IDS (INTRUSION DETECTION SYSTEM) AGUS NURYADI 08650035
Pengertian IDS IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatankegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol) sumber dari usaha pengaksesan jaringan.
Jenis jenis IDS NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System)
1. NIDS (Network Intrusion Detection System) IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan. Semua traffic yang berasal dari luar dan dalam jaringan di scan.
2. HIDS (Host Intrusion Detection System) IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatankegiatan yang mencurigakan yang terdeteksi oleh HIDS.
IDS memiliki 3 (tiga) komponen fungsi fundamental yang merupakan proses utama dalam IDS. 1. Pengambilan Data (Information Sources). Komponen ini merupakan fungsi untuk melakukan pengambilan data dari berbagai sumber yang ada pada sistem yang diamati. 2. Analisis. Bagian ini melakukan organisasi terhadap data yang diperoleh, mengambil kesimpulan terhadap pelanggaran / intrusion baik yang sedang terjadi maupun yang telah terjadi. 3. Respon. Komponen ini melakukan beberapa aksi pada sistem setelah pelanggaran yang terjadi telah terdeteksi. Respon ini dapat dikelompokkan menjadi 2 (dua), yaitu respon aktif dan respon pasif. Respon aktif dalam hal ini berarti melakukan beberapa aksi secara otomatis untuk mengintervensi sistem yang ada, sedangkan pasif adalah memberikan report pada administrator yang akan melakukan respon terhadap sistem.
Cara kerja IDS 1.Signature (Misuse) Based IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang diimplementasikan didalam basis data IDS yang digunakan.
2. Anomaly Based IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.
Langkah dan teknik yang digunakan dalam mendeteksi anomali terdiri atas: a. Threshold Detection, dimana beberapa atribut dari user dan perilaku sistem dinyatakan dalam jumlah atau angka, dengan beberapa tingkatan toleransi yang diperbolehkan. b. Statistical measures, baik parameterik di mana distribusi atribut profil di asumsikan cocok dengan pola tertentu, dan non-parameterik, dimana distribusi profil atribut di pelajari dari kumpulan ukuran historis yang diamati sepanjang waktu.
c. Rule-Based Measures pola tersebut dispesifikasikan dalam aturan danbukan dalam angka. d. Other measure termasuk jaringan syaraf, algoritma genetik, dan model kekebalan sistem.
Jenis Intrusion Detection System a. Arsitektur Sistem Dibedakan menurut bagaimana komponen fungsional IDS diatur satu sama lain. Jenis IDS menurut terminologi ini adalah: 1. Host-Target Co-Location IDS dijalankan pada sistem yang dilindungi. Kelemahan dari sistem ini adalah jika penyerang berhasil memperoleh akses pada sistem, penyerang dapat dengan mudah mematikan IDS. 2. Host-Target Separation. IDS diletakkan pada komputer yang berbeda dengan komputer yang dilindungi.
b. Strategi Pengendalian IDS dibedakan menurut bagaimana kendali atas IDS-IDS yang ada dikendalikan baik input maupun output. Jenis-jenis IDS menurut terminologi ini adalah 1. Terpusat Seluruh kendali baik monitoring, deteksi dan pelaporan dikendalikan secara terpusat.
2. Terdistribusi Monitoring dan deteksi dikendalikan dari node lokal dengan hirarki pelaporan pada satu atau beberapa pusat lokasi
3. Terdistribusi total Monitoring dan deteksi menggunakan pendekatan berbasis agent, dimana keputusan respon dibuat pada node analisis
RAMPUNG