทนาเสนอในงานวจย 28 3.4 หนาจอแสดงขอมลของเครอขายในรปแบบ 3 มต 29 3.5 สวนกาหนดวนและเวลาของขอมลทแสดง 29 3.6 แสดงตวอยางการเรยงลาดบ IP Address จานวน 80 IP ทแสดงบน Plate 30 3.7 สวนทใชในการกาหนด Page ในการแสดงขอมลของ IP Address 30 3.8 แสดง Middle Plate ในมมมองของ Source-Destination Port 31 3.9 สวนควบคมทใชกาหนดระดบชน (Layer) ในมมมองของ 32 Source-Destination Port 3.10 แสดงขอมลทมการใชงานใน Layer 1 ของ Plate 33 3.11 แสดงขอมลทมการใชงานใน Layer 2 ของ Plate 33 3.12 แสดงขอมลทมการใชงานใน Layer 3 ของ Plate 34 3.13 แสดงขอมลทมการใชงานใน Layer 4 ของ Plate 34 3.14 สวนควบคมทใชกาหนด Page ในมมมองของ Source Port 35 3.15 สวนควบคมทใชกาหนด Page ในมมมองของ Destination Port 35 3.16 แสดงตวอยางของการระบขอมลในการคนหา 36 3.17 แสดงผลทไดจากการการคนหา Source IP Address 202.0.0.0 ถง 36 204.0.0.0 3.18 แสดงตวอยางของการระบขอมลมากกวา 1 ขอมลในการคนหา 37 3.19 แสดงผลทไดจากการการคนหา Source IP Address 120.0.0.0 ถง 37 130.0.0.0 และ Source Port 80 ถง 90 3.20 แสดงตวอยางของการเลอกวตถเพอทาการคนหา 38 3.21 แสดงผลทไดจากการการคนหา Source IP Address 172.16.113.204 38 3.22 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล 39 3.23 สวนกาหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล 40 3.24 แสดงผลจากการกาหนดรายละเอยดของเสนทแสดงความสมพนธ 40 ระหวางขอมล 3.25 สวนแสดงรายละเอยดของ IP Header 41 3.26 สวนแสดงรายละเอยดของ TCP Header 42 3.27 สวนแสดงรายละเอยดของ UDP Header 42

(13)

3.28 สวนแสดงรายละเอยดของ ICMP Header 43 3.29 สวนแสดงรายละเอยดของ Signature 43 3.30 แสดงลกษณะของความผดปกตทเกดจาก Port Scans 44 3.31 แสดงลกษณะของความผดปกตทเกดจาก Denial of Service Attacks 45 3.32 แสดงลกษณะของความผดปกตทเกดจากปรมาณของการตดตอ 45 สอสารทมากผดปกต

บทท 1

บทน า

1.1 ความเปนมาของปญหา

ปญหาการบกรกทางเครอขายคอมพวเตอรในปจจบน มแนวโนมของความรนแรงและปรมาณของปญหาทเพมขนอยตลอดเวลา เหตการณตางๆ ทเกดขนในเครอขายคอมพวเตอรเปนสงทผดแลระบบตองใชความเชยวชาญ และประสบการณในการวเคราะหวามความผดปกตหรอมผบกรกหรอไม เนองจากขอมลทอยในเครอขายคอมพวเตอรมปรมาณมากและมความซบซอน อกทงการทผบกรกมวธการทหลากหลายในการโจมต ท าใหมวธจ านวนมากทใช เพอวเคราะหความผดปกตหรอผบกรก การ ออกแบบระบบทชวยผดแลระบบในการตรวจสอบถงความผดปกตจงมความจ าเปน

Network Intrusion Detection System (NIDS) เปนระบบทถกออกแบบ เพอชวยตรวจสอบเครอขายคอมพวเตอรจากการโจมต โดยจะวเคราะหขอมลในเครอขายหรอ Packet ทสงผานกนในเครอขายวาเปนการบกรกหรอไม โดยเปรยบเทยบกบกฎหรอรปแบบทไดก าหนดไวหรอจากสถตการโจมตทผานมา ขอมลทไดจะแสดงใหผดแลระบบ ทราบถงเหตการณและเวลาทเกดขนในเครอขาย เพอจะไดหยดความเสยหายไวไดทน

เทคนคการแสดงขอมลในปจจบน สวนใหญจะเปน แบบ Textual คอแสดงขอมลในรปแบบตวอกษร โดยจะเนนไปทการแสดงรายละเอยดของขอมล แตยงขาดการแสดงภาพรวมของขอมล การทขอมลมปรมาณมากท าใหยากแกผใชในการวเคราะหขอมลหรอความผดปกต จงไดมการพฒนาเทคนคในการแสดงขอมลใหดยงขน

Visualization คอเทคนคทใชในการน าขอมลทเปนนามธรรมมาแสดงใหเปนภาพ เพอเพมประสทธผลในการตดตอสอสาร หรอท าใหเขาใจขอมลไดงายขน เชน การใชส รปราง หรอสญลกษณ เทคนคทใชจะแตกตางกนขนกบชนดของขอมล และลกษณะการแสดงขอมล เปนตน

ในงานวจยนไดน าเสนอโปรแกรมตนแบบ ซงใชเทคนค Visualization ในการน าเสนอขอมลการสอสารในเครอขายคอมพวเตอรบนแผนกระดาน 3 แผน ทตงฉากกน ใน พนท 3 มต โดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม ในการแสดง ความสมพนธระหวางขอมลบนแผนกระดานแตละแผน และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร แนวคดนแตกตางจากแนวคดทใชในงานวจยอนในการแสดงใหผใชเหนถงภาพรวม

2 ของขอมล โดยการจดวางขอมลทแตกตางกนในพนทบนแผนกระดานทงสามซงชวยใหผใชวเคราะหขอมลไดงายขน และแสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผนโดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม

1.2 วตถประสงคงานวจย

งานวจยนมวตถประสงคเพอน าเสนอวธการแสดงขอมลโดยใชเทคนค Visualization 3มต เพอใหผผดแลระบบเครอขายสามารถทราบถงสภาวะการสอสาร และเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได

1.3 ขอบเขตงานวจย

น าเสนอวธการแสดงขอมลโดยใชเทคนค Visualization 3 มต เพอแสดงขอมลและความผดปกตทเกดขนภายในเครอขายคอมพวเตอร โดยงานวจยนมงเนนทวธการแสดงขอมล และการออกแบบสวนประสานกบผใช (User Interface) ในการควบคมการแสดงผลและการคนหาขอมล

1.4 วธการด าเนนงานวจย

1.4.1 ศกษาเอกสารและงานวจยทเกยวของ 1.4.2 ออกแบบโครงสรางและหลกการท างานของระบบ 1.4.3 พฒนาระบบตนแบบตามทไดออกแบบไว 1.4.4 ท าการประเมนประสทธผลของระบบ 1.4.5 สรปผลการวจยและขอเสนอแนะ

1.5 ประโยชนทคาดวาจะไดรบ

ชวยใหผดแลระบบเครอขายเขาใจสภาวะการสอสาร และตรวจจบเหตการณผดปกตทเกดขนในเครอขายคอมพวเตอรได

บทท 2

งานวจยทเกยวของ

2.1 งานวจยทเกยวของ

Visualization คอวธการทใชในการน าขอมลทเปนนามธรรมมาแสดงใหเปนภาพ เพอเพมประสทธผลในการตดตอสอสาร หรอท าใหเขาใจขอมลไดงายขน การใชเทคนค Visualization มหลายวธ ซง แตละวธเหมาะสมทจะใชในการแสดงขอมลทแตกตางกน การเลอกใชเทคนคใดนนขนกบองคประกอบหลายอยาง เชน ชนดของขอมลทจะน ามาแสดง วธทตองการแสดงขอมล เปนตน

ในปจจบนมงานวจยทน าเอาเทคนค Visualization มาใชโดยมจดประสงคเพอเพมประสทธผลในการแสดงขอมลการตดตอสอสารภายในเครอขายคอมพวเตอร และชวยในการวเคราะหความผดปกตทเกดขนในเครอขาย ในบทนเราจะแนะน างานวจย ทส าคญทไดน าเทคนคดงกลาวมาใช

2.1.1 NVisionIP โปรแกรม NVisionIP (Lakkaraju, Yurcik and Lee, 2004: 65-72; Bearavolu,

Lakkaraju, and Yurcik, 2005: 1-5) พฒนาขนโดยภาษา Java โปรแกรมถกออกแบบมาเพอ ชวยเหลอผดแลระบบเครอขายคอมพวเตอร ในการตรวจสอบสถานะของเครอขายทใช IP Address ใน Class B การออกแบบโครงสรางของระบบใช D2K Data Mining Software Package ในการวเคราะหขอมล และแสดงขอมลในลกษณะของ Drill-Down Levels ซงแบงเปน 3 ระดบ ไดแก

Galaxy View แสดงภาพรวมของเครอขายคอมพวเตอร ประกอบดวยแกน 2 แกน ไดแก Subnet และ Host ขอมลทแสดงจะใชสในการก าหนดปรมาณของขอมลในเครอขาย ดงแสดงในภาพท 2.1 ซงมรายละเอยดดงน

(1) Menu Bar (2) แสดงรายละเอยดตางๆ ของโปรแกรม (3) แสดงรายละเอยดตางๆ ทแสดงอยบน Grid (4) แสดงรายละเอยดของ Filters ทก าลงใชงานอย

4

(5) ปมควบคมการเปลยนแกนของ Grid และปมก าหนด Filters (6) แสดงสทก าหนดปรมาณของขอมลภายในเครอขาย (7) ปมก าหนดรายละเอยดของส (8) ก าหนดชวงเวลาของขอมลทจะแสดง (9) ปมส าหรบก าหนดมมมองของ View (10) สวนทใหผใชสามารถเพมบนทกหรอขอความ (11) แสดงรายละเอยดของขอมลทใชในโปรแกรม (12) แสดงเวลาของขอมลทแสดง (13) แกน XY Grid ทแสดงเครอขายใน Class B (14) แกนของ Subnet (15) แกนของ Hosts

ภาพท 2.1 การแสดงผลในระดบ Galaxy View ของโปรแกรม NvisonIP

แหลงทมา: Bearavolu and others, 2005: 2.

5

Small Multiple View แสดงขอมลจากเครองคอมพวเตอรทงหมดทอยภายในเครอขาย โดยใชกราฟ 2 กราฟในการแสดงปรมาณของขอมลของ Well-Known Port และ Port อนๆ และใชสในการก าหนดหมายเลขของ Port ดงแสดงในภาพท 2.2 ซงมรายละเอยดดงน

(1) แสดงชวงของ IP Address ทเลอก (2) ปมก าหนดมาตราสวนของกราฟ (3) ปมก าหนดจ านวนของกราฟ (4) แสดงสทก าหนด Port หรอ Protocol (5) ปมก าหนดรายละเอยดของส (6) ปม Reset ทใชในคนการตงคาตางๆ (7) ปมแสดง Machine View (8) ปมคนคาการเลอกกราฟ (9) แสดงรายละเอยดของ IP Address หมายเลขหนง (10) แสดง IP Address ทไมไดมการใชงานใดๆ (11) กราฟดานลางแสดง Port อนๆ ทมการใชงาน (12) กราฟดานบนแสดง Port พเศษทมการใชงาน

ภาพท 2.2 การแสดงผลในระดบ Small Multiple View ของโปรแกรม NvisonIP


6

Machine View แสดงขอมลจากเครองคอมพวเตอรหนงเครองภายในเครอขาย โดยใชกราฟในการแสดงปรมาณของขอมลใน Protocol และ Port ทงหมดทใชโดยเครองคอมพวเตอรหนงเครอง ดงแสดงในภาพท 2.3 ซงมรายละเอยดดงน

(1) แสดง IP Address ทเลอก (2) Tab ทใชแสดงรายละเอยดตางๆ (3) แสดงปรมาณขอมลทใชใน Port พเศษของ IP ทเลอก (4) แสดงปรมาณขอมลทใชใน Port อนๆของ IP ทเลอก (5) กราฟแสดง Source Port ทมการใชงาน (6) กราฟแสดง Destination Port ทมการใชงาน

ภาพท 2.3 การแสดงผลในระดบ Machine View ของโปรแกรม NvisonIP


7

ประโยชนของโปรแกรมนคอชวยใหผใชสามารถวเคราะหรปแบบการโจมตทเกดขน และเขาใจถงการเปลยนแปลงทเกดขนในเครอขายคอมพวเตอร โดย ใชวธการแสดงขอมลทมความละเอยดแตกตางกน 3 ระดบคอ Galaxy View, Small Multiple View และ Machine View ดงแสดงในภาพท 2.4 ซงผใช สามารถเลอกระดบขอมลทตองการและแสดงใหเหนถงความสมพนธของขอมลในระดบทตางกนได

ภาพท 2.4 แสดงความสมพนธในการแสดงขอมลทแตกตางกน 3 ระดบ ของโปรแกรม NvisonIP

แหลงทมา: Lakkaraju and others, 2004: 70.

2.1.2 Time-Based Network Traffic Visualizer (TNV) โปรแกรม TNV (Goodall, Lutters, Rheingans and Komlodi, 2005: 47-54, 2006:

72-80) พฒนาขนโดยใชภาษา Java และใช Jpcap Library ในการดกจบ Packet ในเครอขาย โปรแกรมนถกออกแบบมาเพอวเคราะหการบกรก รปแบบการโจมตของผบกรก และส ารวจขอมลการสอสารในเครอขาย ซงชวยใหผดแลระบบสามารถเรยนรระบบเครอขายในโครงสรางระดบใหญและระดบยอย

8

แนวคดในการออกแบบโปรแกรม เพอสนบสนนผดแลระบบในการดแลระบบเครอขายและการวเคราะหขอมลในเครอขายทซบซอน ชวยใหเขาใจความสมพนธของเหตการณระหวาง Host และเขาใจถงการโจมตและความผดปกตทเกดขนได โดยมเวลาเปนขอมลส าคญในการวเคราะหซงจะบอกชวงทเกดเหตการณ และชวงทเกดความผดปกตได การออกแบบสวนประสานกบผใชจะเปนในลกษณะของ Matrix โดย Column จะแสดงเวลา และ Row จะแสดงถง Host โดยม Network Link แสดงความสมพนธระหวาง Host และม Port Activity View แสดงภาพรวมของ Port ทถกใชงานโดย Host ทเลอก

ภาพท 2.5 แสดงภาพของโปรแกรม TNV

แหลงทมา: Goodall and others, 2006: 75.

สวนตางๆ ของโปรแกรม TNV ดงแสดงในภาพท 2.5 ประกอบไปดวย (1) Main Visualization Matrix เปนสวนแสดงหนาจอหลกของโปรแกรม แกน X แสดง

ถง Host IP Address แกน Y แสดงถง Network Packet Timestamps และใชเสน (Network Link) ในการแสดงความสมพนธระหวาง Host

9

(2) แสดงภาพรวมของการเปลยนแปลงของขอมล (3) สแสดงจ านวนของ Packet เพอใหสามารถสงเกตไดงาย และใชในการก าหนด

ประเภทของ Protocol (4) ตารางแสดง Packet ทงหมดของ Host ทเลอก (5) แสดงรายละเอยดของ Packet ทเลอกในตารางหมายเลข 4 (6) Emphasis Filtering Panel ปมควบคมการก าหนด Filter ในการแสดงขอมล (7) Port Activity View แสดงรายละเอยด Port ทก าลงใชงานของ Host ทเลอก (8) ตวอยาง Host ทผใชสามารถเลอกได ประโยชนของโปรแกรม TNV คอ การแสดงภาพรวมของขอมลทงหมดในหนาจอหลก

โดยใช Matrix-Based Visualization ในการวเคราะหขอมลและกจกรรมทเกดขนในเครอขาย ในสวนของ Port Activity View จะแสดงภาพรวมของ Port ทถกใชงานโดย Host ทเลอก และผใชสามารถเขาถงรายละเอยดของขอมลในเครอขาย ซงจะชวยใหผใชเหนทงมมมองขนาดใหญและมมมองขนาดยอยได

2.1.3 NetworkEye โปรแกรม NetworkEye (Fink, Ball, North, Jawalkar, and Correa, 2004: 1-15)

ถกออกแบบมาเพอใหผดแลระบบมองเหนถงการตดตอสอสารทเกดขนภายในเครอขาย แนวคดทใชในการออกแบบคอ End-to-End Visualization ซงเนนไปทการตดตอระหวาง End-Point รวมถง Application, Process, Socket และ Port ทตอบสนองตอการตดตอสอสารทงหมดในเครอขาย ซงจะชวยใหผใชมองเหนภาพรวม และสามารถเขาถงรายละเอยดยอยของเครอขายได โปรแกรมนสามารถแบงสวนการท างานไดดงในภาพท 2.6 ซงประกอบดวย

(1) Network View สวนนจะท าการแทนแตละ IP Address ดวย Pixels ซงเรยกวา Network Pixel Map โดยโปรแกรม Network Eye จะแสดง IP Address ทไมซ ากนทงหมดในรปของ Pixels ซงสามารถแสดงไดพรอมกนถง 100,000 IP Address จากนนจงก าหนดสและความสวางของ Pixels ตามประเภทและระดบของกจกรรม ดงแสดงในภาพท 2.7 ซงแบงเปน 5 ระดบไดแก Home, Trusted, Safe, Untrusted และ Danger โดยใหต าแหนงทใกลศนยกลางทสดเปนต าแหนงของ Host ทเชอถอไดมากทสด ระดบความนาเชอถออาจก าหนดโดยให IP Address ทอยภายในองคกรมความนาเชอถอทสด ระดบทอนตรายอาจเปน IP Address ทอยใน Blacklists หรออยไกลจากองคกร ส าหรบเสนทแสดงการตดตอกนระหวาง IP Address จะเรยกวา Communication Visualization ดงแสดงในภาพท 2.8 โดยสของเสนแสดงถงประเภทของการตดตอสอสาร ความหนาบางของเสนแสดงปรมาณของการตดตอสอสาร

10

ภาพท 2.6 การออกแบบสวนประกอบตางๆ ของโปรแกรม NetworkEye

แหลงทมา: Fink and others, 2004: 7.

ภาพท 2.7 การออกแบบในสวน Network Pixel Map และ Trust Levels ของโปรแกรม NetworkEye


11

ภาพท 2.8 การออกแบบในสวน Communication Visualization ของโปรแกรม NetworkEye


ภาพท 2.9 แสดงภาพของ Network View ทสรางตามแนวคดทไดออกแบบไว


12

(2), (3) Host View แสดงความสมพนธระหวาง Applications, Processes, Sockets, Ports และ Remote Hosts โดยท าการแทน Pixel ซงแสดง Port ในการตดตอสอสาร เรยกวา Port Pixel Map ดงแสดงในภาพท 2.10 โดยผใชสามารถเลอกการตดตอสอสารทสนใจและคนหาเฉพาะ Hosts, Ports, Sockets, Processes และ Applications ทตองการ โดยทหมายเลข (2) จะเปนสวนของ Client Host View และหมายเลข (3) เปนสวนของ Server Host View

ภาพท 2.10 การออกแบบในสวน Host View ของโปรแกรม NetworkEye


(4) End-to-End View คอการน าคณลกษณะของ Network View และ Host View มารวมกนเพอใหไดภาพของ End-to-End ซงจะชวยใหผดแลระบบมงเนนไปทการตดตอสอสารในจดทสนใจและแสดงถง Applications, Processes, Sockets และ Ports ทใชในการตดตอสอสารทงหมด

ประโยชนของโปรแกรม NetworkEye คอ แสดงขอมลและเหตการณผดปกตภายในเครอขายคอมพวเตอร เพอเพมประสทธผลของระบบในการวเคราะหความผดปกต และลดเวลาในการตรวจสอบเครอขายคอมพวเตอร

13

2.1.4 IDS RainStorm IDS RainStorm (Abdullah, Lee, Conti, Copeland and Stasko, 2005: 1-10)

ถกออกแบบมาเพอแสดง IP Address ใน Class B โปรแกรมนจะแบงมมมองออกเปน 2 สวนไดแก Main View ส าหรบแสดงภาพรวมทงหมดของระบบและ Zoom View ส าหรบแสดงขอมลทละเอยดขนเมอผใชเลอกชวงของ IP Address ทตองการ รายละเอยดในแตละสวนเปนดงน

Main View หนาจอหลกส าหรบแสดงภาพรวมทงหมดของระบบ โดยใชเทคนคการแสดงขอมลในลกษณะจากบนลงลาง ( Top-to-Bottom) ดงแสดงในภาพท 2.11 แตละแกนในแนวตงแสดง IP Address ในล าดบทตางกน แกนในแนวนอนแสดงชวงเวลาภายใน 24 ชวโมง ภาพท 2.12 จะแสดงโปรแกรมในสวนของ Main View ทสรางจากแนวคดทไดออกแบบไว แตละ Pixel ในแกน X แสดงขอมลในชวง 20 นาท และแตละชวง IP Address ในแกน Y จะแสดงไดประมาณ 20 IP Address เมอผใชเลอนเมาสเลอกพนทใน Main View จะเกดเปนกลองสแดงในชวง IP Address ทเลอกตรงต าแหนงนน IP Address ทเลอกจะแสดงทดานบนของกลองสแดง เมอผใชคลกบนภาพจะปรากฏหนาจอท 2 ขนมาซงจะเปนภาพขยายของกลองสแดงทไดเลอกไว ซงหนาจอดงกลาวนกคอสวนของ Zoom View

ภาพท 2.11 วธการแสดงขอมล IP Address ของโปรแกรม IDS RainStorm

แหลงทมา: Abdullah and others, 2005: 2.

14

ภาพท 2.12 โปรแกรม IDS RainStorm ในสวนของ Main View


ภาพท 2.13 โปรแกรม IDS RainStorm ในสวนของ Zoom View


15

Zoom View เปนสวนทแสดงรายละเอยดจากการเลอกของผใชในสวนของ Main View ดงแสดงในภาพท 2.13 ซงแสดง IP Address ทมาจากภายในทดานซายของแกน และแสดง IP Address ทมาจากภายนอกทดานขวาของแกน จดสแตละจดคอ Alarm Severity (สญญาณเตอนถงความผดปกต) สแดงหมายถงมความผดปกตทมความรนแรงสง สเหลองหมายถงมความรนแรงปานกลาง สเขยวหมายถงมความรนแรงต า ซงระดบสนผใชสามารถก าหนดเองได เสนแสดงถงการตดตอระหวาง IP Address ภายนอกและ IP Address ภายใน เมอผใชวางเคอรเซอรของเมาสไวเหนอไอคอนหรอขอความ ขอมลทเปนค าอธบายจะถกขยายออกมาเรยกวา Glossing

IDS RainStorm มประโยชนส าหรบเครอขายขนาดใหญ ชวยในการวเคราะหแบบเรยลไทม แสดง IP Address ทงภายในและภายนอก และแสดงสญญาณเตอนถงความผดปกตทเกดขน มความสามารถในการกรองขอมลทเรยกวา Filtering ทงใน Main View และ Zoom View ผใชสามารถเลอกแสดงเฉพาะสญญาณเตอนทเปนสแดง เหลอง หรอเขยวได ซงชวยใหผใชวเคราะหสญญาณเตอนทเกดขนในเวลาเดยวกนได

2.1.5 Tudumi Tudumi (Takada and Koike, 2002: 560-566) ถกออกแบบมาใหเปน Log

Visualization System ประกอบดวยฟงกชนทชวยผดแลระบบในการตรวจสอบผใชและความผดปกตจากการบกรกในเครอขายคอมพวเตอรขนาดใหญ การแสดงขอมลของโปรแกรมจะแสดงในลกษณะของดสก ( Disks) ซงแบงเปนระดบชนโดยแบงเปน 2 กลมคอ ดสกชนลางสดแสดงขอมลของผใช และชนอนๆ ทอยเหนอขนไปแสดงการเขาถงขอมลในเครอขายและขอมลการใชงานระบบเครอขายของผใชดงแสดงในภาพท 2.14

ภาพท 2.15 แสดงโปรแกรม Tudumi ในการเขาถง Hosts และการเขาสระบบของผใช การเขาถง Hosts ( Access Hosts) จะแสดงเปนทรงกลมทวงดานนอกของดสก การเขาสระบบของผใช ( Log-in Users) จะแสดงเปนสเหลยมลกบาศกกบภาพทวงดานในของดสก เสนทโยงระหวางทรงกลมและลกบาศกแสดงถงความสมพนธระหวางการเขาถง Hosts และการเขาสระบบของผใช รปแบบทตางกนของเสนแสดงถงวธการเขาถงขอมล เสนประทหยาบแสดงถง Terminal Use คอผใชทเขาสระบบและมการใชค าสงบางอยาง เสนประทละเอยดแสดงถงมการถายโอนไฟล และเสนประหนาแสดงถงการใชงานในทงสองกรณ

โดยทวไปผดแลระบบจะมเกณฑในการตดสนวา แตละเหตการณเปนพฤตกรรมปกตหรอไม โปรแกรม Tudumi สามารถแสดงกฎเหลานนเปนภาพแทนได คอกฎในการเขาถง Hosts และกฎในการเขาสระบบของผใช โดยจะแทนกฎเกยวกบการเขาถง Hosts ในลกษณะชนของดสกเรยกวา Layers ผดแลระบบสามารถก าหนดกฎส าหรบการเขาถง Hosts ได โดเมนทมาจากตางประเทศจะปรากฏทชนบนสดของดสกดงแสดงในภาพท 2.16

16

ภาพท 2.14 การแสดงขอมลโดยใชลกษณะของดสกของโปรแกรม Tudumi

แหลงทมา: Takada and Koike, 2002: 562.

ภาพท 2.15 แนวคดการออกแบบ Network Access และ Log-in User ของโปรแกรม Tudumi


17

ภาพท 2.16 แสดงระดบชนซงแสดงกฎเกยวกบการเขาถง Hosts ของโปรแกรม Tudumi


ภาพท 2.17 แสดงตวอยางของการเลอกวตถของโปรแกรม Tudumi


18

รปภาพทแสดงอยบนลกบาศกแตละลกจะแสดงภาพทเปนตวแทนของผใชแตละคนซงใชในการแบงกลมของผใช ถาผใชคลกทลกบาศกจะสามารถแสดงขอมลเฉพาะทผใชเลอกและขอมลทเกยวของดงแสดงในภาพท 2.17

ภาพท 2.18 แสดงตวอยางการควบคมระดบชนของโปรแกรม Tudumi


โปรแกรมสามารถแสดงเฉพาะสวนหนงของชนทผใชเลอกดงแสดงในภาพท 2.18 เพอการควบคมจ านวนขอมลทแสดง และเพอลดขอบเขตการมองของผใชทเกดจากการแสดงจ านวนของขอมลมากเกนไป

ประโยชนของโปรแกรม Tudumi ชวยใหผดแลระบบตดตามและตรวจสอบ Log และท าใหการตรวจหาเหตการณทมความผดปกตจากการบกรกในเครอขายคอมพวเตอรไดงายขน

2.1.6 InetVis InetVis (Riel, 2006: 1) เปนโปรแกรมซงใชเทคนค 3-D Scatter-Plot Visualization

ส าหรบแสดงภาพในเครอขายคอมพวเตอร เพอชวยในการสงเกตกจกรรมตางๆ และรปแบบของการตดตอสอสารทผดปกตในเครอขายขนาดใหญ แนวคดในการออกแบบโปรแกรมนมาจาก Spinning Cube of Potential Doom โดย Stephen Lau โดยก าหนดให Destination Address (Home Network) แสดงในแกน X ของกราฟซงเปนสน าเงน Source Address (External

19 Internet Range) แสดงในแกน Z ของกราฟซงเปนสแดง Ports (TCP และ UDP) แสดงในแกน Y ของกราฟซงเปนสเขยว และ ICMP จะแสดงอยดานลางของ TCP/UDP โดยเปนแผนสเทาหรอขาว ดงแสดงในภาพท 2.19

ภาพท 2.19 การออกแบบวธการแสดงขอมลของโปรแกรม InetVis

แหลงทมา: Riel, 2006: 1.

สวนประสานกบผใช (User Interface) จะแบงออกเปนสหนาจอการท างานไดแก หนาจอแสดงขอมล (Dedicated Display Panel) หนาจอควบคมหลก (Main Control Panel), หนาจอตงคาการวาดกราฟ (Plotter Settings) และ หนาจอตงคาการอางองของเฟรม (Reference Frame Settings)

หนาจอแสดงขอมล ( Display Pane) แสดงในภาพท 2.20 สามารถควบคมมมมองของขอมลดวยเมาส เมอกดเมาสปมซายจะสามารถหมนมมมองรอบวตถ กดเมาสปมขวาจะสามารถเลอนแกนไปตามแนว X-Y ลอเลอนทปมกลางจะเลอนแกนไปตามแนว Z และเมอกดเมาสปมกลางจะสามารถยอ ขยาย มมมองได

20

ภาพท 2.20 หนาจอแสดงขอมลของโปรแกรม InetVis


หนาจอควบคม (Control Panel) แสดงในภาพท 2.21 ท าหนาทควบคมการแสดงขอมลประกอบดวย

(1) เมนหลก (Main Menu) ส าหรบค าสงตางๆ เชน เปดไฟล ก าหนดโหมดทจะแสดง (2) ปมควบคมต าแหนงทจะแสดงเหตการณซ า (Replay Position Controls) (3) ปมควบคมความเรวของเหตการณทจะแสดงซ า (Replay Speed Controls) (4) ปมควบคมการบนทกเหตการณ (Recording Controls) (5) ปมแสดงเหตการณทเคยเกดขน (Historic View) (6) ตวกรองการแสดงผล (Filter) (7) รายงานจ านวนของ Packets ปจจบนทอยใน Buffer

21

ภาพท 2.21 หนาจอควบคมของโปรแกรม InetVis


หนาจอตงคาการวาดกราฟ ( Plotter Settings) แสดงในภาพท 2.22 ก าหนดคาและควบคมการวาดกราฟทแสดงขอมลประกอบดวย

(1) สวนก าหนดคา Destination Home Network Range (2) สวนก าหนดคา Source Internet Network Range (3) สวนก าหนดคา Port Range (4) สวนก าหนดคาสทใช ก าหนดสของพนหลง ก าหนดความโปรงแสง (5) สวนก าหนดคาขนาด ความเรยบ ความนน ของจดทใชวาดกราฟ หนาจอตงคาการอางองของเฟรม ( Reference Frame Settings) แสดงในภาพท 2.23

ประกอบดวย (1) สวนก าหนดโหมดการแสดงภาพ (Projection Mode) (2) สวนก าหนดเฟรมทอางอง (Reference Frame) (3) สวนก าหนดความโปรงแสงของเสนตาราง (Transparent Grid) (4) สวนก าหนดการแบงความถของเสนตาราง (Grid Partitions) (5) สวนก าหนดการแสดงแถบตวอกษร (Text Labels)

22

ภาพท 2.22 หนาจอตงคาการวาดกราฟของโปรแกรม InetVis


ภาพท 2.23 หนาจอตงคาการอางองของเฟรมของโปรแกรม InetVis


23

ประโยชนของโปรแกรม InetVis คอชวยในการสงเกตกจกรรมตางๆ และรปแบบของการตดตอสอสารทผดปกตในเครอขายขนาดใหญ ชวยในการส ารวจเครอขายคอมพวเตอรและชวยแสดงขอมลใหเขาใจไดดยงขน

2.2 ผลสรปทไดจากการศกษางานวจยทเกยวของ

จากงานวจยตางๆ ทไดกลาวมาจะเหนไดวา แตละงานวจย ใชเทคนคในการแสดงขอมลภายในเครอขายคอมพวเตอร แหลงขอมลทใช ขอมลทน ามาแสดง และฟงกชนแตกตางกนไป สามารถสรปไดดงตารางท 2.1 ซง ในวทยานพนธฉบบนไดน าเทคนคตางๆ ทไดศกษาจากงานวจยขางตนมาเปนแนวทางและประยกตใช โดยเลอกคณลกษณะทเหมาะสมมาใชในงานวจย ซงพจารณาจากวตถประสงคของงานวจยเปนหลก โดยมรายละเอยดคอ เทคนคทใชแสดงขอมลจะแสดงขอมลบนแผนกระดาน (Plate) 3 แผน ทตงฉากกน ในพนท 3 มต และ แสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผน โดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร แหลงขอมลทใชจะน ามาจากผลของการวเคราะหท Snort ตรวจจบได (Snort Log) ขอมลทจะแสดงประกอบดวย IP Address, Port, Timestamp, Signature และ Header ซงแนวคดในการออกแบบและหลกการท างานของระบบจะกลาวถงในบทถดไป

ตารางท 2.1 รายละเอยดโดยรวมของงานวจยทเกยวของ

งานวจย เทคนคทใชแสดง

ขอมล แหลงขอมล

ทใช ขอมลทแสดง ฟงกชนทม

NvisonIP XY Grid, Drill-Down Levels

NetFlow IP Address, Port, Protocol

Color Mapping, Zooming, Frame Animation, Graph

TNV Matrix-Based NetFlow IP Address, Port, Protocol, Timestamp

Filtering, Zooming, Color Mapping, Network Links

NetworkEye End-to-End NetFlow IP Address, Port, Protocol, Files in Use

Pixel Map, Trust Levels, Network Links, Color Mapping

IDS RainStorm

Parallel Coordinate Plot

Snort Log IP Address, Alarm, Time stamp

Zooming, Filtering, Color Mapping

24 ตารางท 2.1 (ตอ)

งานวจย เทคนคทใชแสดง

ขอมล แหลงขอมล

ทใช ขอมลทแสดง ฟงกชนทม

Tudumi Disks Log-Files IP Address, Network Access, Log-in User

Filtering, Network Links, Color Mapping

InetVis 3D-Scatter Plot NetFlow IP Address, Port

Filtering, Color Mapping

บทท 3

การออกแบบและหลกการท างานของระบบ

3.1 โครงสรางการท างานของระบบ

โครงสรางการท างานของระบบสามารถแบงการท างานออกเปน 3 สวนไดดงน

3.1.1 ระบบตรวจจบการบกรกในระดบเครอขายคอมพวเตอร Network Intrusion Detection System (NIDS) คอระบบตรวจจบการบกรกในระดบ

เครอขายคอมพวเตอร มหนาทวเคราะหขอมลตางๆ ทเกดขนในเครอขายคอมพวเตอรวาเปนการบกรกหรอไม โดยการพจารณาจากขอก าหนดและกฎทไดระบไว หรอจากการเกบสถตของการบกรกทเกดขนในระบบ ในงานวจยนไดน าเอา Snort ซงเปนโปรแกรมส าหรบตรวจจบการบกรกทางเครอขายมาใชในการวเคราะหขอมลในเครอขายคอมพวเตอร เพอหาถงความพยายามในการบกรกหรอความผดปกตทเกดขนจากการโจมตในระบบเครอขาย โปรแกรม Snort มการท างานหลกอย 3 การท างานคอ 1 ) Packet Sniffer ท าหนาทในการตรวจจบ Packet ในเครอขายคอมพวเตอร 2 ) Packet Logger ท าหนาทบนทกขอมลตางๆ ซงตรวจจบไดจากเครอขายคอมพวเตอร 3 ) NIDS ท าหนาทวเคราะหการบกรกหรอความผดปกตทเกดขนในเครอขายคอมพวเตอร ในงานวจยนไดใชการท างานในสวนของ NIDS ของ Snort มาชวยในการวเคราะหการบกรก ขอมลทวเคราะหหรอตรวจจบไดจาก Snort (Snort Log) จะท าการเกบไวในระบบฐานขอมล และแสดงเปนภาพในระบบทพฒนาขนตอไป

3.1.2 ระบบฐานขอมล ระบบฐานขอมลท าหนาทในการเกบ Alert Data (ขอมลตางๆ ทวเคราะหหรอตรวจจบได

จาก Snort) ในงานวจยนไดใช MySQL เปนฐานขอมล ขอมลทเกบไวจะใชในการวเคราะหและน าขอมลมาแสดงในระบบ ขอมลทมการจดเกบประกอบดวย IP Address, Port, IP Header, TCP Header, UDP Header, ICMP Header, Data Payload, Signature (หมายเลขท Snort ใชในการระบลกษณะของความผดปกตในเครอขายทตรวจจบได) และ Timestamp

26

3.1.3 ระบบการสรางภาพนามธรรม ท าหนาทในการแสดงขอมลทน ามาจากฐานขอมลตามเงอนไขทผใชก าหนดในรปแบบ

สามมต โดยใชหลกการของ Visualization ซงเปนการใชเสน รปราง และส เพอแทนความหมายของขอมล

ภาพท 3.1 โครงสรางการท างานของระบบทน าเสนอในงานวจย

3.2 การออกแบบระบบ

การออกแบบหนาจอการใชงานของระบบ จะยดหลกของความงายในการใชงานของผใช ความสมพนธของขอมลทน ามาแสดง การใหอสระแกผใชในการก าหนดขอมลทจะน ามาแสดง และการแสดงขอมลทไดในรปแบบ 3 มต การอธบายสวนประกอบตางๆ ของระบบจะเรมจากการอธบายภาพโดยรวมของระบบ และรายละเอยดของระบบในแตละสวน

3.2.1 แนวคดในการออกแบบระบบ ขอมลการสอสารในเครอขายจะถกแสดงบนแผนกระดาน 3 แผนทตงฉากกนในพนท 3

มต โดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสามในการแสดงความสมพนธระหวางขอมล และใชสของเสนในการแสดงปรมาณของการตดตอสอสารในเครอขาย แนวคดในการออกแบบการแสดงขอมลในเครอขายของระบบทน าเสนอในงานวจยแสดงดงรป 3. 2 ซงประกอบดวยสวนตางๆ ดงน

27

ภาพท 3.2 แนวคดในการออกแบบการแสดงขอมลในเครอขายของระบบทน าเสนอในงานวจย

(1) Front Plate เปนพนทส าหรบวางวตถทแสดงถง Source IP Address (2) Middle Plate เปนพนทส าหรบวางวตถทแสดงถง Port (3) Back Plate เปนพนทส าหรบวางวตถทแสดงถง Destination IP Address (4) Object แสดงถงวตถทวางอยบน Plate ซงผใชสามารถคลกเลอกวตถได (5) Line แสดงถงเสนซงใชแสดงความสมพนธระหวางวตถทอยบน Plate ทงสาม แนวคดในการออกแบบการแสดงขอมลบนแผนกระดานทงสาม แบงพนทในการแสดง

ขอมลออกเปนสามสวน แตละสวนใชแสดงขอมลทแตกตางกน การใชเสนสในการแสดงความสมพนธของขอมล สามารถชวยใหผใชมองเหนภาพรวมของการตดตอสอสารในเครอขาย และท าการคนหาขอมลทตองการไดงายขน

3.2.2 ภาพรวมของระบบ ภาพรวมของระบบจะประกอบดวยหนาจอหลายสวนทมวตถประสงคในการใชงานท

แตกตางกน แตมความสมพนธกนในดานขอมล ซงแสดงดงภาพท 3. 3 โดยสามารถแบงสวนประกอบหลกของระบบไดดงน

3.2.2.1 หนาจอแสดงขอมลในรปแบบ 3 มต (หมายเลข 1) 3.2.2.2 สวนก าหนดวนและเวลาของขอมลทแสดง (หมายเลข 2) 3.2.2.3 สวนควบคมการแสดงขอมลของ IP Address (หมายเลข 3) 3.2.2.4 สวนควบคมการแสดงขอมลของ Port (หมายเลข 4) 3.2.2.5 สวนก าหนดคาในการคนหาขอมล (หมายเลข 5) 3.2.2.6 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล (หมายเลข 6) 3.2.2.7 สวนก าหนดรายละเอยดของความสมพนธระหวางขอมล (หมายเลข 7)

28

3.2.2.8 สวนแสดงรายละเอยดของขอมล Header และ Signature (หมายเลข 8)

ภาพท 3.3 ภาพรวมและสวนประกอบตางๆ ของระบบทน าเสนอในงานวจย 3.2.3 หนาจอแสดงขอมลในรปแบบ 3 มต หนาจอแสดงขอมลในรปแบบ 3 มต มแนวคดในการออกแบบโดยขอมลการสอสารใน

เครอขายจะถกแสดงบนแผนกระดาน 3 แผนทตงฉากกนในพนท 3 มต และแสดงความสมพนธระหวางขอมลบนแผนกระดานโดยใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม ใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขาย ผใชงานสามารถหมนมมมองในการแสดงขอมลโดยการคลกและเลอนเมาสปมซาย เมอผใชคลกและเลอนเมาสปมขวาจะสามารถเลอนมมมองในการแสดงขอมล และเมอผใชเลอนลกเลอนทกลางเมาสจะสามารถยอขยายมมมองของวตถได หนาจอแสดงขอมลในเครอขายในรปแบบ 3 มตไดพฒนาขนตามแนวคดทไดออกแบบไวแสดงไดดงภาพท 3.4

29

ภาพท 3.4 หนาจอแสดงขอมลของเครอขายในรปแบบ 3 มต

3.2.4 สวนก าหนดวนและเวลาของขอมลทแสดง ผใชสามารถก าหนดวนและเวลาของเหตการณการสอสารในเครอขายทตองการแสดง

ขอมล หรอสามารถก าหนดชวงเวลาทตองการแสดงขอมลได ดงภาพท 3.5

ภาพท 3.5 สวนก าหนดวนและเวลาของขอมลทแสดง

3.2.5 สวนควบคมการแสดงขอมลของ IP Address สวนควบคมการแสดงขอมลของ IP Address ประกอบดวย Source IP Address และ

Destination IP Address ซงแสดงอยบน Front Plate และ Back Plate ตามล าดบ โดยใชวตถรปลกบาศก 1 ลกแทน IP Address 1 IP การจดเรยงวตถจะเรยงตามหมายเลข IP Address จากนอยไปมาก โดยเรมจากมมบนดานซายของ Plate ไปจนหมดแถวหนงแลวเรมตวตอไปใหมจากดานซายของแถวท 2 เรยงกนไปจนถงตวสดทายคอมมลางขวาของ Plate ตามภาพท 3.6

30

ภาพท 3.6 แสดงตวอยางการเรยงล าดบ IP Address จ านวน 80 IP ทแสดงบน Plate

ภาพท 3.7 สวนทใชในการก าหนด Page ในการแสดงขอมลของ IP Address

ใน Plate 1 Plate จะก าหนดใหมขนาด 30 x30 ท าใหสามารถรองรบขอมลไดสงสด 900 IP Address ในแตละ Plate ถาม IP Address มากกวา 900 IP จะก าหนดใหแสดงในหนาท 2 ซงถกก าหนดโดยหมายเลขทเรยกวา Page เชน ขอมลของ IP Address 2000 IP จะใช Page ในการแสดงขอมลทงหมด 3 Page โดยสวนทใชในการก าหนด Page ในการแสดงขอมลแสดงดงภาพท 3.7 เหตผลทตองก าหนดจ านวนของ IP Address ทจะแสดงตอ Plate หนงๆ นนเพราะการแสดง IP Address ทงหมดในคราวเดยวจะท าใหมมมองมขนาดใหญเกนไป และการแสดงความสมพนธของขอมลจะซบซอนยากทผใชจะเขาใจเนองจากขอมลมปรมาณมาก

31

3.2.6 สวนควบคมการแสดงขอมลของ Port สวนควบคมการแสดงขอมลของ Port ใน Middle Plate ซงผใชสามารถก าหนดมมมอง

ของ Port ไดสามมมมอง คอ 3.2.6.1 มมมองของ Source-Destination Port มมมองนจะแสดงทง Source Port และ Destination Port รวมกนเพอใหเหน

ภาพรวมของ Port ทงหมด และงายตอการวเคราะหขอมลของ Port ทมการใชงาน โดยก าหนดให Plate มขนาด 32x32 ชอง แกน X แทน Source Port และแกน Y แทน Destination Port คาของ Source Port 0 และ Destination Port 0 อยทต าแหนงมมบนดานซายของ Plate ดงแสดงในภาพท 3. 8 Port ทมการใชงานจะแสดงดวยวตถรปทรงสเหลยม เชนเดยวกบ IP Address

Port จะมคาสงสดได 65536 คา เมอน ามาแสดงบน Plate ทม 32 ชองจะท าใหแตละชองจะมขอมลได 2048 Port ถา Port ทมการใชงานแสดงอยในชองหนง จะยงไมสามารถรไดวา Port ทใชงานมคาอะไรเพราะมคาทเปนไปได 2048 คา การทจะรไดวาขอมลนนคอ Port อะไรกตอเมอก าหนด Scale ให 1 ชองแทน 1 Port แสดงวาจะตองม Plate ขนาด 65536x65536 ชอง ซงเปนไปไมไดทจะท าเชนนน การแกปญหานท าไดโดยก าหนด Plate ใหแบงเปนระดบชนเรยกวา Layer ดงแสดงในภาพท 3. 9 ซงผใชสามารถเลอก Layer ทตองการแสดงได โดยสามารถแบง Layer ไดเปน 4 Layer ดงน

ภาพท 3.8 แสดง Middle Plate ในมมมองของ Source-Destination Port

32

ภาพท 3.9 สวนควบคมทใชก าหนดระดบชน (Layer) ในมมมองของ Source-Destination Port

1) Layer 1 Plate ในระดบนจะมขนาด 32x32 ชอง แตละชองจะมขอมลของ Port ได

2048 Port 2) Layer 2 Plate ในระดบนจะมขนาด 32x32 ชอง แตละชองจะมขอมลของ Port ได

64 Port 3) Layer 3 Plate ในระดบนจะมขนาด 32x32 ชอง แตละชองจะมขอมลของ Port ได

2 Port 4) Layer 4 Plate ในระดบนจะมขนาด 2 x2 ชอง แตละชองจะมขอมลของ Port ได 1

Port การหาวา Port ทมการใชงานแสดงอยในชองๆ หนงคอ Port อะไร ตวอยางเชน

ขอมลของ Port ทมการใชงานม Source Port เปน 80 และ Destination Port เปน 2049 1) Layer 1 ขอมลทมการใชงานอยในชวง Source Port เทากบ 0 ถง 2047 และ

Destination Port เทากบ 2048 ถง 4095 ดงแสดงในภาพท 3.10 2) Layer 2 ขอมลทมการใชงานอยในชวง Source Port เทากบ 64 ถง 127 และ

Destination Port เทากบ 2048 ถง 2111 ดงแสดงในภาพท 3.11 3) Layer 3 ขอมลทมการใชงานอยในชวง Source Port เทากบ 80 ถง 81 และ

Destination Port เทากบ 2048 ถง 2049 ดงแสดงในภาพท 3.12

33

4) Layer 4 ขอมลทมการใชงานอยในชวง Source Port เทากบ 80 และ Destination

Port เทากบ 2049 ดงแสดงในภาพท 3.13 ซงจะไดขอมลทตองการ

ภาพท 3.10 แสดงขอมลทมการใชงานใน Layer 1 ของ Plate


34



35

3.2.6.2 มมมองของ Source Port แสดง Source Port ทมการตดตอสอสารในเครอขายใน Middle Plate โดยใชวตถ

รปทรงสเหลยม 1 รปแทน Source Port แตละ Port การจดเรยง Port จะเรยงตามหมายเลข Port เหมอนกบการเรยงหมายเลข IP Address แตละ Plate มขนาด 32x32 ชอง สามารถรองรบขอมลได 1024 Port ถาม Port มากกวา 1024 Port จะก าหนดใหแสดงในหนาถดไป ซงถกก าหนดโดยหมายเลขทเรยกวา Page เชนเดยวกบ IP Address เชน ขอมลของ Port 2000 Port จะตองใช Page ในการแสดงขอมลทงหมด 2 Page โดยทผใชสามารถเปลยน Page ไปยง Page ทตองการแสดงขอมลไดดงแสดงในภาพท 3.14

ภาพท 3.14 สวนควบคมทใชก าหนด Page ในมมมองของ Source Port

3.2.6.3 มมมองของ Destination Port แสดง Destination Port ทมการตดตอสอสารในเครอขายใน Middle Plate โดยม

การแสดงขอมลเชนเดยวกบ Source Port ดงแสดงในภาพท 3.15

ภาพท 3.15 สวนควบคมทใชก าหนด Page ในมมมองของ Destination Port

36

3.2.7 สวนก าหนดคาในการคนหาขอมล สวนนใชส าหรบก าหนดคาในการคนหาส าหรบแสดงขอมล Source IP, Destination IP,

Source Port และ Destination Port ในหนาจอแสดงขอมลในรปแบบ 3 มต โดยขอมลทแสดงเปนขอมลทผใชก าหนดในเงอนไขของการคนหาเทานน ซงสามารถแบงได 2 รปแบบดงน

3.2.7.1 การคนหาโดยระบขอมลในการคนหา ผใชสามารถระบขอมลของ Source IP, Destination IP, Source Port และ

Destination Port ทจะท าการคนหา หรอระบชวงของขอมลทจะท าการคนหาได เชน ผใชระบ Source IP Address ทจะท าการคนหาระหวาง 202.0.0.0 ถง 204.0.0.0 ดงแสดงในภาพท 3.16 ผลทไดจะแสดงขอมลของ Source IP Address ในชวงทระบเทานนดงแสดงในภาพท 3.17 ผใชสามารถเลอกขอมลทจะท าการคนหามากกวา 1 ขอมลได เชน ผใชระบขอมลทจะคนหาคอ Source IP Address 120.0.0.0 ถง 130.0.0.0 และ Source Port 80 ถง 90 ดงแสดงในภาพท 3.18 ผลทไดแสดงดงภาพท 3.19

ภาพท 3.16 แสดงตวอยางของการระบขอมลในการคนหา

ภาพท 3.17 แสดงผลทไดจากการการคนหา Source IP Address 202.0.0.0 ถง 204.0.0.0

37

ภาพท 3.18 แสดงตวอยางของการระบขอมลมากกวา 1 ขอมลในการคนหา

ภาพท 3.19 แสดงผลทไดจากการการคนหา Source IP Address 120.0.0.0 ถง 130.0.0.0 และ Source Port 80 ถง 90

3.2.7.2 การคนหาโดยเลอกวตถในหนาจอแสดงขอมล เมอผใชเลอกวตถในหนาจอแสดงขอมล วตถนนจะเปลยนสเปนสแดง และขอมลท

ผใชเลอกจะแสดงในสวนก าหนดคาในการคนหา เมอกดปมคนหาขอมลหนาจอแสดงขอมลจะแสดงเฉพาะวตถทผใชเลอก เชน ผใชเลอก Source IP Address 172.16.113.204 ดงแสดงในหมายเลข 1 ของภาพท 3.20 จะปรากฏขอมลของ IP นนในสวนก าหนดคาในการคนหาดงแสดงในหมายเลข 2 ของภาพท 3.20 เมอกดปมคนหาจะแสดงขอมลของ Source IP Address นนดงแสดงในภาพท 3.21

38

ภาพท 3.20 แสดงตวอยางของการเลอกวตถเพอท าการคนหา

ภาพท 3.21 แสดงผลทไดจากการการคนหา Source IP Address 172.16.113.204

3.2.8 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล แสดงรายละเอยดของวตถทเลอกในหนาจอแสดงขอมล ดงแสดงในภาพท 3.22 ซง

ประกอบดวย 3.2.8.1 Database Status แสดงสถานะของฐานขอมลในขณะนน

39

3.2.8.2 Source IP แสดงหมายเลข Source IP Address ทผใชเลอก, จ านวนความสมพนธของ

Source IP Address ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Source IP Address ในขณะนน

3.2.8.3 Destination IP แสดงหมายเลข Destination IP Address ทผใชเลอก, จ านวนความสมพนธของ

Destination IP Address ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Destination IP ในขณะนน

3.2.8.4 Source Port แสดงหมายเลข Source Port ทผใชเลอก, จ านวนความสมพนธของ Source Port

ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Source Port ในขณะนน 3.2.8.5 Destination Port แสดงหมายเลข Destination Port ทผใชเลอก, จ านวนความสมพนธของ

Destination Port ทผใชเลอก และหมายเลข Page ของแผนกระดานทแสดง Destination Port ในขณะนน

ภาพท 3.22 สวนแสดงรายละเอยดของวตถในหนาจอแสดงขอมล

3.2.9 สวนก าหนดรายละเอยดของความสมพนธระหวางขอมล สวนทใหผใชสามารถก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมลบน

แผนกระดานทงสาม ซงสามารถก าหนดชวงของความสมพนธได 5 ชวง ในแตละชวงจะสามารถก าหนดสของเสนทแสดงความสมพนธระหวางวตถ ตามจ านวนของความสมพนธทมตอวตถนน

40

ดงแสดงในภาพท 3.23 เชน ความสมพนธทมคา 1-5 แสดงดวยสเหลอง ความสมพนธทมคา 6-10 แสดงดวยสสม ความสมพนธทมคา 11-15 แสดงดวยสแดง เปนตน ผลทไดจะแสดงดงภาพท 3.24 การก าหนดใหเสนมสทตางกนจะท าใหเหนถงจ านวนความสมพนธของขอมลไดงายขน

ภาพท 3.23 สวนก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล

ภาพท 3.24 แสดงผลจากการก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล

3.2.10 สวนแสดงรายละเอยดของขอมล Header และ Signature แสดงรายละเอยดของ IP Header, TCP Header, UDP Header, ICMP Header และ

Signature โดยมรายละเอยดดงน

41

3.2.10.1 IP Header แสดงรายละเอยดของ IP Header ดงภาพท 3.25 ซง

ประกอบดวย 1) Version (4 bits) หมายเลขเวอรชนของ Protocol 2) Internet Header Length (4 bits) ความยาวของ Header ในหนวย

32 bit words คาทวไปจะมคาเปน 5 (5*32-bit) 3) Type of Service (8 bits) ใชเปนขอมลส าหรบ Router ในการเลอก

การสงขอมล 4) Total Length (16 bits) ความยาวทงหมดของ IP Datagram (byte) 5) Identification (16 bits) หมายเลขของ Datagram 6) Flags (3 bits) 7) Fragment Offset (13 bits) ใชในการก าหนดต าแหนงขอมลใน

Datagram 8) Time to Live (8 bits) ก าหนดจ านวนครงทมากทสดท Datagram

จะสงระหวาง Hop เพอปองกนการสงขอมลทไมสนสด 9) Protocol (8 bits) ระบ Protocol ทใชใน Datagram 10) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ

ขอมลใน Header

ภาพท 3.25 สวนแสดงรายละเอยดของ IP Header

3.2.10.2 TCP Header แสดงรายละเอยดของ TCP Header ดงภาพท 3.26 ซงประกอบดวย

1) Source Port (16 bits) 2) Destination Port (16 bits) 3) Sequence Number (32 bits) หมายเลขบอกล าดบในการสอสารใน

แตละครง 4) Acknowledgment Number (32 bits) เหมอนกบ Sequence

Number แตจะใชในการตอบรบ

42

5) Data Offset (4 bits) บอกต าแหนงท Data เรมตน 6) Reserved (3 bits) 7) Flags (6 bits) ควบคมจงหวะการรบสงขอมล 8) Window (16 bits) 9) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ

ขอมลใน Header 10) Urgent Pointer (16 bits)

ภาพท 3.26 สวนแสดงรายละเอยดของ TCP Header

3.2.10.3 UDP Header แสดงรายละเอยดของ UDP Header ดงภาพท 3.27 ซงประกอบดวย

1) Source Port (16 bits) 2) Destination Port (16 bits) 3) Length (16 bits) ความยาวของ Datagram 4) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ


ภาพท 3.27 สวนแสดงรายละเอยดของ UDP Header

3.2.10.4 ICMP Header แสดงรายละเอยดของ ICMP Header ดงภาพท 3.28 ซงประกอบดวย

1) Type (8 bits) 2) Code (8 bits)

43

3) Header Checksum (16 bits) ใชในการตรวจสอบความถกตองของ


ภาพท 3.28 สวนแสดงรายละเอยดของ ICMP Header

3.2.10.5 Signature แสดงรายละเอยดของ Signature ดงภาพท 3.29 โดย Signature คอหมายเลขท Snort ใชในการระบลกษณะของความผดปกตในเครอขายทตรวจจบได โดยผใชสามารถระบหมายเลข Signature ทตองการคนหาได

ภาพท 3.29 สวนแสดงรายละเอยดของ Signature

3.3 ตวอยางการวเคราะหลกษณะการโจมตและเหตการณผดปกตทเกดขนในเครอขายคอมพวเตอร

ในสวนนจะแสดงถงการใชเทคนค Visualization ในการแสดงลกษณะการโจมตแบบ

ตางๆ และสถานการณทผดปกตทเกดขนในเครอขายคอมพวเตอร

3.3.1 Port Scans Port Scans เปนรปแบบการโจมตแบบหนงทสามารถตรวจพบไดงาย โดยจะมการใช

งาน Port เปนจ านวนมากใน Host หนง Host การโจมตเกดขนโดยผโจมตสแกนหาวา Port ไหนมการเปดใชงานบางบน Host ทตองการโจมต จดประสงคเพอตรวจสอบวามบรการใดบางบนระบบทรอรบการเชอมตอ หรออยในสถานะทใหบรการไดบน Host ทตองการโจมต จากภาพ ท 3.30 หมายเลข 1 แสดงถงจ านวน Port ทมการใชงานซงมจ านวนมาก โดยผโจมตคอ Host

44

หมายเลข 2 ในภาพท 3.30 และผถกโจมตคอ Host หมายเลข 3 ในภาพท 3.30 เสนสแดงแสดงความสมพนธระหวาง Source IP, Destination IP และ Port ทมการใชงานอย

ภาพท 3.30 แสดงลกษณะของความผดปกตทเกดจาก Port Scans

3.3.2 Denial of Service Attacks Denial of Service Attacks เปนการโจมตทมจดประสงคเพอท าใหเครอขายปฏเสธการ

ใหบรการหรอไมสามารถด าเนนการตอไป เนองจากไมสามารถเขาใชบรการหรอทรพยากรในระบบได ซงการโจมตแบบนมดวยกนหลายวธ ในภาพท 3.31 เปนการโจมตแบบ Denial of Service Attacks วธหนงเรยกวา Smurf Attack โดยจากภาพ 3.31 หมายเลข 1 เปน Host ทอยในเครอขายเดยวกนซงทงหมดไดรบ Broadcast Message มาจาก Host หนงทเปนผโจมตแตไดท าการปลอม IP Address เปนของผทตองการโจมตคอหมายเลข 2 ในภาพท 3.31 เมอ Host ทก Host ในหมายเลข 1 ท าการสง Echo Message กลบไปทหมายเลข 2 พรอมกนในปรมาณมากจะท าให Host หมายเลข 2 หยดการท างานไปได

45

ภาพท 3.31 แสดงลกษณะของความผดปกตทเกดจาก Denial of Service Attacks

3.3.3 ปรมาณของการตดตอสอสารในเครอขายทมากผดปกต ปรมาณของการตดตอสอสารในเครอขาย เปนปจจยหนงในการวเคราะหความผดปกตท

เกดขน Host ทมปรมาณการตดตอสอสารมากในชวงเวลาสนๆ เปนเหตการณหนงทผดแลระบบควรใหความสนใจ เพราะอาจเปนเปาหมายของการโจมตหรอมความผดปกตเกดขน โดยสามารถตรวจสอบ Host ทมปรมาณการตดตอสอสารไดโดยใชสในการจ าแนก จากภาพท 3.32 พบวา Host หมายเลข 1 และ Host หมายเลข 2 มการตดตอสอสารในปรมาณทมากซงแสดงดวยเสนสฟา โดยสงเกตไดจาก สวนก าหนดรายละเอยดของเสนทแสดงความสมพนธระหวางขอมล ดงแสดงในหมายเลข 3 ของภาพท 3.32

ภาพท 3.32 แสดงลกษณะของความผดปกตทเกดจากปรมาณของการตดตอสอสารทมาก ผดปกต

บทท 4

การประเมนประสทธผลของวธการทน าเสนอ

4.1 วธการประเมนประสทธผล

ขอมลการตดตอสอสารในเครอขายคอมพวเตอรทใชในการประเมนประสทธผลนมาจาก DARPA Intrusion Detection Evaluation Data Sets ในป ค .ศ.1999 ซง สรางขนโดย The Information Systems Technology Group (IST) of MIT Lincoln Laboratory

การประเมนประสทธผลมจดประสงค เพอวดระดบ ความพงพอใจของผใชทมตอการออกแบบสวนประสานกบผใชและสวนประกอบตางๆ ของระบบ และ วดประสทธผลของวธการแสดงขอมลทไดน าเสนอในงานวจยน เพอ ชวยใหผใชสามารถสงเกตและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได

การประเมนประสทธผลจะท าโดยกลมผประเมนจ านวน 6 คน รายละเอยดและขอมลของกลมผประเมนแสดงไวดงตารางท 4.1 การ ประเมนประสทธผลเรมดวยการอธบายใหผประเมนเขาใจถงวตถประสงคของงานวจย แนวคดในการออกแบบระบบ และจดประสงคของการ ประเมนประสทธผล จากนนจะใหผ ประเมนไดใชงานระบบและท าการตอบแบบสอบถามซงแบงเปน 2 สวน ดงน

สวนท 1 เปนสวนทเกบขอมลเกยวกบความพงพอใจของผประเมนทมตอระบบ โดยจะใหผประเมนไดทดลองใชงานระบบในสวนตางๆ จดประสงคในการ ประเมนประสทธผลสวนนเพอวดระดบความพงพอใจของผใชทมตอการออกแบบสวนประสานกบผใช และสวนประกอบตางๆ ของระบบ แบบสอบถามสวนนมตนแบบมาจาก Questionnaire for User Interface Satisfaction (QUIS) โดยน ามาประยกตใชเพอใหเหมาะสมกบการใชเปนแบบสอบถามส าหรบงานวจยน

สวนท 2 ใชเหตการณจ าลองทมความผดปกตเกดขนในเครอขาย โดยจะใหผ ประเมนอธบายถงลกษณะของความผดปกต หรอการโจมตทเกดขนในแตละขอโดยสงเขป จดประสงคในการประเมนประสทธผลสวนนเพอวดประสทธผลของงานวจยใหตรงตามวตถประสงควา วธการแสดงขอมลโดยใชเทคนค Visualization ทไดน าเสนอในงานวจยนจะชวยใหผใชสามารถสงเกตและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรไดหรอไม

47 ตารางท 4.1 ขอมลของกลมผประเมนประสทธผล

ต าแหนง (ปจจบน)

สถานทท างาน ประสบการณการท างาน

ผประเมนคนท 1

Analyst Programmer

DST International Co., Ltd.

● RIA Web Application for Mutual Fund's Transfer Agency, 2007 - Present ● A JavaScript API Providing a Streaming Real-Time Quote Data, 2007 ● SDS - Web Services for Snapshot Financial Data, 2006 - 2007 ● IRIS - A Web Application for Software Process Management System, 2004 - 2006


ครสอนวชาคอมพวเตอร

โรงเรยนวดออมนอย (สงกด สพฐ.)

● ครอตราจาง โรงเรยนวดออมนอย (สงกด สพฐ.) ● ก าลงศกษา การบรหารสารสนเทศ มหาวทยาลยวลยลกษณ ● ส าเรจหลกสตร ใบประกอบวชาชพคร มหาวทยาลยราชฏชบานสมเดจ


Senior Application Engineer

The Stock Exchange of Thailand

● SET Community Portal - Web Application for Information Disclosure, 2006 - Present ● Price Reporting System - Real Time Application & Web Services for Information Dissemination, 2005 - 2006 ● Market for Alternative Investment - Web Application for Information Representation, 2005 ● SET Information Management System Data Warehouse - Web Application for Information Management System, 2004 - 2005 and 2008 - 2009 ● SET Market Analysis and Reporting Tool - Web Application for Information Representation, 2004


ต าแหนง (ปจจบน)

สถานทท างาน ประสบการณการท างาน


System Administrator

National Science and Technology Development Agency, National Electronics and Computer Technology Center

● System Administrator, 2004 - Present

● Web Server Setting, 2004 - Present ● Web Application Programmer, 2004 - Present ● Computer Testing Engineer, 2004 - Present


Senior Project Developer

Freewill Solutions Co., Ltd.

● iFIS - Stock Trading Application, 2007 - Present ● IIA - Insurance Management Application, 2004 - 2006


Senior Developer (SA)

CSI Group (Thailand)

● Sales Management System, Office Sale Department, 2009 ● Excite Tax Management, Denso, 2008 ● PMCS (Permission Control System), Denso, 2008 ● E-Budgeting System, Denso, 2007 - 2009 ● ATM (Automated Teller Machine), Fujitsu, 2006 ● POS (Point of Sale), Family Mart, 2005 ● Asset Management System, Office Admin Department, 2005 ● Coil Management System, Sumikin coil Center, 2004 ● Production Control System , Siam Toyota, 2004

49

4.2 ผลทไดจากการประเมนประสทธผล

ผลการประเมนประสทธผลทไดจากแบบสอบถามในสวนท 1 การวดระดบความพงพอใจของผประเมนทมตอระบบ แสดงไวในตารางท 4.2 ซงมผลการประเมนประสทธผลดงน

ความพงพอใจของผประเมนทมตอระบบในภาพรวม พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4) โดยมผเลอก 23 จาก 36 ขอ คดเปน 63.89 %

ความพงพอใจของผประเมนทมตอสวนการจดการเกยวกบหนาจอ พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4 ) โดยมผเลอก 10 จาก 24 ขอ คดเปน 41.67 %

ความพงพอใจของผประเมนทมตอสวนการจดการขอมลตางๆ ของระบบ พบวาผประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4) โดยมผเลอก 11 จาก 24 ขอ คดเปน 45.83 %

ความพงพอใจของผประเมนทมตอการเรยนรการใชงานระบบ พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก (ระดบท 4) โดยมผเลอก 9 จาก 18 ขอ คดเปน 50%

ความพงพอใจของผประเมนทมตอความสามารถของระบบ พบวาผ ประเมนสวนใหญมระดบความพงพอใจอยในระดบมากและมากทสด (ระดบท 4 และระดบท 5 ) โดยมผเลอกเทากนคอ 9 จาก 24 ขอ คดเปน 37.5 %

สรปผลการประเมนทไดจากแบบสอบถามในสวนท 1 ผประเมนสวนใหญมระดบความพงพอใจอยในระดบมาก โดยมผเลอก 62 จาก 126 ขอ คดเปน 49.21% ของจ านวนขอทงหมด

ตารางท 4.2 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 1

ขอค าถาม ระดบความพงพอใจ

*(NA = ไมสามารถระบได) OVERALL REACTION TO THE

SOFTWARE 1 2 3 4 5

NA

1.ภาพรวมของระบบ แย

5 1 ดเยยม 2.การใชงาน ยาก

1 5

งาย

3.ความพงพอใจทมตอระบบ ไมพอใจ

4 2 พอใจ 4.ฟงกชนของระบบ ไมพอเพยง

5 1 พอเพยง

5.ความนาสนใจ นาเบอ

2 4 นาสนใจ 6.ความยดหยน ไมยดหยน

3 2 1 ยดหยน


ขอค าถาม ระดบความพงพอใจ

*(NA = ไมสามารถระบได) SCREEN

1 2 3 4 5

NA

7.การอานตวอกษรบนหนาจอ ยาก

2 3 1 งาย 8.การควบคม Cursor และการ

เคลอนไหวบนหนาจอ ยาก

1

2 3 งาย 9.การแสดงขอมลตางๆบนหนาจอ สบสน

2 3 1 เขาใจงาย

10.การจดวางต าแหนงของหนาจอและปมตางๆ สบสน

1 2 3 เขาใจงาย

SYSTEM INFORMATION

1 2 3 4 5

NA 11.ขอความทแสดงชวยในการท าความเขาใจขอมล ไมชวย

3 3

ชวย

12.ขอความทแสดงสอดคลองกบสงทก าลงท า

ไมสอดคลอง

2 4

สอดคลอง

13.ต าแหนงของขอความบนหนาจอ

ไมสอดคลอง

2 2 2 สอดคลอง

14.การปอนขอมล (Input) ของผใช สบสน

2 3 เขาใจงาย 1

LEARNING

1 2 3 4 5

NA

15.การเรยนรวธใชงานระบบ ยาก

1

4 1 งาย 16.การจดจ าชอและท าความเขาใจปม

ค าสงตางๆ ยาก

1 3 2 งาย 17.ขนตอนทใชเพอใหไดขอมลทตองการ มาก

1 2 3 นอย

SYSTEM CAPABILITIES

1 2 3 4 5

NA

18.ความเรวของระบบ ชา

1 1 1 3 เรว

19.ความนาเชอถอของระบบ ไม

นาเชอถอ 1 2 3 นาเชอถอ

20.การเกด Error บอย 1 4 1 ไมเคย

21.การท าสงทผดพลาดใหกลบมาถก ยาก 1 2 2 งาย 1

51

ผลการประเมนประสทธผลทไดจากแบบสอบถามในสวนท 2 การวดประสทธผลของงานวจยวาวธการแสดงขอมลแบบใหมโดยใชเทคนค Visualization ทไดน าเสนอในงานวจยนจะชวยใหผใชสามารถสงเกตและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรไดหรอไม แสดงไวในตารางท 4.3 ซงมผลการประเมนประสทธผลดงน

ค าถามขอท 1 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มจ านวนของ Source IP หลาย IP ท าการตดตอไปยง Destination IP 202.168.23.6 ในจ านวนทมากผดปกต และ Source IP เหลานนอยในเครอขายเดยวกน ผลทไดจากแบบสอบถามพบวาผ ประเมนทกคนสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง

ค าถามขอท 2 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มการตดตอจาก Source IP 129.152.1.22 ไปท Destination IP 198.47.255.2 โดยการตดตอแตละครงจะใช Source Port ทแตกตางกนซงมจ านวนมากผดปกต ผลทไดจากแบบสอบถามพบวาผ ประเมนทกคนสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง

ค าถามขอท 3 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มการตดตอจาก Source IP 212.160.184.82 ไปท Destination IP 212.160.184.82 ซงเปนคาเดยวกนในปรมาณทมากผดปกต ผลทไดจากแบบสอบถามพบวามผ ประเมน 4 คนทสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง มผประเมน 1 คนทระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไมถกตอง และมผประเมน 1 คนทไมสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตได

ค าถามขอท 4 เหตการณทก าหนดไวมลกษณะของความผดปกตคอ มการตดตอจาก Source IP 200.34.150.37 ไปท Destination IP 160.168.47.47 โดยการตดตอแตละครงจะใช Destination Port ทแตกตางกนซงมจ านวนมากผดปกต ผลทไดจากแบบสอบถามพบวามผประเมน 3 คนทสามารถระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไดถกตอง และมผประเมน 3 คนทระบ Destination IP ทเกดความผดปกตและลกษณะของความผดปกตไมถกตอง

สรปผลการประเมนประสทธผลทไดจากแบบสอบถามในสวนท 2 วธการแสดงขอมลแบบใหมโดยใชเทคนค Visualization ทไดน าเสนอในงานวจยนชวยใหผใชสามารถเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได โดยวดจากจ านวนขอทผ ประเมนสามารถระบลกษณะของความผดปกตไดถกตอง 19 จาก 24 ขอ คดเปน 79.17 % ของจ านวนขอทงหมด

52 ตารางท 4.3 ผลทไดจากแบบสอบถามเพอประเมนประสทธผลในสวนท 2

ลกษณะของความผดปกต

จ านวนผประเมนทระบลกษณะความผดปกตไดถกตอง

จ านวนผประเมนทระบลกษณะความผดปกตไมถกตอง

จ านวนผประเมนทไมสามารถระบลกษณะความผดปกตได

1. มจ านวนการตดตอจากหลาย Source IP ไปท Destination IP 202.168.23.6 ในจ านวนทมากผดปกต

6

2. มการตดตอจาก Source IP 129.152.1.22 ไปท Destination IP 198.47.255.2 โดยการตดตอแตละครงจะใช Source Port ทแตกตางกนซงมจ านวนมากผดปกต

6

3. มการตดตอจาก Source IP 212.160.184.82 ไปท Destination IP 212.160.184.82 ซงเปนคาเดยวกนในปรมาณทมากผดปกต

4 1 1

4. มการตดตอจาก Source IP 200.34.150.37 ไปท Destination IP 160.168.47.47 โดยการตดตอแตละครงจะใช Destination Port ทแตกตางกนซงมจ านวนมากผดปกต

3 3

จากแบบสอบถามทง 2 สวน สรป ผลการประเมนประสทธผลไดวา ผ ประเมนสวนใหญม

ระดบความพงพอใจตอการออกแบบสวนประสานกบผใชและสวนประกอบตางๆ ของระบบอยในระดบมาก โดยวดจากระดบความพงพอใจ ในลกษณะการใชงานของผประเมน และ วธการแสดงขอมลโดยใชเทคนค Visualization ทน าเสนอในงานวจยนชวยใหผใชสามารถตรวจจบและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได

บทท 5

สรปผลการวจยและขอเสนอแนะ

5.1 สรปผลการวจย

วทยานพนธฉบบนเสนอวธการน าเสนอขอมลการสอสารในเครอขายคอมพวเตอร เพอชวยใหผดแลระบบเครอขายเขาใจสภาวะการตดตอสอสาร และสามารถตรวจจบความผดปกตทเกดขนในเครอขาย โดยใชเทคนคคอมพวเตอรกราฟฟกส 3 มตและการออกแบบสวนประสานกบผใชในการควบคมการแสดงผลและคนหาขอมล ขอมลการสอสารจะถกแสดงบนแผนกระดา น (Plate) 3 แผนทตงฉากกนในพนท 3 มต การแสดงความสมพนธระหวางขอมลบนแผนกระดานแตละแผนใชเสนเชอมระหวางวตถบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร

วธการทน าเสนอประกอบดวยสวนประกอบทส าคญ 3 สวน คอ สวนทหนงระบบการตรวจจบการบกรกในระดบเครอขายคอมพวเตอร ท าหนาทวเคราะหการสอสารในเครอขายคอมพวเตอรวาเปนการบกรกหรอไม สวนทสองระบบฐานขอมล ท าหนาทในการ จดเกบผลของการวเคราะหทไดจากระบบตรวจจบการบกรก และสวนทสามระบบการ สรางภาพนามธรรม ท าหนาทแสดงขอมลในเครอขายคอมพวเตอรในลกษณะ 3 มต ซงใชเทคนค Visualization ในการแสดงขอมล โดยจะแสดงขอมลบนแผนกระดาน 3 แผนทตงฉากกน ในพนท 3 มต โดยใชต าแหนงของแผนกระดานในการก าหนดพนทในการแสดงขอมล ประกอบดวย 1 ) แผนกระดานดานหนา (Front Plate) เปนพนทส าหรบแสดงขอมลของ Source IP Address 2) แผนกระดานตรงกลาง (Middle Plate) เปนพนทส าหรบแสดงขอมลของ Port 3) แผนกระดานดานหลง (Back Plate) เปนพนทส าหรบแสดงขอมลของ Destination IP Address โดยใชเสนในการแสดงความสมพนธระหวางขอมลบนแผนกระดานทงสาม และใชสของเสนในการก าหนดปรมาณของการตดตอสอสารในเครอขายคอมพวเตอร ผใชงานสามารถหมนและยอขยายมมมองในการแสดงขอมลได

ระบบตนแบบไดถกพฒนาขนตามหลกการออกแบบทน าเสนอ และท าการประเมนประสทธผลโดยใชแบบสอบถามกบผประเมนจ านวน 6 คน ผลการ ประเมนประสทธผลสรปไดวา ผประเมนสวนใหญมระดบความพงพอใจตอการออกแบบสวนประสานกบผใช และสวนประกอบตางๆ ของระบบอยในระดบมาก โดยวดจากระดบความพงพอใจ ในการใชงานของผประเมน และ

54

วธการแสดงขอมลแบบใหมโดยใชเทคนค Visualization ทไดเสนอในงานวจยนชวยใหผใชสามารถตรวจจบและเขาใจความผดปกตทเกดขนภายในเครอขายคอมพวเตอรได

5.2 ขอเสนอแนะ

ในสวนของการแสดงขอมล การพฒนาตอไปในอนาคตควรปรบปรงรปแบบการแสดงรายละเอยดของขอมล โดยเมอน าเมาสไปชทวตถควรจะแสดงรายละเอยดของขอมลเปนกลองขอความ (Tooltip) เหนอวตถนนได

ในสวนของการออกแบบสวนประสานกบผใช ควรปรบปรงใหงายตอการใชงานของผใช และเปนประโยชนในการใชงานยงขน เชน การพฒนาในสวนของการคนหาขอมล ใหสามารถท าการคนหา IP Address หลาย IP Address พรอมกน หรอท าการคนหาในลกษณะเงอนไข เชน ไมเทากบ มากกวา หรอนอยกวาได และพฒนาในสวนของการแสดงรายละเอยดของ Header ใหสามารถจบเกบผลของการแสดงขอมลเปน Text Files หรอพมพออกเปนรายงานได เปนตน

บรรณานกรม

Abdullah, Kulsoom; Lee, Chris; Conti, Gregory; Copeland, John A. and Stasko, John.

2005. IDS RainStorm: Visualizing IDS Alarms. In VizSEC: Proceedings of the IEEE Workshops on Visualization for Computer Security. Washington, DC: IEEE Computer Society. Pp. 1-10.

Archibald, Neil; Ramirez, Gilbert; Rathaus, Noam. 2005. Nessus, Snort, & Ethereal Power Tools: Customizing Open Source Security Applications. Rockland: Syngress.

Beale, Jay. 2004. Snort 2.1 Intrusion Detection. 2nd ed. Rockland: Syngress. Beale, Jay; Temmingh, Roelof; Meer, Haroon; Walt, Charl van der and Moore, HD.

2005. Penetration Tester’s Open Source Toolkit. Rockland: Syngress. Bearavolu, Ratna; Lakkaraju, Kiran and Yurcik, William. 2005. NVisionIP: An

Animated State Analysis Tool for Visualizing NetFlows. Retrieved May 8, 2008 from http://www.cert.org/flocon/2005/presentations/Bearavolu-NVisionIP-FloCon2005.pdf

Bejtlich, Richard. 2004. The Tao of Network Security Monitoring: Beyond Intrusion Detection. Boston: Addison Wesley.

Fink, Glenn A.; Ball, Robert; North, Chris; Jawalkar, Nipun and Correa, Ricardo. 2004. Network Eye: End-to-End Computer Security Visualization. Retrieved May 21, 2008 from http://people.cs.vt.edu/~finkga/downloads/Fink-etal-VizSec2004.pdf

Goodall, John R.; Lutters, Wayne G.; Rheingans, Penny and Komlodi, Anita. 2005. Preserving the Big Picture: Visual Network Traffic Analysis with TNV. In VizSEC: Proceedings of the IEEE Workshop on Visualization for Computer Security. Washington, DC: IEEE Computer Society. Pp. 47-54.

Goodall, John R.; Lutters, Wayne G.; Rheingans, Penny and Komlodi, Anita. 2006. Focusing on Context in Network Traffic Analysis. In IEEE Computer Graphics and Applications. Los Alamitos: IEEE Computer Society. Pp. 72-80.

56

Kasemsri, Rawiroj Robert. 2005. A Survey, Taxonomy, and Analysis of Network Security Visualization Techniques. Master’s thesis, Georgia State University.

Kilgard, Mark J. 1996. The OpenGL Utility Toolkit (GLUT) Programming Interface. Retrieved June 9, 2008 from http://www.opengl.org/resources/libraries/ glut/glut-3.spec.pdf

Lakkaraju, Kiran; Yurcik, William and Lee, Adam J.. 2004. NVisionIP: NetFlow Visualizations of System State for Security Situational Awareness. In VizSEC/DMSEC: Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security. New York: ACM. Pp. 65-72.

Lincoln Laboratory, Massachusetts Institute of Technology. 1999. 1999 DARPA Intrusion Detection Evaluation Data Set. Retrieved October 15, 2008 from http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/ 1999data.html

Northcutt, Stephen; Cooper, Mark; Fearnow, Matt and Frederick, Karen. 2001. Intrusion Signatures and Analysis. Indianapolis: New Riders.

OpenGL. 2008. OpenGL 2.1 Reference Pages. Retrieved June 9, 2008 from http://www.opengl.org/sdk/docs/man

Riel, Jean-Pierre van. 2006. InetVis: Internet Visualization for Network Traffic Analysis. Retrieved January 22, 2009 from http://www.cs.ru.ac.za/ research/g02v2468/inetvis/0.9.3/doc/inetvisdoc.html

Snort Team. 2006. Snort Users Manual. Retrieved July 20, 2008 from http://www.snort.org/docs/snort_htmanuals/htmanual_284

Steele, Michael E.. 2008. Windows Intrusion Detection System (WinIDS). Retrieved October 25, 2008 from http://www.winids.com/index.php?module=Pages& func=display&pageid=11

Sweet, Michael; Earls, Craig P.; Melcher, Matthias and Spitzak, Bill. 2006. FLTK 1.1.8 Programming Manual. Retrieved October 23, 2008 from http://www.fltk.org/ doc-1.1/fltk.pdf

57

Takada, Tetsuji and Koike, Hideki. 2002. Tudumi: Information Visualization System for Monitoring and Auditing Computer Logs. In Proceedings of 6th International Conference on Information Visualization (IV' 02). IEEE CS Press. Pp. 560-576.

The University of Maryland. 2004. Questionnaire for User Interaction Satisfaction (QUIS). Retrieved January 28, 2009 from http://lap.umd.edu/quis

ประวตผเขยน

ชอ ชอสกล นายชนาธป ชนมนส

ประวตการศกษา ปรญญาตร หลกสตรวทยาศาสตรบณฑต

สาขาศาสตรคอมพวเตอร คณะวทยาศาสตร มหาวทยาลยธรรมศาสตร ปการศกษา 2546

การน...

Documents