INSTRUCTION DETECTION SYSTEM

-

INSTRUCTION DETECTION SYSTEM (IDS) – MANAJEMEN KEAMANAN INFORMASI

 


APA YANG DI MAKSUD INSTRUCTION DETECTION SYSTEM?

Menurut Jutono Gondohanindijo, dalam jurnalnya yang berjudul "Sistem Untuk Mendeteksi Adanya Penyusup (IDS: Instruction Detection System)", yaitu sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan.

Intrusion Detection System(IDS) merupakan sebuah sistem yang dapat mendeteksi aktivitas yang mencurigakan pada sebuah sistem atau jaringan. Jika ditemukan aktivitas yang mencurigakan pada traffic jaringan maka IDS akan memberikan sebuah peringatan terhadap sistem atau administrator jaringan dan melakukan analisis dan mencari bukti dari percobaan penyusupan.

Dalam aktifitasnya  IDS akan memberikan peringatan kepada sistem atau administrator jika menemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan selain itu   IDS akan merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol).

 

A.     Arsitektur IDS


IDS umumnya berdasar pada arsitektur multi-tier dari:

1.      Teknologi deteksi, yang bergantung pada:

a.      Sensor: biasanya disebut engine/probe, merupakan teknologi yang memungkinkan IDS untuk memantau sejumlah besar traffic. Bertugas untuk memfilter informasi dan mendiscard data yang tidak relevan dari sekumpulan kejadian yang terhubung dengan sistem terproteksi, misalnya aktivitas-aktivitas yang mencurigakan.

b.      Agents: Software yang di install pada suatu PC untuk memantau file atau fungsi tertentu, dan melakukan pelaporan jika terjadi sesuatu.

c.       Collector: seperti agent, tetapi lebih kecil, dan tidak membuat keputusan, tetapi hanya menyampaikan ke manager pusat.

2.      Analisis Data: proses analisis data dan data mining sejumlah besar data dilakukan oleh lapisan(layer), kadang diletakkan pada pusat data/server.

3.      Manajemen konfigurasi/GUI: Biasa disebut juga console merupakan antarmuka operator dengan IDS.

Sensor bertugas untuk memfilter informasi dan mendiscard data yang tidak relevan dari sekumpulan kejadian yang terhubung dengan sistem terproteksi, misalnya mendeteksi aktivitas-aktivitas yang mencurigakan. Analis dilakukan dengan menggunakan database yang berisi kebijakan dalam mendeteksi. Di dalamnya terdapat tanda tangan penyerang, deskripsi perilaku normal, dan parameter yang penting (misal, nilai ambang batas). Database ini mengatur konfigurasi parameter IDS, termasuk mode komunikasi dengan modul tanggap. Sensor diintegrasikan dengan sejumlah komponen yang bertanggung jawab untuk pengumpulan data. Metode pengumpulan ini ditentukan oleh kebijakan dari event generator yang akan menjelaskan mode filtering dari suatu deskripsi informasi.

Event generator (misalnya: sistem operasi, jaringan, dan aplikasi) akan membuat sebuah kebijakan yang konsisten dalam mengeset sekumpulan kejadian yang mungkin seperti adanya sebuah log atau audit dari sistem atau paket jaringan. Berikut ini adalah diagram arsitektur IDS:

 

B.      Sifat-sifat IDS

Pada umumnya, IDS mempunyai sifat-sifat sebagai berikut:

a.      Suitability

Aplikasi IDS yang cenderung fokus pada skema manajemen dan arsitektur jaringan yang dihadapkannya.

b.      Flexibility

Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan  dideteksi oleh aplikasi tersebut.

c.       Protection

Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.

d.      Interoperability

Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan  perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya.

e.      Comprehensiveness

Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email.

f.        Event Management

Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan.

g.       Active Response

Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya.

h.      Support

Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain.

 

C.      Teknik Deteksi IDS

Berikut ini adalah teknik deteksi yang digunakan dalam IDS:

a.      Teknik Deteksi Anomali (Anomaly Detection/Behavior Based)

Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan –kejanggalan pada sistem, yaitu adanya keanehan dan kejanggalan dari kondisi pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS Anomaly Based ini dianggap sebagai serangan.

b.      Teknik Deteksi Penyalahgunaan (Misuse Detection/ Knowledge Based)

Knowledge Based adalah IDS mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule

pada IDS tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS maka paket data tersebut dianggap sebagai serangan.

 

D.     Cara Kerja IDS

IDS melindungi sistem komputer dengan mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan intrusi. Untuk itu, IDS mengidentifikasi penyebab intrusi dengan cara membandingkan antara event yang dicurigai sebagai intrusi dengan signature yang ada. Saat sebuah intrusi telah terdeteksi, maka IDS akan mengirim sejenis peringatan ke administrator. Langkah selanjutnya dimulai dengan melakukan policy terhadap administrator dan IDS itu sendiri.

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. Cara lainnya adalah dengan mendeteksi adanya anomali, teknik yang lainnya adalah dengan memantau berkas[1]berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap login sistem untuk memantau apakah terjadi kejadian yang tidak biasa.


E.      Jenis-jenis IDS

Berikut merupakan jenis-jenis IDS:

1.      Network-based Intrusion Detection System (NIDS)

Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada dalam satu jaringan. Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. Contoh: melihat adanya network scanning.

2.      Host-based Intrusion Detection System (HIDS)

Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet. Contoh: memonitor logfile, process dan file ownership.

 

F.       Kelebihan dan Kekurangan IDS

-          Kelebihan IDS

IDS memiliki beberapa kelebihan diantaranya sebagai berikut:

a. Memiliki Akurasi keamanan yang baik IDS telah memiliki ketelitian tinggi, yaitu mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan. IDS juga mampu memeriksa dan menganalisa pattern objek secara menyeluruh yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat mengenal benar karakteristik trafic penyerang. Mampu Mendeteksi dan Mencegah Serangan. IDS dapat mendeteksi serangan dan juga mampu untuk melakukan pencegahan terhadap serangan tersebut.

c. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking. IDS memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum dikenalnya dan mampu mendeteksi segala sesuatu yang mencurigakan.

d.      Dapat memberikan Informasi tentang ancaman – ancaman yang terjadi.

e.      Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporting yang baik.

f.        Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.

 

-          Kelemahan IDS

a.      Alarm palsu

Sering terjadinya alarm ataupun gangguan yang bersifat palsu, yaitu paket data yang datang terdeteksi sebagai intrusion karena tidak sesuai dengan rule–rule yang dibuat. Setelah diteliti ternyata hanya paket data biasa dan tidak berbahaya.

b.      Variants Mengetahui sukses atau tidaknya, sebuah set signature harus cukup unik untuk memberikan peringatan atau alert pada saat yang memang berbahaya. Kesulitannya adalah kode-kode untuk exploit itu dengan mudahnya dimodifikasi oleh penyerangnya, jadi sangat memungkinkan sekali banyak terjadi variasi pada kodenya.

c.       False Positives Merupakan alert yang memberitahu adanya aktifitas yang berpotensi berupa serangan, tetapi masih ada kemungkinan bahwa ternyata aktifitas tersebut bukan sebuah serangan. Kesulitannya adalah apabila jumlah alert banyak dan sulit untuk menyaring mana yang memang benar-benar serangan atau bukan.

d.      False Negatives Kelemahan ini terjadi pada kondisi dimana IDS tidak dapat mendeteksi adanya serangan, karena tidak mengenal signature-nya. Jadi IDS tidak memberikan alert, walaupun sebenarnya serangan terhadap sistem tersebut sedang berlangsung.

e.      Data Overload Hal ini merupakan aspek yang tidak berhubungan secara langsung dengan teknik IDS yang digunakan, tetapi sangatlah penting bila melihat dari segi seberapa besar efisiensi dan efektifitas hasil kerja analis dalam menganalisa data-data dalam IDS secara keseluruhan

 

G.     Contoh IDS

Ada banyak contoh dari IDS diantaranya adalah:

a.      Tcplogd

Program yang mendeteksi stealth scan. Stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. Sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. Stealth scan memutuskan koneksi tcp sebelum klien menerima kembali jawaban dari server. Scanning model ini biasanya tidak terdeteksi oleh log umum di linux.

b.      HostSentry

Program yang mendeteksi login anomali. Anomali disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).

c.       Snort

Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan mampu menganalisa paket yang melintasi jaringan secara langsung dan melakukan pencatatan ke dalam penyimpanan data serta mampu mendeteksi berbagai serangan yang berasal dari luar jaringan. Snort merupakan sebuah produk terbuka yang dikembangkan oleh Marty Roesch dan tersedia gratis. Snort bisa digunakan pada sistem operasi Linux, Windows, BSD dan Solaris. Snort merupakan IDS berbasis jaringan yang menggunakan metode deteksi rule based, menganalisis paket data apakah sesuai dengan jenis serangan yang sudah diketahui olehnya.

 

 

KESIMPULAN

Berapapun banyaknya administrator yang bertugas untuk mendeteksi atau menganalisis intrusi secara manual tidaklah efektif jika dibandingkan dengan penggunaan komponen pendeteksi intrusi seperti IDS. Meskipun demikian, tidak ada jawaban yang jelas mengenai teknik mana yang lebih baik karena masing-masing memiliki kelebihan dan kelemahan. Bukan IDS yang mengamankan suatu organisasi, tetapi orang-orang yang me-managenya. Untuk mencapai tingkat keamanan yang maximum, maka sebaiknya kita memadukan kedua teknologi keamanan yaitu IDS dan Firewall.

 

 

Sumber:

[1] Gondohanindijo, Jutono. “Sistem Untuk Mendeteksi Adanya Penyusup (IDS: Instruction Detection System)”. Fakultas Ilmu Komputer Universitas AKI. 2011

[2] Kurniawan, Bayu. “Pengertian IDS, Cara Kerja, Jenis, Komponen dan Contoh IDS”. Ilmu Elektro. Diakses 2022 https://ilmuelektro.id/pengertian-ids/

[3] IR. Essy Malays Sari Sakti, M.MSI. “Keamanan Informasi Lanjut ke Materi 3”. 18 Agustus 2022.

[4] Bayu S. Marah. “Pengertian IDS, Jenis, sifat, cara kerja, dan rekomendasi software. 2022. ”diakses https://www.ara-genriset.com/2022/05/pengertian-ids-intrusion-detection.html

Komentar

Posting Komentar

Postingan populer dari blog ini

Pemanfaatan Teknologi Informasi

-
         Saat ini kebutuhan teknologi informasi tidak dapat lagi dipisahkan dari kehidupan masyarakat sekarang, terutama untuk masyarakat yang tinggal diperkotaan tak terkecuali indonesia, untuk saat ini perkembanngan teknologi informasi di indonesia sedang dalam perkembangan untuk menjadi masyarakat yang berorientasi dalam digital. Meningkatkan pembangunan dalam infrastruktur jaringan dalam mendorong masyarakat yang dapat dengan mudah untuk mencoba untuk sebuah aplikasi konten digital baru yang tersedia.          Tak hanya perkembangan teknologi dalam sebuah komunikasi, pergeseran masyarakat menjadi lebih mengerti tentang perkembangan teknologi, tujuan aplikasi-aplikasi ini hadir hanya untuk memenuhi keperluan gaya hidup masyarakat yang hidup di perkotaan. Perubahan  kebiasaan masyarakat juga dapat terlihat dalam hal untuk mendapatkan informasi sehari-hari dengan ada nya perkembangan teknologi yang terstruktur juga terlihat de...
Baca selengkapnya

TUGAS UTS PTI

-
INTERNET, INTRANET, EKSTRANET A.   Internet ¤ Pengertian internet Internet adalah sebuah jaringan yang menghubungkan komputer satu sama lain yang menggunakan standar sistem global Transmission Control Protocol atau Internet Protocol Suite (TCP/IP) sebagai protokol pertukaran sehingga kita bisa saling berkomunikasi, berinteraksi, dan saling bertukar informasi meski dalam jarak yang jauh. ¤ Evolusi internet Internet merupakan jaringan komputer yang dibentuk oleh Departemen Pertahanan Amerika Serikat pada tahun 1969, melalui proyek lembaga ARPA yang mengembangkan jaringan yang dinamakan ARPANET (Advanced Research Project Agency Network), di mana mereka mendemonstrasikan bagaimana dengan hardware dan software komputer yang berbasis UNIX. Tujuan awal dibangunnya proyek itu adalah untuk keperluan militer. Pada saat itu Departemen Pertahanan Amerika Serikat (US Department of Defense) membuat sistem jaringan komputer yang tersebar dengan menghubungkan komp...
Baca selengkapnya