Signature ที่ใน SRAN เป็นการประยุกต์และต่อยอดจากการเขียน Rule Base จากโปรแกรมที่ชื่อ snort และการ filtering จาก TCPdump เพื่อให้ Log ที่เกิดขึ้นอ่านแล้วเข้าใจง่ายขึ้น ความหมาย Signature จึงประกอบด้วย
1. Signature ที่เขียนขึ้นในการบันทึกข้อมูลตาม ห่วงโซ่ของเหตุการณ์ (Chain of event) ซึ่งส่วนใหญ่เป็นข้อมูลปกติ เช่น การเล่นเว็บ (Web) , Mail , Chat , Upload / Download , VoIP บางโปรแกรม ทั้งหมดนี้รวมถึงการ Authentication ตาม Application ต่างๆ เช่น MSN , Yahoo , SkyP เป็นต้น
2. Signature ที่เขียนขึ้นในการบันทึกข้อมูลที่มีความเสี่ยงและมีความผิดปกติ (Threat Data) ซึ่งในส่วนนี้เราใช้เทคนิค ระบบ IDS/IPS (Intrusion Detection & Prevention System) มาช่วย
ซึ่งทั้งหมดนี้เราจะสามารถทราบลักษณะการใช้งานของ User ในองค์กรได้ โดยไม่เป็นวิธีการ sniffing ข้อมูลหรือ Hijack ข้อมูลผู้อื่น และเขียน Filtering สิ่งที่ต้องการอยากให้ประมวลผลผ่าน Log file เพื่ออ่านแล้วเข้าใจง่ายในการสืบสวนสอบได้อีกทางหนึ่งด้วย
SRAN Dev
Anonymous (10.153.84.x) 23 Jul 2008 08:53
