Difference between revisions of "Intrusion Detection System"

From OnnoWiki
Jump to navigation Jump to search
 
(34 intermediate revisions by the same user not shown)
Line 1: Line 1:
Sebuah '' 'IDS' '' adalah perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem kegiatan untuk kegiatan berbahaya atau pelanggaran kebijakan dan menghasilkan laporan ke Stasiun Manajemen. Pencegahan intrusi adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden yang mungkin terdeteksi. Deteksi intrusi dan sistem pencegahan (IDPS) terutama difokuskan pada identifikasi kemungkinan insiden, mencatat informasi tentang insiden tersebut, mencoba untuk menghentikan mereka, dan melaporkan mereka ke administrator keamanan. Selain itu, organisasi menggunakan IDPS untuk keperluan lain, seperti mengidentifikasi masalah dengan kebijakan keamanan, mendokumentasikan ancaman yang ada, dan menghalangi orang dari melanggar kebijakan keamanan. IDPS telah menjadi tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap organisasi.
+
[[File:Screenshot from 2023-11-16 08-18-26.png|center|300px]]
  
IDPS biasanya mencatat informasi yang berkaitan dengan peristiwa yang diamati, memberitahu administrator keamanan penting peristiwa yang diamati, dan menghasilkan laporan. Banyak IDPS juga dapat menanggapi ancaman yang terdeteksi dengan mencoba untuk mencegah berhasil. Mereka menggunakan beberapa teknik respon, yang melibatkan IDPS menghentikan serangan itu sendiri, mengubah lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau mengubah konten serangan ini.
+
 
 +
Intrution Detection System atau '''IDS''' adalah perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem untuk kegiatan berbahaya atau pelanggaran kebijakan dan memberikan laporan ke administrator atau station manajemen jaringan. Pencegahan intrusi / pemyusupkan adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden yang mungkin terdeteksi.
 +
 
 +
Intrusion Detection and Prevention System ('''IDPS''') atau Sistem pendeteksi intrusi dan pencegahan terutama difokuskan pada identifikasi kemungkinan insiden, mencatat informasi tentang insiden tersebut, mencoba untuk menghentikan mereka, dan melaporkan mereka ke administrator keamanan. Selain itu, organisasi dapat menggunakan IDPS untuk keperluan lain, seperti mengidentifikasi masalah dengan kebijakan keamanan, mendokumentasikan ancaman yang ada, dan menghalangi orang dari melanggar kebijakan keamanan. IDPS telah menjadi tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap organisasi.
 +
 
 +
 
 +
Intrusion Detection and Prevention System ('''IDPS''') biasanya mencatat informasi yang berkaitan dengan peristiwa yang diamati, memberitahu administrator keamanan penting peristiwa yang diamati, dan menghasilkan laporan. Banyak IDPS juga dapat menanggapi ancaman yang terdeteksi dengan mencoba untuk mencegah berhasil. Mereka menggunakan beberapa teknik respon, yang melibatkan IDPS menghentikan serangan itu sendiri, mengubah lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau mengubah konten serangan ini.
  
 
== Istilah Istilah di IDS ==
 
== Istilah Istilah di IDS ==
  
 
*'''Alert/Alarm'''- Sebuah kode yang menandakan bahwa sistem sedang atau telah di serang.
 
*'''Alert/Alarm'''- Sebuah kode yang menandakan bahwa sistem sedang atau telah di serang.
*'''True Positive'''- A legitimate attack which triggers an IDS to produce an alarm.  
+
*'''True Positive'''- Serangan sebenarnya yang mentrigger IDS untuk memberikan alarm.  
 
*'''False Positive'''- Sebuah kejadian yang menyebabkan IDS memberikan alarm saat tidak ada serangan yang terjadi.  
 
*'''False Positive'''- Sebuah kejadian yang menyebabkan IDS memberikan alarm saat tidak ada serangan yang terjadi.  
 
*'''False Negative'''- Kegagalan IDS dalam mendeteksi sebuah serangan yang sesungguhnya.  
 
*'''False Negative'''- Kegagalan IDS dalam mendeteksi sebuah serangan yang sesungguhnya.  
 
*'''True Negative'''- Saat tidak ada serangan yang terjadi dan tidak ada alarm yang di aktifkan.  
 
*'''True Negative'''- Saat tidak ada serangan yang terjadi dan tidak ada alarm yang di aktifkan.  
 
*'''Noise'''- Data atau interferensi yang menyebabkan terjadinya false positive.  
 
*'''Noise'''- Data atau interferensi yang menyebabkan terjadinya false positive.  
*'''Site policy'''- Guidelines within an organization that control the rules and configurations of an IDS.     
+
*'''Site policy'''- Kebijakan dalam sebuah organisassi yang mengatur rules dan konfigurasi dari sebuah IDS.     
*'''Site policy awareness'''- The ability an IDS has to dynamically change its rules and configurations in response to changing environmental activity.   
+
*'''Site policy awareness'''- Kemampuan IDS untuk secara dinamik mengubah rules dan konfigurasinya sebagai responds terhadap aktifitas lingkungan yang berubah-ubah.   
*'''Confidence value'''- A value an organization places on an IDS based on past performance and analysis to help determine its ability to effectively identify an attack.   
+
*'''Confidence value'''- Nilai yang diberikan pada IDS berdasarkan pada kinerja dan kemampuan analisa sebelumnya dalam menolong mengidentifikasi sebuah serangan.   
*'''Alarm filtering'''- The process of categorizing attack alerts produced from an IDS in order to distinguish false positives from actual attacks.  
+
*'''Alarm filtering'''- Proses dalam mengkategorisasi attack alert yang dibuat oleh IDS untuk membedakan antara false positive dan attack yang sesungguhnya.  
 +
 
 +
== Tipe Intrusion-Detection System ==
 +
 
 +
Pada dasarnya ada dua tipe utama IDS, yaitu,
  
=== Types of Intrusion-Detection systems ===
+
* network-based IDS
 +
* host-based IDS
  
There are two main types of IDS's: network-based and host-based IDS.
+
Pada sebuah '''network-based''' intrusion-detection system (NIDS), sensor biasanya diletakan pada titik pintu gerbang jaringan, seperti [[demilitarized zone (computing)|demilitarized zone]] (DMZ) atau pada perbatasan jaringan. Sensor akan menangkap semua traffic jaringan, menganalisa isi masing-masing paket akan adanya traffic yang tidak baik. NIDS, biasanya sebuah platform independent yang mengidentifitasi penyusupan dengan cara menganalisa traffic dan memonitor beberapa host sekaligus. NIDS memperoleh akses ke traffic jaringan dengan menyambungkan diri ke [[network hub|hub]], [[network switch]] yang di konfigurasi untuk [[port mirroring]], atau [[network tap]]. Contoh dari sebuah NIDS adalah [[Snort (software)|Snort]].
  
In a '''network-based''' intrusion-detection system (NIDS), the sensors are located at choke points in the network to be monitored, often in the [[demilitarized zone (computing)|demilitarized zone]] (DMZ) or at network borders. The sensor captures all network traffic and analyzes the content of individual packets for malicious traffic.
+
Pada sebuah '''host-based''' intrusion-detection system (HIDS), sensor biasanya terdiri dari [[software agent]], yang akan memonitor semua aktifitas di host dimana dia terinstall biasanya dengan menganalisa system call, modifikasi file system (mondifikasi file binary, password, capability / acl database, log berbagai aplikasi, kernel. Contoh dari HIDS adalah [[OSSEC]], [[tripwire]].
  
In a '''host'''-based system, the sensor usually consists of a [[software agent]], which monitors all activity of the host on which it is installed, including file system, logs and the kernel. Some application-based IDS are also part of this category.
+
Intrusion detection system dapat juga dibuat secara spesifik untuk system yang kita inginkan menggunakan custom tools dan honeypots.
  
; [[Network intrusion detection system]] (NIDS)
+
==Beberapa Istilah bagi Attacker==
: It is an independent platform that identifies intrusions by examining network traffic and monitors multiple hosts.  Network Intrusion Detection Systems gain access to network traffic by connecting to a [[network hub|hub]], [[network switch]] configured for [[port mirroring]], or [[network tap]].  An example of a NIDS is [[Snort (software)|Snort]].
 
  
; [[Host-based intrusion detection system]] (HIDS)
+
Ada beberapa istilah yang sering digunakan untuk penyerang, tergantung pola serangannya, seperti,
: It consists of an agent on a host that identifies intrusions by analyzing system calls, application logs, file-system modifications (binaries, password files, capability/acl databases) and other host activities and state. An example of a HIDS is [[OSSEC]].,
 
'''Intruders:''' Intruders are attackers who try to find the way to hack information by breaking the privacy of a network like LAN or internet.
 
  
'''Masquerader:''' A user who does not have the authority to a system, but tries to access the information as an authorized user. They are generally outside users.
+
* '''Intruders:''' Penyerang yang berusaha mencari jalan untuk meng-hack informasi dengan cara membobol keamanan jaringan seperti LAN atau Internet.
 +
* '''Masquerader:''' Pengguna yang tidak mempunyai authoritas ke system, tapi berusaha untuk mengakses informasi sebagai authorized user. Mereka biasanya user dari luar.
 +
* '''Misfeasor:''' Biasanya pengguna internal, ada dua (2) tipe, yaitu (1) authorized user dengan ijin terbatas, atau (2) user dengan ijin penuh tapi menyalahgunakan ijin-nya.
 +
* '''Clandstine user:''' Pengguna yang bertindak seperti supervisor dan berusaha menggunakan privilege-nya agar tidak tertangkap.
  
'''Misfeasor:''' They are commonly internal users and can be of two types:
+
==Passive System vs. Reactive System==
1.An authorized user with limited permissions.
 
2.A user with full permissions and who misuse his powers.
 
  
'''Clandstine user:'''A user who acts as a supervisor and tries to use his privileges so as to avoid being captured.
+
Dalam sebuah passive system, sensor Intrusion Detection System (IDS) akan mendeteksi kemungkinan pembobolan security, mencatat informasinya dan memberikan alert ke console dan atau owner.
  
Intrusion detection systems can also be system-specific using custom tools and [[honeypot (computing)|honeypots]].
+
Pada reactive system, juga di kenal sebagai intrusion prevention system (IPS), IPS kan me-responds pada aktifitas yang mencurigakan dengan cara mereset sambungan atau memprogram ulang firewall untuk mem-block traffik dari sumber yang di duga tidak baik. Semua ini bisa terjadi secara automatis atau berdasarkan perintah dari administrator. Pada Reactive Intrusion Detection System, pada saat penyusup atau penyerang terdeteksi, maka IDS tidak akan memberikan alert pada user tapi langsung me-responds pada aktifitas yang ilegal tersebut untuk membatasi aktifitas ilegal tersebut.
  
== Passive system vs. reactive system ==
+
Walaupun ke dua-nya berhubungan dengan keamanan jaringan, sebuah Intrusion Detection System (IDS) berbeda dari firewall dimana firewall akan melihat keluar untuk penyusupan agar bisa menghentikannya sebelum terjadi. Firewall akan membatasi akses antar jaringan untuk mencegah terjadinya penyusupan dan tidak bisa memberikan sinyal akan adanya serangan dari dalam jaringan. Sebuah IDS akan mengevaluasi aktifitas yang mencurigakan seperti penyusupan pada saat hal tersebut terjadi dan memberikan sinyal alarm. Sebuah IDS akan memperhatikan serangan yang berasal dari dalam sistem. IDS secara tradisional berhasil memenuhi tugasnya dengan cara mempelajari komunikasi di jaringan, mengidentifikasi secara menyeluruh akan pola yang ada (sering kali di sebut signature) dari serangan komputer yang sering terjadi, dan memberikan alert pada administrator. Sebuah sistem yang nantinya memutuskan hubungan biasanya di sebut Intrusion Prevention System, dan ini adalah bentuk lain dari application layer firewall.
In a '''passive system''', the intrusion detection system (IDS) sensor detects a potential security breach, logs the information and signals an alert on the console and or owner. In a '''reactive system''', also known as an [[intrusion prevention system]] (IPS), the IPS responds to the suspicious activity by resetting the connection or by reprogramming the firewall to block network traffic from the suspected malicious source. This can happen automatically or at the command of an operator.in reactive intrusion detection system is one in which if the intruder or attacks is detected it does not alert the user rather responds to the illegant activity for shows a strict reaction.
 
  
Though they both relate to network security, an intrusion detection system (IDS) differs from a firewall in that a firewall looks outwardly for intrusions in order to stop them from happening. Firewalls limit access between networks to prevent intrusion and do not signal an attack from inside the network. An IDS evaluates a suspected intrusion once it has taken place and signals an alarm. An IDS also watches for attacks that originate from within a system.  This is traditionally achieved by examining network communications, identifying heuristics and patterns (often known as signatures) of common computer attacks, and taking action to alert operators.  A system that terminates connections is called an [[intrusion prevention system]], and is another form of an [[application layer firewall]].
+
Istilah IDPS biasanya digunakan untuk sistem keamanan hybrid yang mempunyai kemampuan sekalgus, yaitu, "detect" dan "prevent"
  
The term [[IDPS]] is commonly used to refer to hybrid security systems that both "detect" and "prevent" for sure.
+
==IDS berbasis Statistical Anomaly dan Signature==
  
== Statistical anomaly and signature based IDSes ==
+
Sebuah Intrusion Detection Systems akan menggunakan salah satu dari dua (2) teknik deteksi, yaitu,
  
All Intrusion Detection Systems use one of two detection techniques: statistical anomaly based and/or signature based.
+
* berbasis statistical anomaly
 +
* berbasis signature.
  
'''Statistical anomaly based IDS'''- A statistical anomaly-based IDS establishes a performance baseline based on normal network traffic evaluations.  It will then sample current network traffic activity to this baseline in order to detect whether or not it is within baseline parameters.  If the sampled traffic is outside baseline parameters, an alarm will be triggered
+
Lebih jauh,
  
'''Signature-based IDS'''- Network traffic is examined for preconfigured and predetermined attack patterns known as signatures.  Many attacks today have distinct signatures. In good security practice, a collection of these signatures must be constantly updated to mitigate emerging threats.
+
* '''Statistical anomaly based IDS''' - Sebuah IDS berbasis statistical anomaly menetapkan dasar kinerja berdasarkan evaluasi lalu lintas jaringan. Hal ini kemudian digunakan sebagai sampel untuk baseline untuk mendeteksi apakah traffic tersebut masuk atau tidak dalam parameter baseline. Jika sampel lalu lintas berada diluar parameter baseline, alarm akan dipicu.
  
== Limitations ==
+
* '''Signature-based IDS''' - Lalu lintas jaringan diperiksa terhadap pola serangan yang telah dikonfigurasikan dan ditentukan sebelumnya yang dikenal sebagai signatures. Banyak serangan saat ini memiliki signature yang berbeda. Dalam praktek keamanan yang baik, koleksi signature ini harus terus diperbarui untuk mengurangi ancaman yang muncul.
  
'''Noise''' - Noise can severely limit an Intrusion detection systems effectiveness.  Bad packets generated from software bugs, corrupt DNS data, and local packets that escaped can create a significantly high false-alarm rate.
+
==Keterbatasan==
  
'''Too few attacks'''- It is not uncommon for the number of real attacks to be far below the false-alarm rate. Real attacks are often so far below the false-alarm rate that they are often missed and ignored.
+
Ada beberapa keterbatasan yang bisa dialami oleh IDS, yaitu,
  
'''Signature updates''' - Many attacks are geared for specific versions of software that are usually outdated. A constantly changing library of signatures is needed to mitigate threats. Outdated signature databases can leave the IDS vulnerable to new strategies.
+
* '''Noise''' - Noise akan sangat membatasi effektifitas Intrusion Detection System. Paket yang jelek yang di hasilkan oleh bug pada software, data DNS yang korup, atau paket lokal yang keluar jaringan bisa membuat tinggi-nya alarm yang salah.
 +
* '''Jumlah attack sedikit''' - Adalah sangat biasa untuk melihat bahwa jumlah attack yang sebenarnya jauh di bawah dari tingkat alarm yang salah. Akibatnya attack yang sebenarnya sering kali tidak terlihat bahkan di abaikan.
 +
* '''Signature updates''' - Banyak serangan yang ditujukan untuk versi tertentu dari software yang biasanya usang. Sebuah library dari signature yang dapat terus berubah dibutuhkan untuk mengurangi ancaman. Database signature usang dapat menyebabkan IDS rentan terhadap strategi baru.
  
== IDS evasion techniques ==
+
==Teknik Menghindari IDS==
  
Intrusion detection system evasion techniques bypass detection by creating different states on the IDS and on the targeted computer. The adversary accomplishes this by manipulating either the attack itself or the network traffic that contains the attack.
+
Teknik untuk menghindari Intrusion Detection System membypass deteksi dengan menciptakan kondisi yang berbeda pada IDS dan pada komputer target. Musuh bisa mencapai ini dengan memanipulasi baik serangan itu sendiri atau lalu lintas jaringan yang berisi serangan.
  
 
== Development ==
 
== Development ==
Line 107: Line 118:
  
 
* [[Bro (software)|Bro NIDS]]
 
* [[Bro (software)|Bro NIDS]]
* [[OSSEC|OSSEC HIDS]]
 
 
* [[Prelude Hybrid IDS]]
 
* [[Prelude Hybrid IDS]]
 
* [[Port Scan Detection psad]]
 
* [[Port Scan Detection psad]]
 
* [[Snort (software)|Snort]]
 
* [[Snort (software)|Snort]]
 
* [[Suricata (software)|Suricata]]
 
* [[Suricata (software)|Suricata]]
 +
* [[Maltrail]]
 +
 +
===Host Based===
 +
 +
* [[OSSEC|OSSEC HIDS]]
 +
* [[OSSEC: Ubuntu 18.04]]
 +
* [[tripwire]]
 +
 +
===Intrusion Detection Sederhana===
 +
 +
* [[iptables: deteksi via log]]
 +
* [[log: cek auth.log dll]]
 +
* [[iptables: drop attacker]]
 +
 +
==IDS Dataset==
 +
 +
* https://ieee-dataport.org/documents/sdn-ddos-attack-image-dataset
 +
* https://ieee-dataport.org/documents/ddos-attackA
 +
* https://ieee-dataport.org/open-access/bo%C4%9Fazi%C3%A7i-university-ddos-dataset
 +
* https://www.unb.ca/cic/datasets/index.html
 +
* http://idsdata.ding.unisannio.it/datasets.html
 +
 +
===FlowMeter untuk Generate dataset===
 +
 +
* https://github.com/ahlashkari/CICFlowMeter
 +
* [[IDS: NetFlow Data Format / Struktur]]
 +
* [[IDS: YaF SiLK untuk Menangkap Packet Flow]]
 +
* [[IDS: YaF SiLK catatan dari CERT NetSA]]
 +
* [[IDS: flow-tools install ubuntu 20.04]]  '''NOT Recommended'''
 +
* [[IDS: cicflowmeter.py]]
  
== References ==
 
  
  
==External links==
+
==Pranala Menarik==
* [http://csrc.ncsl.nist.gov/publications/nistpubs/800-94/SP800-94.pdf Guide to Intrusion Detection and Prevention Systems (IDPS)], [[NIST]] [[CSRC]] special publication SP 800-94, released 02/2007
 
* [http://www.softpanorama.org/Security/intrusion_detection.shtml Softpanorama: Intrusion Detection (General Issues)]
 
* [http://ipsec.pl/intrusion-detection/prevention-systems-classification-tree.html Intrusion Detection/Prevention Systems classification tree] (PDF, SVG, Freemind)
 
  
* www.philippe-fournier-viger.com/spmf - Open-Source Data Mining Library
+
* [[snort]]
[[Category:Intrusion detection system|*]]
 

Latest revision as of 08:19, 16 November 2023

Screenshot from 2023-11-16 08-18-26.png


Intrution Detection System atau IDS adalah perangkat (atau aplikasi) yang memonitor jaringan dan / atau sistem untuk kegiatan berbahaya atau pelanggaran kebijakan dan memberikan laporan ke administrator atau station manajemen jaringan. Pencegahan intrusi / pemyusupkan adalah proses melakukan deteksi intrusi dan mencoba untuk menghentikan insiden yang mungkin terdeteksi.

Intrusion Detection and Prevention System (IDPS) atau Sistem pendeteksi intrusi dan pencegahan terutama difokuskan pada identifikasi kemungkinan insiden, mencatat informasi tentang insiden tersebut, mencoba untuk menghentikan mereka, dan melaporkan mereka ke administrator keamanan. Selain itu, organisasi dapat menggunakan IDPS untuk keperluan lain, seperti mengidentifikasi masalah dengan kebijakan keamanan, mendokumentasikan ancaman yang ada, dan menghalangi orang dari melanggar kebijakan keamanan. IDPS telah menjadi tambahan yang diperlukan untuk infrastruktur keamanan hampir setiap organisasi.


Intrusion Detection and Prevention System (IDPS) biasanya mencatat informasi yang berkaitan dengan peristiwa yang diamati, memberitahu administrator keamanan penting peristiwa yang diamati, dan menghasilkan laporan. Banyak IDPS juga dapat menanggapi ancaman yang terdeteksi dengan mencoba untuk mencegah berhasil. Mereka menggunakan beberapa teknik respon, yang melibatkan IDPS menghentikan serangan itu sendiri, mengubah lingkungan keamanan (misalnya, konfigurasi ulang firewall), atau mengubah konten serangan ini.

Istilah Istilah di IDS

  • Alert/Alarm- Sebuah kode yang menandakan bahwa sistem sedang atau telah di serang.
  • True Positive- Serangan sebenarnya yang mentrigger IDS untuk memberikan alarm.
  • False Positive- Sebuah kejadian yang menyebabkan IDS memberikan alarm saat tidak ada serangan yang terjadi.
  • False Negative- Kegagalan IDS dalam mendeteksi sebuah serangan yang sesungguhnya.
  • True Negative- Saat tidak ada serangan yang terjadi dan tidak ada alarm yang di aktifkan.
  • Noise- Data atau interferensi yang menyebabkan terjadinya false positive.
  • Site policy- Kebijakan dalam sebuah organisassi yang mengatur rules dan konfigurasi dari sebuah IDS.
  • Site policy awareness- Kemampuan IDS untuk secara dinamik mengubah rules dan konfigurasinya sebagai responds terhadap aktifitas lingkungan yang berubah-ubah.
  • Confidence value- Nilai yang diberikan pada IDS berdasarkan pada kinerja dan kemampuan analisa sebelumnya dalam menolong mengidentifikasi sebuah serangan.
  • Alarm filtering- Proses dalam mengkategorisasi attack alert yang dibuat oleh IDS untuk membedakan antara false positive dan attack yang sesungguhnya.

Tipe Intrusion-Detection System

Pada dasarnya ada dua tipe utama IDS, yaitu,

  • network-based IDS
  • host-based IDS

Pada sebuah network-based intrusion-detection system (NIDS), sensor biasanya diletakan pada titik pintu gerbang jaringan, seperti demilitarized zone (DMZ) atau pada perbatasan jaringan. Sensor akan menangkap semua traffic jaringan, menganalisa isi masing-masing paket akan adanya traffic yang tidak baik. NIDS, biasanya sebuah platform independent yang mengidentifitasi penyusupan dengan cara menganalisa traffic dan memonitor beberapa host sekaligus. NIDS memperoleh akses ke traffic jaringan dengan menyambungkan diri ke hub, network switch yang di konfigurasi untuk port mirroring, atau network tap. Contoh dari sebuah NIDS adalah Snort.

Pada sebuah host-based intrusion-detection system (HIDS), sensor biasanya terdiri dari software agent, yang akan memonitor semua aktifitas di host dimana dia terinstall biasanya dengan menganalisa system call, modifikasi file system (mondifikasi file binary, password, capability / acl database, log berbagai aplikasi, kernel. Contoh dari HIDS adalah OSSEC, tripwire.

Intrusion detection system dapat juga dibuat secara spesifik untuk system yang kita inginkan menggunakan custom tools dan honeypots.

Beberapa Istilah bagi Attacker

Ada beberapa istilah yang sering digunakan untuk penyerang, tergantung pola serangannya, seperti,

  • Intruders: Penyerang yang berusaha mencari jalan untuk meng-hack informasi dengan cara membobol keamanan jaringan seperti LAN atau Internet.
  • Masquerader: Pengguna yang tidak mempunyai authoritas ke system, tapi berusaha untuk mengakses informasi sebagai authorized user. Mereka biasanya user dari luar.
  • Misfeasor: Biasanya pengguna internal, ada dua (2) tipe, yaitu (1) authorized user dengan ijin terbatas, atau (2) user dengan ijin penuh tapi menyalahgunakan ijin-nya.
  • Clandstine user: Pengguna yang bertindak seperti supervisor dan berusaha menggunakan privilege-nya agar tidak tertangkap.

Passive System vs. Reactive System

Dalam sebuah passive system, sensor Intrusion Detection System (IDS) akan mendeteksi kemungkinan pembobolan security, mencatat informasinya dan memberikan alert ke console dan atau owner.

Pada reactive system, juga di kenal sebagai intrusion prevention system (IPS), IPS kan me-responds pada aktifitas yang mencurigakan dengan cara mereset sambungan atau memprogram ulang firewall untuk mem-block traffik dari sumber yang di duga tidak baik. Semua ini bisa terjadi secara automatis atau berdasarkan perintah dari administrator. Pada Reactive Intrusion Detection System, pada saat penyusup atau penyerang terdeteksi, maka IDS tidak akan memberikan alert pada user tapi langsung me-responds pada aktifitas yang ilegal tersebut untuk membatasi aktifitas ilegal tersebut.

Walaupun ke dua-nya berhubungan dengan keamanan jaringan, sebuah Intrusion Detection System (IDS) berbeda dari firewall dimana firewall akan melihat keluar untuk penyusupan agar bisa menghentikannya sebelum terjadi. Firewall akan membatasi akses antar jaringan untuk mencegah terjadinya penyusupan dan tidak bisa memberikan sinyal akan adanya serangan dari dalam jaringan. Sebuah IDS akan mengevaluasi aktifitas yang mencurigakan seperti penyusupan pada saat hal tersebut terjadi dan memberikan sinyal alarm. Sebuah IDS akan memperhatikan serangan yang berasal dari dalam sistem. IDS secara tradisional berhasil memenuhi tugasnya dengan cara mempelajari komunikasi di jaringan, mengidentifikasi secara menyeluruh akan pola yang ada (sering kali di sebut signature) dari serangan komputer yang sering terjadi, dan memberikan alert pada administrator. Sebuah sistem yang nantinya memutuskan hubungan biasanya di sebut Intrusion Prevention System, dan ini adalah bentuk lain dari application layer firewall.

Istilah IDPS biasanya digunakan untuk sistem keamanan hybrid yang mempunyai kemampuan sekalgus, yaitu, "detect" dan "prevent"

IDS berbasis Statistical Anomaly dan Signature

Sebuah Intrusion Detection Systems akan menggunakan salah satu dari dua (2) teknik deteksi, yaitu,

  • berbasis statistical anomaly
  • berbasis signature.

Lebih jauh,

  • Statistical anomaly based IDS - Sebuah IDS berbasis statistical anomaly menetapkan dasar kinerja berdasarkan evaluasi lalu lintas jaringan. Hal ini kemudian digunakan sebagai sampel untuk baseline untuk mendeteksi apakah traffic tersebut masuk atau tidak dalam parameter baseline. Jika sampel lalu lintas berada diluar parameter baseline, alarm akan dipicu.
  • Signature-based IDS - Lalu lintas jaringan diperiksa terhadap pola serangan yang telah dikonfigurasikan dan ditentukan sebelumnya yang dikenal sebagai signatures. Banyak serangan saat ini memiliki signature yang berbeda. Dalam praktek keamanan yang baik, koleksi signature ini harus terus diperbarui untuk mengurangi ancaman yang muncul.

Keterbatasan

Ada beberapa keterbatasan yang bisa dialami oleh IDS, yaitu,

  • Noise - Noise akan sangat membatasi effektifitas Intrusion Detection System. Paket yang jelek yang di hasilkan oleh bug pada software, data DNS yang korup, atau paket lokal yang keluar jaringan bisa membuat tinggi-nya alarm yang salah.
  • Jumlah attack sedikit - Adalah sangat biasa untuk melihat bahwa jumlah attack yang sebenarnya jauh di bawah dari tingkat alarm yang salah. Akibatnya attack yang sebenarnya sering kali tidak terlihat bahkan di abaikan.
  • Signature updates - Banyak serangan yang ditujukan untuk versi tertentu dari software yang biasanya usang. Sebuah library dari signature yang dapat terus berubah dibutuhkan untuk mengurangi ancaman. Database signature usang dapat menyebabkan IDS rentan terhadap strategi baru.

Teknik Menghindari IDS

Teknik untuk menghindari Intrusion Detection System membypass deteksi dengan menciptakan kondisi yang berbeda pada IDS dan pada komputer target. Musuh bisa mencapai ini dengan memanipulasi baik serangan itu sendiri atau lalu lintas jaringan yang berisi serangan.

Development

A preliminary concept of an IDS began with James P. Anderson and reviews of audit trails. An example of an audit trail would be a log of user access.

Fred Cohen noted in 1984 (see Intrusion Detection) that it is impossible to detect an intrusion in every case and that the resources needed to detect intrusions grows with the amount of usage.

Dorothy E. Denning, assisted by Peter G. Neumann, published a model of an IDS in 1986 that formed the basis for many systems today. Her model used statistics for anomaly detection, and resulted in an early IDS at SRI International named the Intrusion Detection Expert System (IDES), which ran on Sun workstations and could consider both user and network level data. IDES had a dual approach with a rule-based Expert System to detect known types of intrusions plus a statistical anomaly detection component based on profiles of users, host systems, and target systems. Lunt proposed adding an Artificial neural network as a third component. She said all three components could then report to a resolver. SRI followed IDES in 1993 with the Next-generation Intrusion Detection Expert System (NIDES).

The Multics intrusion detection and alerting system (MIDAS), an expert system using P-BEST and LISP, was developed in 1988 based on the work of Denning and Neumann. Haystack was also developed this year using statistics to reduce audit trails.

Wisdom & Sense (W&S) was a statistics-based anomaly detector developed in 1989 at the Los Alamos National Laboratory. W&S created rules based on statistical analysis, and then used those rules for anomaly detection.

In 1990, the Time-based Inductive Machine (TIM) did anomaly detection using inductive learning of sequential user patterns in Common LISP on a VAX 3500 computer. The Network Security Monitor (NSM) performed masking on access matrices for anomaly detection on a Sun-3/50 workstation. The Information Security Officer's Assistant (ISOA) was a 1990 prototype that considered a variety of strategies including statistics, a profile checker, and an expert system. ComputerWatch at AT&T Bell Labs used statistics and rules for audit data reduction and intrusion detection.

Then, in 1991, researchers at the University of California, Davis created a prototype Distributed Intrusion Detection System (DIDS), which was also an expert system. The Network Anomaly Detection and Intrusion Reporter (NADIR), also in 1991, was a prototype IDS developed at the Los Alamos National Laboratory's Integrated Computing Network (ICN), and was heavily influenced by the work of Denning and Lunt. NADIR used a statistics-based anomaly detector and an expert system.

The Lawrence Berkeley National Laboratory announced Bro in 1998, which used its own rule language for packet analysis from libpcap data. Network Flight Recorder (NFR) in 1999 also used libpcap. APE was developed as a packet sniffer, also using libpcap, in November, 1998, and was renamed Snort one month later, and has since become the world's largest used IDS/IPS system with over 300,000 active users.

The Audit Data Analysis and Mining (ADAM) IDS in 2001 used tcpdump to build profiles of rules for classifications.

In 2003 Dr. Wenke Lee argues for the importance of IDS in networks with mobile nodes.

See also

Free Intrusion Detection Systems

Host Based

Intrusion Detection Sederhana

IDS Dataset

FlowMeter untuk Generate dataset


Pranala Menarik