Sistem Deteksi Intrusi
Intrusion Detection System (disingkat IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).Jenis-Jenis IDS
ada dua jenis IDS, yakni :
- Network-based intrusion Detection System (NIDS) : semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS didalam switch buatannya untuk memonitor port atau koneksi.
- Host-based Intrusion Detection System (HIDS) : Aktifitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan kedalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis dijaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke internet.
Implementasi & Cara Kerja
Cara kerja IDS dan jenis serangan yang mampu ditangkalnya |
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang.
Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni dapat mendeteksi bentuk serangan yang baru dan belum terdapat didalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Produk IDS
Beberapa NIDS dan HIDS yang beredar di pasaran berdasarkan kemampuan dan kepopulerannya antara lain :
- RealSecure dari Internet Security Systems (ISS)
- Cisco Secure Intrusion Detection System dari Cisco Systems (yang mengakuisisi WheelGroup yang memiliki produk NetRanger)
- eTrust Intrusion Detection dai Computer Associates (yang mengakuisisi MEMCO yang memiliki SessionWall-3)
- Symantec Client Security dari Symantec
- Computer Misuse Detection System dari ODS Networks
- Kane Security Monitor dari Security Dynamics
- Cybersafe
- Network Associates
- Network Flight Recorder
- Intellitacticts
0 komentar:
Posting Komentar