IDS adalah sistem pendeteksian penyusupan yang menggunakan beberapa teknik seperti signature-based dan anomaly-based detection untuk memantau lalu lintas jaringan dan aktivitas sistem guna mendeteksi intrusi dan serangan. IDS bekerja dengan memeriksa lalu lintas dan log aktivitas untuk menemukan pola yang tidak normal.

1. IDS
( Intrusion
Detection
System )Kelompok
Rahmat Hermanto 125974202
Abdullah Umar G.W.S. 125974216

2.  Intrusion = penyusupan, gangguan, dsb
 Detection = deteksi

3. Principle
 Komputer yang tidak berada dibawah serangan,
menunjukkan beberapa karakteristik :
 Tindakan pengguna dan proses umumnya sesuai
dengan pola statistik yang sudah diprediksi.
 Tindakan pengguna dan proses tidak termasuk ke
dalam urutan perintah untuk mengagalkan
kebijakan keamanan sistem. Jadi, setiap urutan
perintah yang mengandung perintah untuk
menggagalkan kebijakan keamanan akan
dianggap sebuah potensi terjadinya serangan.
 Tindakan proses sesuai dengan aturan yang
menjelaskan tindakan tersebut diizinkan untuk
dilakukan atau tidak diperbolehkan untuk
dilakukan.

4. Basic Intrusion Detection
 Mendeteksi berbagai gangguan.
 Mendeteksi intrusi secara tepat waktu.
 Menampilkan hasil analisis dalam format
sederhana yang mudah dimengerti.
 Akurat.

5. Implementasi dan Cara Kerja
 Rule Base (NIDS)
 Adaptive System (NIDS)
 Target Monitoring (HIDS)

6. Jenis-jenis IDS
 Dua jenis IDS, yakni :
 Networ-based IDS (NIDS)
 Menganalisis untuk mencari apakah ada
percobaan serangan atau penyusupan ke
dalam sistem jaringan.
 NIDS terletak pada segment jaringan penting.
 Host-based IDS (HIDS)
 Memantau aktivitas sebuah HOST jaringan
individual terhadap kemungkinan serangan.
 HIDS terletak pada serve2 kritis di jaringan.

7. Produk IDS
 RealSecure dari Internet Security Systems (ISS).
 Cisco Secure Intrusion Detection System dari Cisco Systems (yang
mengakuisisi WheelGroup yang memiliki produk NetRanger).
 eTrust Intrusion Detection dari Computer Associates (yang mengakusisi
MEMCO yang memiliki SessionWall-3).
 Symantec Client Security dari Symantec
 Computer Misuse Detection System dari ODS Networks
 Kane Security Monitor dari Security Dynamics
 Cybersafe
 Network Associates
 Network Flight Recorder
 Intellitactics
 SecureWorks
 Snort (open source)

8. Organization of IDS
 Monitoring NetworkTraffic for Intrusion
 Network Security Monitor memeriksa lalu
lintas jaringan saja
 NSM ini memantau sumber, tujuan, dan
layanan lalu lintas jaringan. Ini memberikan
ID koneksi yang unik untuk setiap koneksi.

9. Organization of IDS
 Combining Host and Network Monitoring:
DIDS
 Menggabungkan jaringan dan host
sumber
 Intrusion Detection System Terdistribusi
(DIDs) [940] menggabungkan kemampuan
dari NSM dengan pemantauan intrusi
deteksi host individual.

10. Organization of IDS
 Autonomous Agent (AAFID)
 Autonom Agents for Intrusion Detection
bekerja dengan mendistribusikan agent-
agent otonom ke dalam beberapa sistem
di dalm jaringan.

11. Intrusion Respons
 Incident Prevention
Idealnya, upaya penyusupan akan terdeteksi dan
berhenti sebelum mereka berhasil. Ini biasanya
melibatkan proses monitoring sistem (biasanya
dengan mekanisme deteksi intrusi) dan
mengambil tindakan untuk mengalahkan
serangan itu.
Dalam konteks respon, pencegahan
mensyaratkan bahwa serangan itu diidentifikasi
sebelum selesai. Defender kemudian mengambil
tindakan untuk mencegah serangan sebelum
serangan itu diselesaikan. Hal ini dapat
dilakukan secara manual atau secara otomatis.

12.  Intrusion Handling
1. Preparation for an attack. Langkah ini terjadi sebelum
serangan yang terdeteksi. Ini menetapkan prosedur dan
mekanisme untuk mendeteksi dan menanggapi serangan.
2. Identification of an attack. Hal ini memicu fase yang tersisa.
3. Containment (confinement) of the attack. Langkah ini
membatasi kerusakan sebanyak mungkin.
4. Eradication of the attack. Langkah ini menghentikan
serangan dan blok selanjutnya serangan serupa.
5. Recovery from the attack. Langkah ini mengembalikan
sistem ke keadaan aman (terhadap kebijakan keamanan
situs).
6. Follow-up to the attack. Langkah ini melibatkan mengambil
tindakan terhadap penyerang, mengidentifikasi masalah
dalam penanganan insiden tersebut, dan pelajaran
rekaman belajar (atau tidak belajar pelajaran yang harus
dipelajari).
Intrusion Respons

13.  Containment Phase
 Containing atau confining an attack berarti
membatasi akses penyerang untuk sumber
daya sistem. Domain perlindungan dari
penyerang dikurangi sebanyak mungkin. Ada
dua pendekatan: pasif pemantauan serangan,
dan membatasi akses untuk mencegah
kerusakan lebih lanjut ke sistem. Dalam konteks
ini, "kerusakan" mengacu pada tindakan yang
menyebabkan sistem untuk menyimpang dari
keadaan "aman" seperti yang didefinisikan oleh
kebijakan keamanan situs.
Intrusion Respons

14.  Eradication Phase
 Eradicating an attack berarti menghentikan
serangan. Pendekatan yang umum adalah
untuk menolak akses ke sistem sepenuhnya
(seperti dengan mengakhiri koneksi
jaringan) atau untuk mengakhiri proses
yang terlibat dalam serangan itu. Sebuah
aspek penting dari pemberantasan adalah
untuk memastikan bahwa serangan
tersebut tidak segera dilanjutkan. Ini
mengharuskan serangan diblokir.
Intrusion Respons

15.  Follow-Up Phase
 Pada tahap lanjutan (follow up phase), sistem
mengambil beberapa tindakan eksternal untuk
sistem terhadap penyerang. Tindak lanjut yang
paling umum adalah untuk mengejar
beberapa bentuk tindakan hukum, baik pidana
atau perdata. Persyaratan hukum bervariasi
antara masyarakat, dan memang bervariasi
dalam masyarakat dari waktu ke waktu. Jadi,
untuk tujuan kita, kita membatasi diri pada
masalah teknis untuk melacak serangan melalui
jaringan. Dua teknik untuk tracing adalah
thumbprinting dan menandai header IP.
Intrusion Respons

16. Ada beberapa cara
bagaimana IDS bekerja :
 Pendeteksian berbasis signature (seperti halnya yang dilakukan
oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas
jaringan dengan basis data yang berisi cara-cara serangan dan
penyusupan yang sering dilakukan oleh penyerang.
 Mendeteksi adanya anomali, yang disebut sebagai Anomaly-
based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin
merupakan sebuah serangan yang sedang dilakukan oleh
penyerang. Umumnya, dilakukan dengan menggunakan teknik
statistik untuk membandingkan lalu lintas yang sedang dipantau
dengan lalu lintas normal yang biasa terjadi.
 Teknik lainnya yang digunakan adalah dengan memantau
berkas-berkas sistem operasi, yakni dengan cara melihat apakah
ada percobaan untuk mengubah beberapa berkas sistem
operasi, utamanya berkas log. Teknik ini seringnya
diimplementasikan di dalam HIDS, selain tentunya melakukan
pemindaian terhadap log sistem untuk memantau apakah terjadi
kejadian yang tidak biasa.

17. KESIMPULAN
 Intrusion detection system atau sistem
pendeteksian penyusupan merupakan
sebuah konsep canggih yang melibatkan
beberapa teknologi yang berbeda.
 Boleh dikatakan bahwa IDS sudah
menjadi sepenting firewall untuk sekuriti
network.