KI: Deteksi Serangan (Rule-Based & AI-Based)

From OnnoWiki
Jump to navigation Jump to search

Fokus: Dari statis ke cerdas

Pada pertemuan ini, kita masuk ke inti dari dunia cyber defense: bagaimana sebuah sistem mengenali bahwa sesuatu yang “aneh” sedang terjadi di jaringan. Jika pada pertemuan sebelumnya kita belajar melihat trafik (visibility), maka sekarang kita belajar mengambil keputusan: ini normal atau serangan?.

Perjalanan ini akan membawa pembaca dari pendekatan lama yang statis dan kaku, menuju pendekatan modern yang adaptif dan cerdas. Di sinilah perbedaan antara sistem yang sekadar hidup dan sistem yang benar-benar waspada.

Teori: Signature Detection vs Anomaly Detection

Signature-Based Detection (Rule-Based)

Pendekatan signature-based adalah cara klasik dalam mendeteksi serangan. Prinsipnya sederhana: 

jika pola trafik cocok dengan
pola serangan yang sudah dikenal,
maka dianggap sebagai serangan.

Dengan kata lain, sistem bekerja seperti kamus ancaman.

  • Setiap serangan punya signature (ciri khas)
  • Signature ini disimpan dalam bentuk rule
  • Trafik jaringan dibandingkan dengan rule tersebut

Contoh sederhananya: 

“Jika ada request HTTP mengandung /etc/passwd,
maka ini adalah serangan.”

Pendekatan ini sangat efektif untuk:

  • Serangan yang sudah dikenal
  • Exploit yang polanya jelas dan konsisten
  • Lingkungan dengan trafik yang relatif stabil

Namun, dibalik kesederhanaannya, tersembunyi masalah besar.

Anomaly-Based Detection (AI-Based / Behavior-Based)

Berbeda dengan signature-based, pendekatan anomaly-based tidak bertanya: 

“apakah ini serangan yang saya kenal?”

Melainkan bertanya: 

“apakah perilaku ini normal?”

Sistem terlebih dahulu belajar pola trafik normal, lalu akan menandai apa pun yang menyimpang dari kebiasaan tersebut sebagai potensi serangan.

Pendekatan ini biasanya melibatkan:

  • Statistical analysis
  • Machine Learning
  • Behavior modeling

Contoh pemikiran sistem: 

“Biasanya server ini hanya menerima 10 request/detik.
Kenapa sekarang tiba-tiba 2.000 request/detik?”

Inilah yang membuat anomaly detection:

  • Lebih adaptif
  • Lebih tahan terhadap serangan baru (zero-day)
  • Lebih dekat dengan cara manusia berpikir

Namun, kecerdasan ini datang dengan harga tertentu.

Perbandingan Singkat: Signature vs Anomaly

Secara ringkas, perbedaannya bisa dirasakan sebagai berikut:

Signature-based

  • Cepat
  • Akurat untuk serangan lama
  • Mudah dipahami
  • Tapi buta terhadap serangan baru

Anomaly-based

  • Lebih fleksibel
  • Bisa mendeteksi pola baru
  • Cocok untuk lingkungan dinamis
  • Tapi rawan false positive jika tidak dilatih dengan baik

Di dunia nyata, sistem keamanan modern hampir selalu menggabungkan keduanya.

Kelemahan Rule-Based Detection (Kenapa Tidak Cukup?)

Di sinilah kita mulai bersikap kritis. Walaupun rule-based detection terlihat rapi dan meyakinkan, ia memiliki kelemahan mendasar yang sering menjadi titik kegagalan sistem keamanan.

1. Tidak Bisa Melihat Serangan Baru (Zero-Day)

Rule hanya bisa mendeteksi apa yang sudah diketahui. Jika penyerang:

  • Memodifikasi payload
  • Mengubah urutan serangan
  • Menggunakan teknik baru

Maka sistem akan menganggapnya normal. 

Rule tidak bisa menebak masa depan.

2. Rule Explosion (Ledakan Aturan)

Semakin banyak serangan:

  • Semakin banyak rule
  • Semakin kompleks konfigurasi
  • Semakin sulit dikelola

Pada skala besar, ini menyebabkan:

  • Kesalahan konfigurasi
  • Rule saling bertabrakan
  • Sistem sulit dipelihara

Ironisnya, sistem keamanan bisa menjadi rapuh karena terlalu banyak aturan keamanan.

3. Mudah Diakali (Bypassable)

Karena rule bersifat deterministik, penyerang yang cerdas bisa:

  • Menghindari pola tertentu
  • Menyisipkan noise
  • Mengubah encoding data

Selama tidak exactly match dengan rule, serangan bisa lolos tanpa terdeteksi.

4. Tidak Memahami Konteks

Rule melihat potongan trafik, bukan cerita lengkap. Contoh:

  • Login gagal 1 kali → normal
  • Login gagal 100 kali → serangan

Tanpa pemahaman konteks:

  • Rule bisa terlalu permisif
  • Atau terlalu ketat dan menghasilkan false alarm

Mengapa Kita Harus Bergerak ke Sistem yang Lebih Cerdas?

Dunia jaringan hari ini:

  • Dinamis
  • Cepat berubah
  • Dipenuhi otomatisasi dan AI

Mengandalkan sistem yang statis untuk melawan ancaman yang adaptif adalah pertarungan yang tidak seimbang. 

Penyerang belajar. Sistem pertahanan juga harus belajar.

Inilah alasan mengapa:

  • AI-based detection
  • Behavior analysis
  • Adaptive security

bukan lagi nice to have, tetapi kebutuhan mutlak.

Mindset Penting untuk Mahasiswa

Pada akhir pertemuan ini, pembaca diharapkan menyadari satu hal penting:

  • Keamanan bukan soal alat
  • Keamanan bukan soal banyaknya rule
  • Keamanan adalah kemampuan berpikir, mengamati, dan beradaptasi
Rule adalah fondasi.
AI adalah akselerator.
Manusia tetap pengambil keputusan utama.

Dan di situlah peran Anda sebagai praktisi keamanan dimulai.


Pranala Menarik

Retrieved from "https://onnocenter.or.id/wiki/index.php?title=KI:_Deteksi_Serangan_(Rule-Based_%26_AI-Based)&oldid=73169"