IDS adalah sistem pendeteksian penyusupan yang menggunakan beberapa teknik seperti signature-based dan anomaly-based detection untuk memantau lalu lintas jaringan dan aktivitas sistem guna mendeteksi intrusi dan serangan. IDS bekerja dengan memeriksa lalu lintas dan log aktivitas untuk menemukan pola yang tidak normal.
3. Principle
Komputer yang tidak berada dibawah serangan,
menunjukkan beberapa karakteristik :
Tindakan pengguna dan proses umumnya sesuai
dengan pola statistik yang sudah diprediksi.
Tindakan pengguna dan proses tidak termasuk ke
dalam urutan perintah untuk mengagalkan
kebijakan keamanan sistem. Jadi, setiap urutan
perintah yang mengandung perintah untuk
menggagalkan kebijakan keamanan akan
dianggap sebuah potensi terjadinya serangan.
Tindakan proses sesuai dengan aturan yang
menjelaskan tindakan tersebut diizinkan untuk
dilakukan atau tidak diperbolehkan untuk
dilakukan.
4. Basic Intrusion Detection
Mendeteksi berbagai gangguan.
Mendeteksi intrusi secara tepat waktu.
Menampilkan hasil analisis dalam format
sederhana yang mudah dimengerti.
Akurat.
5. Implementasi dan Cara Kerja
Rule Base (NIDS)
Adaptive System (NIDS)
Target Monitoring (HIDS)
6. Jenis-jenis IDS
Dua jenis IDS, yakni :
Networ-based IDS (NIDS)
Menganalisis untuk mencari apakah ada
percobaan serangan atau penyusupan ke
dalam sistem jaringan.
NIDS terletak pada segment jaringan penting.
Host-based IDS (HIDS)
Memantau aktivitas sebuah HOST jaringan
individual terhadap kemungkinan serangan.
HIDS terletak pada serve2 kritis di jaringan.
7. Produk IDS
RealSecure dari Internet Security Systems (ISS).
Cisco Secure Intrusion Detection System dari Cisco Systems (yang
mengakuisisi WheelGroup yang memiliki produk NetRanger).
eTrust Intrusion Detection dari Computer Associates (yang mengakusisi
MEMCO yang memiliki SessionWall-3).
Symantec Client Security dari Symantec
Computer Misuse Detection System dari ODS Networks
Kane Security Monitor dari Security Dynamics
Cybersafe
Network Associates
Network Flight Recorder
Intellitactics
SecureWorks
Snort (open source)
8. Organization of IDS
Monitoring NetworkTraffic for Intrusion
Network Security Monitor memeriksa lalu
lintas jaringan saja
NSM ini memantau sumber, tujuan, dan
layanan lalu lintas jaringan. Ini memberikan
ID koneksi yang unik untuk setiap koneksi.
9. Organization of IDS
Combining Host and Network Monitoring:
DIDS
Menggabungkan jaringan dan host
sumber
Intrusion Detection System Terdistribusi
(DIDs) [940] menggabungkan kemampuan
dari NSM dengan pemantauan intrusi
deteksi host individual.
10. Organization of IDS
Autonomous Agent (AAFID)
Autonom Agents for Intrusion Detection
bekerja dengan mendistribusikan agent-
agent otonom ke dalam beberapa sistem
di dalm jaringan.
11. Intrusion Respons
Incident Prevention
Idealnya, upaya penyusupan akan terdeteksi dan
berhenti sebelum mereka berhasil. Ini biasanya
melibatkan proses monitoring sistem (biasanya
dengan mekanisme deteksi intrusi) dan
mengambil tindakan untuk mengalahkan
serangan itu.
Dalam konteks respon, pencegahan
mensyaratkan bahwa serangan itu diidentifikasi
sebelum selesai. Defender kemudian mengambil
tindakan untuk mencegah serangan sebelum
serangan itu diselesaikan. Hal ini dapat
dilakukan secara manual atau secara otomatis.
12. Intrusion Handling
1. Preparation for an attack. Langkah ini terjadi sebelum
serangan yang terdeteksi. Ini menetapkan prosedur dan
mekanisme untuk mendeteksi dan menanggapi serangan.
2. Identification of an attack. Hal ini memicu fase yang tersisa.
3. Containment (confinement) of the attack. Langkah ini
membatasi kerusakan sebanyak mungkin.
4. Eradication of the attack. Langkah ini menghentikan
serangan dan blok selanjutnya serangan serupa.
5. Recovery from the attack. Langkah ini mengembalikan
sistem ke keadaan aman (terhadap kebijakan keamanan
situs).
6. Follow-up to the attack. Langkah ini melibatkan mengambil
tindakan terhadap penyerang, mengidentifikasi masalah
dalam penanganan insiden tersebut, dan pelajaran
rekaman belajar (atau tidak belajar pelajaran yang harus
dipelajari).
Intrusion Respons
13. Containment Phase
Containing atau confining an attack berarti
membatasi akses penyerang untuk sumber
daya sistem. Domain perlindungan dari
penyerang dikurangi sebanyak mungkin. Ada
dua pendekatan: pasif pemantauan serangan,
dan membatasi akses untuk mencegah
kerusakan lebih lanjut ke sistem. Dalam konteks
ini, "kerusakan" mengacu pada tindakan yang
menyebabkan sistem untuk menyimpang dari
keadaan "aman" seperti yang didefinisikan oleh
kebijakan keamanan situs.
Intrusion Respons
14. Eradication Phase
Eradicating an attack berarti menghentikan
serangan. Pendekatan yang umum adalah
untuk menolak akses ke sistem sepenuhnya
(seperti dengan mengakhiri koneksi
jaringan) atau untuk mengakhiri proses
yang terlibat dalam serangan itu. Sebuah
aspek penting dari pemberantasan adalah
untuk memastikan bahwa serangan
tersebut tidak segera dilanjutkan. Ini
mengharuskan serangan diblokir.
Intrusion Respons
15. Follow-Up Phase
Pada tahap lanjutan (follow up phase), sistem
mengambil beberapa tindakan eksternal untuk
sistem terhadap penyerang. Tindak lanjut yang
paling umum adalah untuk mengejar
beberapa bentuk tindakan hukum, baik pidana
atau perdata. Persyaratan hukum bervariasi
antara masyarakat, dan memang bervariasi
dalam masyarakat dari waktu ke waktu. Jadi,
untuk tujuan kita, kita membatasi diri pada
masalah teknis untuk melacak serangan melalui
jaringan. Dua teknik untuk tracing adalah
thumbprinting dan menandai header IP.
Intrusion Respons
16. Ada beberapa cara
bagaimana IDS bekerja :
Pendeteksian berbasis signature (seperti halnya yang dilakukan
oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas
jaringan dengan basis data yang berisi cara-cara serangan dan
penyusupan yang sering dilakukan oleh penyerang.
Mendeteksi adanya anomali, yang disebut sebagai Anomaly-
based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin
merupakan sebuah serangan yang sedang dilakukan oleh
penyerang. Umumnya, dilakukan dengan menggunakan teknik
statistik untuk membandingkan lalu lintas yang sedang dipantau
dengan lalu lintas normal yang biasa terjadi.
Teknik lainnya yang digunakan adalah dengan memantau
berkas-berkas sistem operasi, yakni dengan cara melihat apakah
ada percobaan untuk mengubah beberapa berkas sistem
operasi, utamanya berkas log. Teknik ini seringnya
diimplementasikan di dalam HIDS, selain tentunya melakukan
pemindaian terhadap log sistem untuk memantau apakah terjadi
kejadian yang tidak biasa.
17. KESIMPULAN
Intrusion detection system atau sistem
pendeteksian penyusupan merupakan
sebuah konsep canggih yang melibatkan
beberapa teknologi yang berbeda.
Boleh dikatakan bahwa IDS sudah
menjadi sepenting firewall untuk sekuriti
network.
Notes de l'éditeur
Sebuah sistem deteksi intrusi dapat diatur dalam beberapa cara. Bagian ini membahas tiga paradigma tersebut dengan menggunakan sistem intrusi penelitian deteksi. Sistem pertama memeriksa lalu lintas jaringan saja. Yang kedua dieksplorasi bagaimana menggabungkan jaringan dan host sumber. Sistem ketiga didistribusikan direktur di antara beberapa sistem untuk meningkatkan keamanan dan kehandalan.