Karya Ilmiah Intrusion Detection

BAB I

PENDAHULUAN

I.1 Latar Belakang

Semakin pesatnya perkembangan teknologi internet dan

implementasinya dalam sebuah LAN (intranet) telah

menyebabkan arus informasi dari dalam atau keluar

perusahaan semakin padat. Akses internet tanpa batas telah

menghadirkan banyak keuntungan bagi semua pihak. Tidak

hanya mempermudah pencarian informasi yang diinginkan

tanpa batas waktu dan lokasi, akan tetapi dunia luar dapat

berinteraksi dengan local network yang ada. Hal ini

memungkinkan meningkatnya tindak kejahatan dalam dunia

maya.

Salah satu masalah keamanan yang cukup signifikan

pada jaringan adalah masuknya user dan program ( misalnya :

worm, trojan horse, virus ) yang tidak sah sehingga dapat

merusak sistem. Untuk itu diperlukan cara untuk menjaga

sekuriti sistem. Salah satunya dengan membangun peringatan

dini yang disebut deteksi intrusi /penyusupan (intrusion

detection).

1

Akhir-akhir ini, penelitian telah banyak dilakukan untuk

mendeteksi intrusi. Sebuah pendeteksian intrusi dini yang

efektif dapat mencegah masuknya intrusi lebih lanjut.

Pendeteksian intrusi ini memungkinkan pengumpulan

informasi tentang teknik intrusi yang digunakan. Jika sebuah

intrusi dideteksi dengan cukup cepat, maka penyusup dapat

diidentifikasi dan dikeluarkan dari sistem sebelum sejumlah

bahaya timbul. Namun, jika waktu pendeteksian tidak

mencukupi, maka akan semakin banyak bahaya dan

perbaikan data yang muncul.

Suatu hardware atau software aplikasi yang dapat

mendeteksi intrusi adalah IDS (Intrusion Detection System).

Dewasa ini, pasar dipenuhi dengan berbagai teknik

mendeteksi intrusi dari IDS . Salah satu teknik yang paling

ampuh dan memiliki tingkat keakuratan yang tinggi adalah

Anomaly-Based IDS. Teknik ini menggunakan pendekatan

statistik yang telah teruji.

I.2 Tujuan Penelitian

Tujuan dari penelitian ini yaitu :

1. Memahami salah satu teknik pendeteksian intrusi yang

dilakukan oleh Intrusion Detection System (IDS)

2. Mengetahui pendekatan apa yang digunakan untuk

menunjang keakuratan hasil deteksi intrusi

2

3. Mengetahui bagaimana implementasi teknik deteksi

intrusi untuk mengamankan sistem jaringan

I.3 Metode Penelitian

Metode yang digunakan penulis pada penelitian ini

adalah metode literature.

3

BAB II

LANDASAN TEORI

21 Intrusi dan Intruder

Intrusi atau penyusupan bisa diartikan sebagai kegiatan

akses ke sistem komputer oleh pemakai yang tidak punya hak

misalnya cracker atau hacker, akses oleh yang mempunyai

hak tetapi salah guna dan tercela atau serangan terhadap

keamanan sistem komputer karena bisa menghancurkan

kepercayaan pemakai. Sebuah intrusi dapat diibaratkan

sebagai sekumpulan aksi yang berusaha untuk merusak

integritas, kerahasiaan, ketersediaan dari suatu sumber daya

Teknologi intrusi generasi pertama hanya sebatas

administrasi dan audit pemakaian komputer, terutama

kemungkinan penyalahgunaan hak oleh orang dalam.

Generasi selanjutnya sistem deteksi intrusi dikembangkan

untuk mengawasi juga penyusup yang berniat mencuri data

atau bahkan berniat merusak sistem. Kebanyakan sistem

deteksi intrusi yang dipakai menerapkan model arsitektur

hirarki yang mendeteksi intrusi secara terpusat.

Disamping cracker dan hacker, pada dunia keamanan TI

dikenal juga istilah intruder (penyusup). Pada awal serangan,

4

intruder biasanya hanya mengexplore data. Namun, pada

tingkat yang lebih serius intruder berusaha untuk mendapat

akses ke sistem seperti membaca data rahasia, memodifikasi

data tanpa permisi, mengurangi hak akses ke sistem sampai

menghentikan sistem.

2.2 Komponen Deteksi Intrusi

Perangkat keras atau lunak yang berfungsi untuk

memonitor penyusup secara otomatis dan menganalisisnya

adalah IDS (Intrusion Detection System). Untuk mendukung

kerja IDS, pada tahun 1991 dipublikasikan cara pengamanan

yang lain yaitu dengan memasang firewall yang berfungsi

untuk memblokir trafik yang tidak dinginkan.

Firewall bisa dipandang sebagai benteng sekeliling

sebuah gedung dengan satpam di gerbang, sedangkan IDS

bisa dipandang sebagai pos-pos satpam di setiap pintu,

terdapat juga firewall (perangkat keras / perangkat lunak /

kombinasi keduanya ) yang menyediakan sebuah lokasi untuk

memonitor kejadian-kejadian yang berhubungan dengan

masalah keamanan

2.2.1 IDS

5

IDS adalah sebuah aplikasi perangkat lunak atau

perangkat keras yang dapat mendeteksi aktivitas yang

mencurigakan dalam sebuah sistem atau jaringan. IDS dapat

melakukan inspeksi terhadap lalu lintas inbound dan

outbound dalam sebuah sistem atau jaringan, melakukan

analisis dan mencari bukti dari percobaan intrusi.

2.2.1 .1 Arsitektur dan Struktur IDS

Sebuah IDS selalu mempunyai sebuah sensor ( mesin

analis) yang bertanggung jawab untuk mendeteksi intrusi.

Sensor ini terdiri dari mesin pembuat keputusan yang

berhubungan dengan intrusi. Sensor-sensor menerima baris

data dari 3 sumber informasi utama. IDS memiliki base,

syslog and audit trails. Syslog diincludekan dalam sistem,

misal konfigurasi pada sistem file, autorisasi user, dsb.

Informasi ini menciptakan dasar bagi proses pembuatan

keputusan.

Sensor bertugas untuk memfilter informasi dan

mendiscard data yang tidak relevan dari sekumpulan kejadian

yang terhubung dengan sistem terproteksi, misalnya

mendeteksi aktivitas-aktivitas yang mencurigakan. Analis

menggunakan database yang berisi kebijakan dalam

mendeteksi. Di dalamnya terdapat tandatangan penyerang,

6

deskripsi perilaku normal, dan parameter yang penting

(misal, nilai ambang batas). Database ini mengatur

konfigurasi parameter IDS, termasuk mode komunikasi

dengan modul tanggap. Sensor juga mempunyai database

yang terdiri atas sejarah dinamis dari intrusi yang kpmplek.

Hal ini dibuat dari multiple aksi.-aksi.

Arsitektur IDS.

Sensor diintegrasikan dengan sejumlah komponen yang

bertanggungjawab untuk pengumpulan data Metode

pengumpulan ini ditentukan oleh kebijakan dari event

generator yang akan menjelaskan mode filtering dari suatu

deskripsi informasi. Event generator (misalnya, sistem

operasi, jaringan, dan aplikasi) akan membuat sebuah

kebijakan yang konsisten dalam mengeset sekumpulan

kejadian yang mungkin misal adanya sebuah log atau audit

dari sistem atau packet jaringan. Hal ini diatur baik dengan

7

kebijakan informasi yang disimpan juga didalam atau diluar

sistem terproteksi

Komponen IDS

2.2.1.2 Cara Kerja IDS

Diantara berbagai jenis tugas IDS, identifikasi

penyusup merupakan satu hal yang fundamental. Hal ini

dapat berguna dalam penelitian forensik dan pemilihan patch

yang cocok untuk digunakan.

8

Intrusion

detection system activities

IDS melindungi sistem komputer dengan mendeteksi

serangan dan menghentikannya. Awalnya, IDS melakukan

pencegahan intrusi. Untuk itu, IDS mengidentifikasi

penyebab intrusi dengan cara membandingkan antara event

yang dicurigai sebagai intrusi dengan signature yang ada.

Saat sebuah intrusi telah terdeteksi, maka IDS akan

mengirim sejenis peringatan ke administrator. Langkah

selanjutnya dimulai dengan melakukan policy terhadap

administrator dan IDS itu sendiri

Sewaktu-waktu, IDS dapat menghasilkan alarm yang

salah. Hal ini biasanya terjadi pada saat kegagalan fungsi dari

9

interface jaringan serta pengiriman deskripsi serangan atau

tandatangan melalui email.

Intrusion detection system infrastructure

2.2.2 Perbandingan antara Firewall dan IDS

Meskipun firewall dan IDS berhubungan dengan

masalah keamanan jaringan, tetapi IDS berbeda dengan

firewall yang penggunaanya untuk memfilter traffic atau

paket data yang masuk dan mencegah akses yang tidak

terautorisasi ke atau dari bagian berbeda dari arsitektur

keamanan sebuah sistem. Hanya traffic terautorisasi dan

terdefinisi dalam kebijakan keamanan lokal yang diijinkan

untuk lewat. Berbeda halnya dengan IDS yang digunakan

10

untuk mengaudit traffic dan mencari pola traffic atau

aktivitas tertentu yang terdapat anomali atau kemungkinan

malicious. Selama konfigurasi, pola traffic ini dapat

ditentukan secara manual dan pada saat proses inisialisasi

pola ini dapat dilakukan secara automatis atau kombinasi dari

keduanya.

Tidak seperti IDS yang dapat mengaudit traffic, firewall

hanya mengaudit manajemen jaringan dan mengatur

penggunaan internet. Firewall dirancang untuk membatasi

akses antar jaringan agar bisa mencegah terjadinya

penyusupan. Umumnya firewall tidak dirancang untuk

menyediakan notifikasi detail dari serangan dan deteksi

komprehensif dari semua kemungkinan serangan atau

anomaly dari aktivitas di jaringan, namun firewall dapat

mengontrol layanan, arah layanan, user dan menyediakan

perlindungan dari berbagai jenis serangan.

Sedangkan IDS mengevaluasi kejadian yang

mencurigakan ketika itu sedang atau telah terjadi. Selain itu,

IDS dapat menciptakan audit trail yang detail pada satu atau

lebih lokasi yang aman, memberi signal berupa alarm atau

notifikasi dan kemungkinan melakukan aksi secara otomatis

untuk mengamanakan jaringan. IDS juga dapat memantau

serangan-serangan atau peristiwa-peristiwa yang berasal dari

jaringan dalam organisasi. Hal ini akan melindungi organisasi

11

dari kemungkinan aksi legal punitive yang terinisiasi sebagai

serangan dari dalam organisasi.

.

Sebuah firewall dapat dilihat sebagai sebuah alat

pelindung keamanan pada aset yang berharga. Sedangkan

IDS dapat dianalogikan sebagai kamera surveillance, alarm,

detector atau sensor yang memonitor area disekelilingnya

Umumnya, firewall tidak sehebat IDS dalam

mendeteksi penyusupan. IDS juga tidak memiliki

kemampuan firewalling dibanding firewall. Hal lain yang

dapat membedakan kedua teknologi ini yaitu kebanyakan

firewall dirancang untuk tidak melakukan apa-apa dalam

mode yang tertutup. Namun firewall mempunyai sebuah

system kegagalan yang kritis, bagian sensitive dari jaringan.

12

Kebanyakan kegagalan kritis pada IDS berbentuk mode

terbuka yang artinya bahwa mesin IDS tidak memerlukan

waktu yang lama untuk memproses pola jaringan.

2. 3 Pendekatan dalam Mendeteksi Intrusi

2.3.1 Statistical Anomaly Detection

Melibatkan sekumpulan data yang berhubungan dengan

tingkah laku legitimate user selama waktu tertentu.

Kemudian test statistik diimplementasikan untuk mengamati

tingkahlaku dan menentukan tingkat kerahasiaan dari suatu

data.

Pendekatan ini terbagi dalam dua kategori :

a. Threshold detection : melibatkan penjelasan

Threshold(petunjuk awal), independent user, untuk frekuensi

yang terjadi dari berbagai macam kejadian.

b. Profiled Based : Sebuah profile dari aktivitas setiap user

dikembangkan dan digunakan untuk mendeteksi perubahan

pada tingkah laku dari account individu.\

2.3.2 Ruled based Detection

Melibatkan usaha untuk menggambarkan satu set dari

peraturan yang dapat digunakan untuk memutuskan apakah

ada intruder atau tidak. Terdiri dari dua jenis :

13

a. Anomaly detection : Aturan-aturan dikembangkan

untuk mendeteksi deviasi dari pola yang dipakai

sebelumnya.

b. Penetration Identification : Sebuah pendekatan sistem

pakar yang mencari tingkah laku yang mencurigakan.

2.4 Model untuk Mendeteksi Intrusi

2.4.1 Misuse detection model

Model ini menggunakan deteksi signature dengan cara

mencari titik-titik lemah sistem yang bisa dideskripsi oleh

sebuah pola atau sederet kejadian /data.

2.4.2 Anomaly detection model

Pendeteksian intrusi pada model ini didasarkan pada

perubahan dalam pola pemakaian atau kelakuan sistem. Cara

yang dilakukan adalah dengan membangun sebuah model

statistik yang berisi satuan-satuan alat ukur (metrik) yang

nilainya akan diambil dari aktifitas proses sistem.

Anomali adalah suatu keadaan tidak normal atau

nominal. Pendeteksi anomaly harus dapat membedakan

antara keadaan normal atau anomali

14

15

BAB III

PEMBAHASAN

Apa yang mengindikasikan jika suatu hal dianggap

anomali ? Biasanya, hal ini dapat ditunjukkan dari beberapa

peristiwa yang memiliki frekuensi lebih besar atau kurang

dari dua standar deviasi pada table statistik. Misalnya, jika

dalam satu hari ada seorang user yang log on dan log off

pada satu mesin sebanyak 20 kali (padahal normalnya hanya

1 atau 2 kali) maka ini tentunya akan menimbulkan

kecurigaan.

Penggunaan anomaly based IDS (teknik deteksi intrusi

yang merujuk pada anomali ) dapat mendeteksi tidak hanya

penyusup yang telah atau belum tercatat tetapi juga

menginformasikan tentang kemungkinan masalah-masalah di

jaringan. Metode ini melibatkan pola lalu lintas yang

mungkin merupakan sebuah serangan yang sedang dilakukan

oleh penyerang.

Cara umum untuk menggambarkan bentuk ini adalah

dengan dengan menggunakan teknik statistik untuk

membandingkan lalu lintas yang sedang dipantau dengan lalu

lintas normal yang biasa terjadi. Hal ini dapat ditempuh

16

melalui penghitungan nilai rata-rata dan standar deviasi dari

statistik terdistribusi. Jika hasil perhitungan berada diluar dari

parameter standar deviasi, maka kemungkinan telah terjadi

intrusi.

Pendeteksi ini membangun deksripsi yang

merepresentasikan penggunaan atau pola perilaku normal.

Selanjutnya, deskripsi atau pola ini dibandingkan dengan

perilaku user dan sistem untuk memprediksi dan mendeteksi

ketidakcocokan yang mungkin timbul. Sehingga pada

akhirnya akan dikenali kemungkinan usaha serangan.

Untuk mencocokkan deskripsi, sistem melakukan

inisialisasi deskripsi user dengan pola perilaku user yang sah.

Sekumpulan deskripsi yang normal tidak semuanya cocok

dengan deskripsi yang tersimpan. Jika ada masalah yang

berhubungan dengan pendeskripsian, sementara sistem terus

mempelajari kemungkinan anomali, maka intruder /

penyusup yang berpengalaman dapat balik mempelajari

sistem tersebut.

Sebuah hasil deskripsi yang menyatakan ketidakcocokan

akan disimpan dan dijadikan pedoman untuk membantu

pendeteksian semua kemungkinan aktivitas intrusi

selanjutnya. Mengupdate deskripsi atau menguji sistem

merupakan tugas yang sulit dan menghabiskan banyak waktu.

17

3. 1 Jenis Anomaly-Based IDS

Deteksi anomali terbagi menjadi dua kategori yaitu :

Anomali Statis

Metode jenis ini berguna untuk mengecek integritas

data. Pendeteksian intrusi didasarkan pada asumsi bahwa

terdapat :

Terdapat bagian program yang seharusnya bernilai tetap

pada sistem yang sedang dipantau

Kode dan data yang bernilai konstant

Hardware yang ada tidak perlu dicek.

Perangkat sistem administrasi yang mengecek

komponen fisik dan melaporkan jika terjadi perubahan.

Bagian statis dari suatu sistem dapat direpresentasikan

sebagai sebuah string bit binary atau sekumpulan string

( seperti, file-file). Jika bagian yang statis berbeda dengan

aslinya, maka diasumsikan error telah terjadi atau penyusup

telah merubah bagian statis dari sistem.

Anomali Dinamis

Pada metode ini, pendeteksi anomali dinamis harus

mengincludekan sejumlah deskripsi tentang perilaku sistem

yang dijelaskan seperti sebuah pengurutan namun dipesan

secara terpisah dari kejadian yang berbeda. Untuk itu,

18

pendeteksi ini harus memiliki record tentang user yang

berpotensi menjadi penyusup.

Pendeteksi anomali mengamati aktivitas-aktivitas

subjek dan menggenerate deskripsi perilaku. Proses

monitoring antara user dan system dilakukan secara

bergiliran. Pemetaan antara proses, account, dan user hanya

dilakukan ketika terdapat alarm yang berbunyi.

Tidak peduli apakah terdapat anomali atau tidak, sistem

tetap merujuk pada parameter yang diset selama proses

inisialisasi perilaku sistem. Perilaku ini diasumsikan sebagai

bentuk normal, diukur dan akhirnya digunakan untuk

mengeset parameter sehingga dapat menjelaskan mana

perilaku yang normal dan yang mengandung anomali.

Jika suatu perilaku dianggap tidak mengandung

anomali, maka tidak terjadi intrusi. Namun, jika anomali

terdapat pada suatu perilaku, maka sistem administrator dapat

membunyikan false alarm sebagai tindak lanjut.

III.2 Aturan Dasar pada Anomaly-Based IDS

√ Identifikasi Aliran Data

19

Seluruh keamanan jaringan didasarkan pada boleh

tidaknya suatu traffic masuk dari atau ke suatu jaringan.

Sangatlah penting bagi kita untuk mengetahui tentang

protokol dan sistem jaringan apa yang dipakai. Hal ini

dimaksudkan untuk memudahkan pengidentifikasian aliran

data dan jenis paket apa yang boleh atau tidak boleh dalam

melintasi jaringan. Selain itu, pengetahuan lain yang

diperlukan yaitu mengenai :

Source, Destination IP/network

Protokol Jaringan (IP, ICMP,..)

Protokol aplikasi(ditentukan oleh port-port)

Content (ukuran, tipe, karakteristik.)

Feature yang lain ( TCP flags, TTL,,,)

√ Kelompokkan paket data yang diizinkan

Hal pertama yang dilakukan adalah kelompokkan

semua paket data yang diminta dengan jelas sesuai

kebutuhan sistem. Selanjutnya, pastikan bahwa content (isi)

dapat diterima karena komunikasi tidak hanya berlangsung

karena ada IP atau port. Untuk itu, perlu dilakukan

pengecekan ukuran dan nilai yang spesifik untuk

menentukan kategori dari paket data.

√ Kelompokkan paket data yang mencurigakan

20

Dengan mereview layanan yang dibutuhkan maka akan

terdapat banyak pilihan yang sebenarnya tidak dibutuhkan

atau digunakan oleh end-system. Misalnya, jika content suatu

website tidak menggunakan syntax/ method POST maka akan

timbul sebuah peringatan karena paket data yang masuk

terlihat mencurigakan

√ Kelompokkan paket yang tidak diijinkan

Paket, sistem atau peralatan jaringan yang tidak

diinginkan oleh beberapa layanan, termasuk dalam kategori

ini. Apalagi jika paket-paket tersebut mempunyai tujuan

yang tidak valid

III.3 Tahapan Fase Anomaly-Based IDS

21

III.4 Model Pendeteksian Intrusi pada Anomaly-

Based IDS

Model Ukuran String

Perbedaan panjang yang dimiliki variabel string sering

menunjukkan perilaku regular. Misal, ukuran panjang dari

setiap user id dan pencarian string yang berbeda dapat

dilakukan melalui penghitungan rata-rata.

Model PenemuanToken

Nilai selalu tampak secara berulang pada monitoring

interface. Beberapa parameter dapat menggambarkan nilai

22

yang berbeda. Hal ini dapat dimulai dari enumerasi yang

kecil. Untuk itu, simpanlah history dari parameter nilai.

Dengan adanya sekumpulan peluang yang terbatas,

maka model akan menyimpan suatu enumerasi. Jika tidak,

model akan menampilkan pesan “no enumeration”. Pada saat

pengujian, model akan mengembalikan score antara 1 atau 0.

Model Pendistribusian Karakter String

Dari hasil pengamatan, kebanyakan string mempunyai

distribusi karakter yang mirip. Model ini menciptakan

idealized character distribution (ICD) untuk setiap string

yang teruji pada fase training. Penghitungan score anomali

menggunakan variasi dari Pengujian Pearson Chisquared

Model Struktur Inference

Dalam mendeteksi anomali, model ini dapat

membangun kemungkinan tata bahasa yang digunakan

penyusup. Banyak atribut nilai yang dapat dimodelkan ketika

23

string digenerate oleh tata bahasa regular. Penghitungan

score anomali dilakukan ketika hasil dari transisi state dapat

berpeluang memberikan nilai.

III.5 Protokol untuk Deteksi Anomali

Protokol anomali pada network dan transport layer

( layer 3-4 ) dan application layer (layer 6-7). Untuk

mendeteksi anomali, dilakukan dengan mendefrag

keseluruhan IP, mengeset ulang TCP dan mengecek setiap

kondisi pada proses yang tidak biasa.

Beberapa anomali yang dapat dideteksi pada protokol

3-4, antara lain:

¤ Tumpang tindih fragmentasi IP dan sejumlah IP yang

mencurigakan

¤ Tumpang tindih segmentasi TCP dan sejumlah TCP

yang illegal

¤ Penggunaan checksum yang corrupt

24

III.6 Kelebihan dan Kelemahan Anomaly-Based

IDS

Kelebihan

Memungkinkan deteksi intrusi dini,

Mengenali anomali tanpa mengetahui karakteristik dan

penyebabnya

Mendeteksi penyalahgunaan hak akses user.

Dibandingkan signature-based IDS, metode ini dapat

mendeteksi bentuk serangan yang baru dan belum

terdapat di dalam basis data signature IDS.

Kelemahan

Penggunaan sistem tidak diawasi selama pembuatan

deskripsi dan phase pembelajaran

Perilaku user dapat berubah sewaktu-waktu, sehingga

diperlukan update yang konstant dari waktu ke waktu

dan memungkinkan timbulnya.alarm kesalahan

Merubah perilaku sistem menjadi kebal tehadap

anomali yang terdeteksi selama fase pembelajaran

Sering mengeluarkan pesan false positive. Sehingga

tugas administrator menjadi lebih rumit, dengan harus

memilah-milah mana yang merupakan serangan yang

25

sebenarnya dari banyaknya laporan false positive yang

muncul.

III.7 Impelementasi

III.7.1 Contoh Kondisi Anomali pada Lingkungan

LAN

Berikut diberikan deskripsi kondisi beberapa anomali, misal

terdapat sebuah router dalam jaringan (kemungkinan

menggunakan NAT)

Kemudian, dapat dilihat jika ada seseorang sedang

menguping IP dijaringan dengan mentraceroute IP tersebut

26

SYN packet

SRC=local LAN

TTL=[Standard TTL -1]

TTL=1

SRC=local

LAN

Standard TTL is 256/128/64

Src port = 21 ( sebuah srever FTP dalam jaringan

)

Packet outgoing

Port 135-139

Going through gateway

TTL=1

DST=local LAN

Orang yang menguping ini, sedang mencoba menemukan

jalan keluar dengan mentraceroute IP

III.7.2 Contoh Pendeteksian Intrusi

a. Kasus Pertama

Contoh Konfigurasi

Berdasarkan konfigurasi diatas, dapat dilihat bahwa

administrator telah mengidentifikasi aliran data berupa

protokol jaringan (IP, TCP,UDP), protokol aplikasi(port

80), IP source(1024) yang digunakan. Kasus ini didasari oleh

filtering traffic yang diijinkan lewat dan namun waspadai

sisanya.

27

#web server

Pass TCP $WEB_SERVER 80 <> any 1024:

#admin access

Pass TCP $ADMIN_IP 1024: <> $WEB_SERVER 22

#DNS

Pass UDP $WEB_SERVER 1024: <> $DNS_SERVER 53

#alert rules

ALERT IP any any <> any any (msg: “not allowed traffic”;)

Statement any <>any, menunjukkan bahwa traffic yang

memilki anomali tidak diijinkan masuk ke jaringan. Merujuk

pada statement (msg: “not allowed traffic”;), maka dapat

terlihat bahwa proses filtering yang berdasarkan pada pesan

atau prioritas menjadi lebih sulit .

Untuk itu, penulis menyarankan

diimplementasikannya :

IDS, sistem honeypot dan firewall

Area keamanan yang tinggi dengan kecilnya jumlah

traffic yang tidak terdefinisi/sah serta terfilter dengan

baik

b. Kasus kedua

Statement diatas menunjukkan bahwa terdapat proses request

akses layanan web dari klien ke server. Untuk mendeteksi

intrusi, awalnya dilakukan pengujian seperti :

Mengeksekusi aplikasi

Dilakukan melalui perintah(bertanda merah) :

GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

28

GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

Menguji parameter aplikasi berupan nama

GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

Menguji parameter aplikasi berupa nilai

GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

Menerapkan model statistik pada setiap atribut

aplikasi melalui dua fase, yaitu : Fase Pembelajaran

(membangun deskripsi perilaku normal dari setiap

parameter aplikasi) dan Fase Pendeteksian (mendeteksi

deviasi dari deskripsi yang telah dipelajari)

BAB IV

KESIMPULAN

29

Betapapun banyaknya administrator yang bertugas

untuk mendeteksi atau menganalisis intrusi secara manual

tidaklah efektif jika dibandingkan dengan penggunaan

komponen pendeteksi intrusi seperti IDS. Meskipun

demikian, tidak ada jawaban yang jelas mengenai teknik

mana yang lebih baik karena masing-masing memiliki

kelebihan dan kelemahan. Bukan IDS yang mengamankan

suatu organisasi, tetapi orang-orang yang memanagenya

Untuk mencapai tingkat keamanan yang maximum,

maka sebaiknya kita memadukan kedua teknologi keamanan yaitu IDS dan

Firewall.

30