Contoh Makalah Intrusion Detection
Selasa, 07 Januari 2020
Add Comment
Intrusion detection adalah suatu mekanisme atau layanan keamanan dengan fungsi untuk memantau dan memberikan laporan secara realtime atau hampir realtime terhadap upaya akses tidak sah oleh intruders kedalam suatu sistem, adapun berikut ini adalah Contoh Makalah Intrusion Detection yang pernah saya buat sewaktu mengambil mata kuliah Pengamanan Sistem Komputer di Jurusan Teknik Informatika Universitas Malikussaleh dengan pak Ilham Sahputra, S.T., M.Cs sebagai dosennya yang mana makalah ini adalah satu dari makalah-makalah yang harus kamu buat setiap minggunya, terimakasih pak. oke langsung saja berikut adalah contoh makalahnya.
Contoh Makalah Intrusion Detection
KATA PENGANTAR
Puji syukur kehadirat Allah SWT yang telah memberikan rahmat dan hidayah-Nya sehingga kami dapat menyelesaikan tugas makalah “Intursion Detection” ini tepat pada waktunya.
Adapun tujuan dari penulisan dari makalah ini adalah untuk memenuhi tugas dari bapak Ilham Sahputra, S.T., M.Cs, pada Mata Kuliah Pengamanan Sistem Komputer. Selain itu, makalah ini juga bertujuan untuk menambah wawasan tentang Intursion Detection baik bagi para pembaca maupun bagi penulis.
Kami mengucapkan terima kasih kepada bapak Ilham Sahputra, S.T., M.Cs, selaku dosen pengampu Mata Kuliah Pengamanan Sistem Komputer yang telah memberikan tugas ini sehingga dapat menambah pengetahuan dan wawasan sesuai dengan bidang studi Teknik Informatika.
Kami juga mengucapkan terima kasih kepada semua pihak yang telah membagi sebagian pengetahuannya sehingga kami dapat menyelesaikan makalah ini.
Kami menyadari, makalah yang ditulis ini masih jauh dari kata sempurna. Oleh karena itu, kritik dan saran yang membangun akan kami nantikan demi kesempurnaan makalah ini.
Lhokseumawe, 09 Desember 2019
DAFTAR ISI
KATA PENGANTAR i
DAFTAR ISI ii
1 BAB I PENDAHULUAN 1
1.1 Latar Belakang 1
1. 2 Rumusan Masalah 1
1.3 Tujuan Pembahasan 2
2 BAB II PEMBAHASAN 3
2.1 Intruders 3
2.1.1 Intruder Behavior 5
2.2 Intrusion Detection 6
2.2.1 Basic Principle 7
2.2.2 Kekeliruan Tingkat Dasar 7
2.3 Pendekatan Analisis 8
2.3.1 Anomaly Detection 8
2.3.2 Signature or Heuristic Detection 8
2.4 Host-Based IntrusIon Detection 9
2.5 Network-Based Intrusion Detection 9
2.6 Distributed or Hybird Intrusion Detection 10
2.7 Intrusion Detection Exchange Format 11
2.8 Honeypots 11
3 BAB III PENUTUP 13
3.1 Kesimpulan 13
3.2 Saran 13
4 DAFTAR PUSTAKA 14
BAB I PENDAHULUAN
1.1 Latar Belakang
Salah satu ancaman utama terhadap keamanan adalah penggunaan beberapa bentuk peretasan oleh intruder, yang lebih dikenal sebagai hacker atau cracker. Verizon menunjukkan bahwa 92% dari pelanggaran yang mereka selidiki adalah oleh orang luar, dengan 14% oleh orang dalam, dan dengan beberapa pelanggaran yang melibatkan orang luar dan orang dalam. Mereka juga mencatat bahwa orang dalam bertanggung jawab atas sejumlah kecil kompromi dataset yang sangat besar.
Baik Symantec dan Verizon juga berkomentar bahwa tidak hanya ada peningkatan umum dalam aktivitas peretasan berbahaya, tetapi juga peningkatan serangan yang secara khusus ditargetkan pada individu dalam organisasi dan sistem TI yang mereka gunakan. Tren ini menekankan perlunya menggunakan strategi pertahanan-mendalam, karena serangan yang ditargetkan seperti itu dapat dirancang untuk memotong pertahanan perimeter seperti firewall dan sistem deteksi intrusi berbasis jaringan (IDS). Seperti halnya strategi pertahanan, pemahaman tentang motivasi yang mungkin dari penyerang dapat membantu dalam merancang strategi pertahanan yang cocok.
1. 2 Rumusan Masalah
1. Apa pengertian dari Intruders?
2. Apa pengertian dari Intrusion Detection?
3. Bagaimana Pendekatan Analisis pada Intrusion Detection ?
4. Bagaimana Host-Based IntrusIon Detection ?
5. Bagaimana Network-Based Intrusion Detection ?
6. Bagaimana Distributed or Hybrid Intrusion Detection ?
7. Bagaimana Intrusion Detection Exchange Format?
8. Apa itu Honeypots ?
1.3 Tujuan Pembahasan
Tujuan dari penyusunan makalah ini adalah untuk memberikan informasi serta menambah pengetahuan kepada pembaca mengenai access control termasuk didalamnya:
1. Pengertian dari Intruders
2. pengertian dari Intrusion Detection
3. Bagaimana Pendekatan Analisis pada Intrusion Detection
4. Bagaimana Host-Based IntrusIon Detection
5. Bagaimana Network-Based Intrusion Detection
6. Penanggapan terhadap Denial of Service Attack
7. Bagaimana Intrusion Detection Exchange Format
8. Pengertian Honeypots
BAB II PEMBAHASAN
2.1 Intruders
Intruder adalah pihak (orang maupun kelompok) yang berupaya menerobos masuk secara paksa kedalam suatu sistem, merusak data pada system maupun merusak system itu sendiri. Singkatnya, pihak tersebut mencoba untuk merusak keamanan dengan mengganggu Integritas dan Kerahasiaan data serta Ketersediaan system tersebut. Intruder ini lebih dikenal sebagai hacker atau cracker.
Adapun secara umum, Intruders dapat dibagi menjadi beberapa kelas sebagai berikut :
•Cyber Kriminal, Adalah individu atau kelompok kriminal terorganisir dengan uang sebagai tujuan utama. yang mana untuk mendapatkan uang tersebut kegiatan yang mereka lakukan dapat mencakup pencurian identitas, spionase perusahaan, pencurian data, atau penebusan data
•Aktivis: Adalah individu yang biasanya bekerja sebagai orang dalam, atau anggota kelompok penyerang luar yang lebih besar, yang termotivasi oleh sebab sosial atau politik. Mereka juga dikenal hacktivists, dan biasanya kemampuan mereka cukup rendah. Tujuan serangan mereka adalah untuk mempromosikan dan mempublikasikan masalah mereka, biasanya dengan melakukan deface website, DoS attack atau pencurian dan distribusi data yang menghasilkan publisitas negatif terhadap target mereka.
•Organisasi disponsori negara: Adalah kelompok peretas yang disponsori oleh pemerintah untuk melakukan kegiatan spionase atau sabotase. Mereka juga dikenal sebagai Advanced Persistent Threats (APTs), karena sifatnya yang tersembunyi, kegigihan yang luar biasa serta banyaknya serangan yang mereka lakukan
• Lainnya: Adalah Hacker dengan motivasi selain dari yang tercantum di atas, termasuk hacker yang semata-mata termotivasi oleh tantangan teknis atau untuk menaikan reputasi dalam kelompok mereka. Adapun mengingat banyaknya attack toolkit yang tersedia, ada juga kumpulan hacker yang melakukaknya sebatas hobi.
Selain berdasarkan Kelasnya, Secara umum Intruders juga dapat di kelompokan berdasarkan kemampuan mereka sebagai berikut:
• Apprentice: Hacker dengan keterampilan teknis yang minim dan umumnya hanya mengandalkan toolkit yang sudah ada dan karena menggunakan tool yang sudah dikenal, para penyerang ini adalah yang paling mudah untuk dilawan. Mereka juga dikenal sebagai "skript-kiddies".
• Journeyman: Hackers dengan keterampilan teknis yang cukup memadai untuk memodifikasi dan menggupgrade attack tools untuk digunakan pada kerentanan yang baru ditemukan atau untuk fokus pada kelompok sasaran yang berbeda. Mereka juga dapat menemukan kerentanan baru untuk dieksploitasi yang mirip dengan beberapa yang sudah diketahui. Perubahan pada attack tool inilah yang membuat identifikasi dan pertahanan melawan serangan mereka menjadi lebih sulit.
• Master: Hackers dengan keterampilan teknis tingkat tinggi yang mampu menemukan kategori kerentanan baru, atau mengembangkan attack tools yang baru. Hacker pada level ini biasanya dipekerjakan oleh beberapa organisasi disponsori negara, seperti yang ditunjuk APT. membuat pertahanan melawan serangan-serangan mereka memiliki kesulitan paling tinggi.
Serangan Intruder berkisar dari yang jinak hingga yang serius. Pada akhir skala jinak, adalah orang yang hanya ingin menjelajahi internet dan melihat apa yang ada di luar sana sedangkan pada ujung tikngkat serius adalah individu atau kelompok yang mencoba membaca data istimewa, melakukan modifikasi data yang tidak sah, atau mengganggu sistem.
Berikut adalah beberapa contoh intrusi :
• Web Deface
• Menebak dan memecahkan kata sandi
• Menyalin database yang berisi nomor kartu kredit
• Melihat data sensitive tanpa izin, contohnya informasi medis
Intrusion detection systems (IDS) danintrusion prevention systems (IPS) dirancang untuk membantu melawan jenis ancaman ini. Sistem tersebut cukup efektif terhadap serangan yang dikenal dan kurang canggih, seperti serangan oleh kelompok aktivis atau penipuan email skala besar. Mereka cenderung kurang efektif terhadap serangan yang lebih canggih dan bertarget oleh beberapa penjahat yang disponsori negara, karena para penyerang ini lebih cenderung menggunakan Teknik ekspolitasi baru..
2.1.1 Intruder Behavior
Teknik dan pola perilaku intruders terus berubah, untuk mengeksploitasi kelemahan yang baru ditemukan dan untuk menghindari deteksi serta penanggulangan. Namun umumnya intruders masih menggukanan langkah-langkah sebagai berikut :
• Target Acquisition and Information Gathering: Di mana penyerang mengidentifikasi dan mengkarakterisasi sistem target menggunakan informasi yang tersedia untuk umum, baik teknis maupun non-teknis, dan menggunakan alat eksplorasi jaringan untuk memetakan sumber daya target.
• Initial Access: Akses awal ke sistem target, biasanya dengan mengeksploitasi kerentanan jaringan jarak jauh, ataupun melalui pemasangan malware pada sistem menggunakan beberapa bentuk rekayasa sosial atau drive-by-download attack
• Privilege Escalation: Tindakan yang dilakukan pada sistem, untuk menaikan hak penyerang sehingga dapat menjalankan niatnya
• Information Gathering or System Exploit: Tindakan oleh penyerang untuk mengakses atau mengubah informasi atau sumber daya pada sistem, atau untuk menavigasi ke sistem target lain.
• Maintaining Access: Tindakan seperti pemasangan backdoors atau perangkat lunak berbahaya lainnya, atau dengan perubahan konfigurasi lainnya ke sistem, untuk memungkinkan akses lanjutan oleh penyerang setelah serangan awal.
• Covering Tracks: Ketika penyerang menonaktifkan atau mengedit log audit untuk menghapus bukti aktivitas serangan, dan menggunakan rootkit dan langkah-langkah lain untuk menyembunyikan file atau kode yang dipasang secara tersembunyi.
2.2 Intrusion Detection
Security Intrusion: Suatu peristiwa keamanan, atau kombinasi dari beberapa peristiwa keamanan, yang merupakan insiden keamanan di mana penyusup memperoleh, atau mencoba untuk mendapatkan, akses ke suatu sistem (atau sumber daya sistem) tanpa memikiki izin.
Intrusion Detection: Suatu layanan keamanan yang memantau dan menganalisis peristiwa sistem dengan tujuan menemukan, dan memberikan peringatan realtime atau hampir realtime terhadap upaya untuk mengakses sumber daya sistem dengan cara yang tidak sah.
IDS terdiri dari tiga komponen logis:
• Sensor: Sensor bertanggung jawab untuk mengumpulkan data. Input untuk sensor mungkin merupakan bagian dari suatu sistem yang dapat berisi bukti adanya intrusi. Jenis input ke sensor termasuk paket jaringan, file log, dan jejak panggilan sistem. Sensor mengumpulkan dan meneruskan informasi ini ke penganalisa.
• Analisis: Analisis menerima input dari satu atau lebih sensor atau dari analisis lain. Penganalisa bertanggung jawab untuk menentukan apakah intrusi telah terjadi. Output dari komponen ini merupakan indikasi bahwa telah terjadi intrusi. Keluaran dapat mencakup bukti yang mendukung kesimpulan bahwa intrusi terjadi. Penganalisa dapat memberikan panduan tentang tindakan apa yang harus diambil sebagai akibat dari intrusi. Input sensor juga dapat disimpan untuk analisis selanjutnya dan ditinjau dalam komponen penyimpanan atau basis data.
• User interface: Antarmuka pengguna ke IDS memungkinkan pengguna untuk melihat output dari sistem atau mengontrol perilaku sistem. Dalam beberapa sistem, antarmuka pengguna mungkin sama dengan komponen manajer, direktur, atau konsol.
IDS dapat menggunakan sensor dan analisa tunggal, seperti HIDS klasik pada host atau NIDS dalam perangkat firewall. IDS yang lebih canggih dapat menggunakan beberapa sensor, melintasi berbagai perangkat host dan jaringan, mengirim informasi ke penganalisa terpusat dan antarmuka pengguna dalam arsitektur terdistribusi.
IDS sering diklasifikasikan berdasarkan sumber dan jenis data yang dianalisis, seperti:
• Host-based IDS (HIDS): Memantau karakteristik host tunggal dan peristiwa yang terjadi dalam host tersebut, seperti pengidentifikasi proses dan panggilan sistem yang mereka buat, untuk bukti aktivitas yang mencurigakan.
• Network-based IDS (NIDS): Memantau lalu lintas jaringan untuk segmen atau perangkat jaringan tertentu dan menganalisis protokol jaringan, transportasi, dan aplikasi untuk mengidentifikasi aktivitas yang mencurigakan.
• Distributed or hybrid IDS: Menggabungkan informasi dari sejumlah sensor, seringkali berbasis host dan berbasis jaringan, dalam penganalisa pusat yang mampu mengidentifikasi dan merespons dengan lebih baik terhadap aktivitas intrusi.
2.2.1 Basic Principle
Fasilitas otentikasi, fasilitas kontrol akses, dan firewall semua berperan dalam melawan intrusi. Garis pertahanan lain adalah deteksi intrusi, dan ini telah menjadi fokus banyak penelitian dalam beberapa tahun terakhir.
Minat ini dimotivasi oleh sejumlah pertimbangan, termasuk yang berikut:
• Jika intrusi terdeteksi cukup cepat, intruder dapat diidentifikasi dan dikeluarkan dari sistem sebelum kerusakan dilakukan atau data apa pun terganggu. Bahkan jika deteksi tidak tepat waktu untuk mencegah intruder, semakin cepat intrusi terdeteksi, semakin sedikit jumlah kerusakan dan semakin cepat pemulihan dapat dicapai.
• IDS yang efektif dapat berfungsi sebagai pencegah, sehingga bertindak untuk mencegah intrusi.
• Deteksi intrusi memungkinkan pengumpulan informasi tentang teknik intrusi yang dapat digunakan untuk memperkuat langkah-langkah pencegahan intrusi.Deteksi intrusi didasarkan pada asumsi bahwa perilaku penyusup berbeda dari pengguna yang sah dengan cara yang dapat dikuantifikasi. Tentu saja, kita tidak dapat berharap bahwa akan ada perbedaan yang tajam dan tepat antara serangan oleh penyusup dan penggunaan sumber daya yang normal oleh pengguna yang berwenang. Sebaliknya, kita harus berharap bahwa akan ada tumpang tindih.
2.2.2 Kekeliruan Tingkat Dasar
Agar praktis digunakan, IDS harus mendeteksi persentase intrusi substansial sambil menjaga tingkat alarm palsu pada tingkat yang dapat diterima. Jika hanya sebagian kecil intrusi aktual yang terdeteksi, sistem memberikan rasa aman yang salah. Di sisi lain, jika sistem sering memicu peringatan ketika tidak ada intrusi (alarm palsu), maka manajer sistem akan mulai mengabaikan alarm, atau banyak waktu akan terbuang untuk menganalisis alarm palsu. Sayangnya, karena sifat probabilitas yang terlibat, sangat sulit untuk memenuhi standar tingkat deteksi yang tinggi dengan tingkat alarm palsu yang rendah. Secara umum, jika jumlah sebenarnya intrusi rendah dibandingkan dengan jumlah penggunaan yang sah dari suatu sistem, maka tingkat alarm palsu akan tinggi kecuali tes sangat diskriminatif. Ini adalah contoh dari fenomena yang dikenal sebagai kekeliruan tingkat dasar.
2.3 Pendekatan Analisis
IDS biasanya menggunakan salah satu pendekatan alternatif berikut untuk menganalisis data sensor untuk mendeteksi intrusi :
2.3.1 Anomaly Detection
Pendekatan deteksi anomali pertama-tama melibatkan pengembangan model perilaku pengguna yang sah dengan mengumpulkan dan memproses data sensor dari operasi normal sistem yang dipantau dalam fase pelatihan. Ini dapat terjadi pada waktu yang berbeda, atau mungkin ada proses pemantauan dan pengembangan model yang berkelanjutan dari waktu ke waktu. Setelah model ini ada, perilaku yang diamati saat ini dibandingkan dengan model untuk mengklasifikasikannya sebagai aktivitas yang sah atau anomali dalam fase deteksi.
Berbagai pendekatan klasifikasi digunakan, yang secara luas dikategorikan sebagai:
• Statistik: Analisis perilaku yang diamati menggunakan model univariat, multivariat, atau time-series dari metrik yang diamati.
• Berbasis pengetahuan: Pendekatan menggunakan sistem pakar yang mengklasifikasikan perilaku yang diamati menurut seperangkat aturan yang memodelkan perilaku yang sah.
• machine-learning: Pendekatan secara otomatis menentukan model klasifikasi yang sesuai dari data pelatihan menggunakan teknik penambangan data.
2.3.2 Signature or Heuristic Detection
Teknik Signature or Heuristic Detection mendeteksi intrusi dengan mengamati peristiwa dalam sistem dan menerapkan seperangkat pola tanda tangan pada data, atau seperangkat aturan yang mencirikan data, yang mengarah ke keputusan mengenai apakah data yang diamati menunjukkan perilaku normal atau tidak normal.
• Signature approaches cocok dengan koleksi besar pola data berbahaya yang diketahui terhadap data yang disimpan pada sistem atau dalam perjalanan melalui jaringan. Tanda tangan harus cukup besar untuk meminimalkan tingkat alarm palsu, sementara masih mendeteksi sebagian kecil dari data berbahaya
• Rule-based heuristic identification melibatkan penggunaan aturan untuk mengidentifikasi penetrasi yang diketahui atau penetrasi yang akan mengeksploitasi kelemahan yang diketahui. Aturan juga dapat didefinisikan yang mengidentifikasi perilaku mencurigakan, bahkan ketika perilaku itu berada dalam batas-batas pola penggunaan yang ditetapkan
2.4 Host-Based IntrusIon Detection
Host-Based IDS (HIDS) menambahkan lapisan khusus perangkat lunak keamanan ke sistem yang rentan atau sensitif; seperti server basis data dan sistem administrasi. HIDS memonitor aktivitas pada sistem dengan berbagai cara untuk mendeteksi perilaku mencurigakan. Dalam beberapa kasus, IDS dapat menghentikan serangan sebelum kerusakan terjadi, tetapi tujuan utamanya adalah untuk mendeteksi intrusi, mencatat peristiwa yang mencurigakan, dan mengirim peringatan.
Manfaat utama HIDS adalah dapat mendeteksi intrusi eksternal dan internal, sesuatu yang tidak mungkin dilakukan dengan IDS berbasis jaringan atau firewall. Seperti yang kita bahas di bagian sebelumnya, IDS berbasis host dapat menggunakan anomali atau pendekatan tanda tangan dan heuristik untuk mendeteksi perilaku tidak sah pada host yang dipantau. Kami sekarang meninjau beberapa sumber data umum dan sensor yang digunakan dalam HIDS, dan kemudian melanjutkan dengan diskusi tentang bagaimana anomali, tanda tangan, dan pendekatan heuristik digunakan dalam HIDS, dan kemudian mempertimbangkan distribusi HIDS.
2.5 Network-Based Intrusion Detection
Network-Based IDS (NIDS) memonitor lalu lintas di titik-titik yang dipilih pada jaringan atau rangkaian jaringan yang saling berhubungan. NIDS memeriksa paket lalu lintas dengan paket secara real time, atau mendekati waktu nyata, untuk mencoba mendeteksi pola intrusi. NIDS dapat memeriksa aktivitas protokol tingkat jaringan, transportasi, dan / atau aplikasi. Perhatikan kontrasnya dengan IDS berbasis host; a NIDS memeriksa lalu lintas paket yang diarahkan ke sistem komputer yang berpotensi rentan di jaringan. Sistem berbasis host memeriksa aktivitas pengguna dan perangkat lunak pada host.
NIDS biasanya dimasukkan dalam infrastruktur keamanan perimeter organisasi, baik yang tergabung dalam, atau yang terkait dengan, firewall. Mereka biasanya fokus pada pemantauan untuk upaya intrusi eksternal, dengan menganalisis pola lalu lintas dan konten lalu lintas untuk aktivitas berbahaya. Dengan meningkatnya penggunaan enkripsi, NIDS telah kehilangan akses ke konten yang signifikan, menghambat kemampuan mereka untuk berfungsi dengan baik. Jadi sementara mereka memiliki peran penting untuk dimainkan, mereka hanya dapat membentuk bagian dari solusi. Fasilitas NIDS yang khas mencakup sejumlah sensor untuk memantau lalu lintas paket, satu atau lebih server untuk fungsi manajemen NIDS, dan satu atau lebih konsol manajemen untuk antarmuka manusia. Analisis pola lalu lintas untuk mendeteksi intrusi dapat dilakukan pada sensor, di server manajemen, atau beberapa dari keduanya.
2.6 Distributed or Hybird Intrusion Detection
Dalam beberapa tahun terakhir, konsep berkomunikasi IDS telah berkembang menjadi skema yang melibatkan sistem terdistribusi yang bekerja sama untuk mengidentifikasi intrusi dan untuk beradaptasi dengan perubahan profil serangan. Ini bergabung dalam IDS pusat, sumber informasi pelengkap yang digunakan oleh HIDS dengan proses berbasis host dan detail data, dan NIDS dengan kejadian dan data jaringan, untuk mengelola dan mengoordinasikan deteksi dan respons intrusi dalam infrastruktur TI organisasi. Dua masalah utama selalu menghadapi sistem seperti IDS, firewall, virus dan detektor worm, dan sebagainya.
Pertama, alat-alat ini mungkin tidak mengenali ancaman baru atau modifikasi radikal dari ancaman yang ada. Dan kedua, sulit untuk memperbarui skema dengan cukup cepat untuk menangani serangan yang menyebar dengan cepat. Masalah terpisah untuk pertahanan perimeter, seperti firewall, adalah bahwa perusahaan modern memiliki batasan yang ditetapkan secara longgar, dan host umumnya dapat bergerak masuk dan keluar. Contohnya adalah host yang berkomunikasi menggunakan teknologi nirkabel dan laptop karyawan yang dapat dicolokkan ke port jaringan.
Penyerang telah mengeksploitasi masalah ini dengan beberapa cara. Pendekatan serangan yang lebih tradisional adalah mengembangkan worm dan perangkat lunak jahat lainnya yang menyebar lebih cepat dan untuk mengembangkan serangan lain (seperti serangan DoS) yang menyerang dengan kekuatan luar biasa sebelum pertahanan dapat dipasang. Gaya serangan ini masih lazim. Tetapi baru-baru ini, penyerang telah menambahkan pendekatan yang sangat berbeda: Memperlambat penyebaran serangan sehingga akan lebih sulit untuk dideteksi oleh algoritma konvensional.
Cara untuk melawan serangan semacam itu adalah dengan mengembangkan sistem bekerja sama yang dapat mengenali serangan berdasarkan petunjuk yang lebih halus dan kemudian beradaptasi dengan cepat. Dalam pendekatan ini, detektor anomali pada simpul lokal mencari bukti aktivitas yang tidak biasa. Sebagai contoh, sebuah mesin yang biasanya membuat hanya beberapa koneksi jaringan mungkin curiga bahwa suatu serangan sedang berlangsung jika tiba-tiba diperintahkan untuk membuat koneksi pada tingkat yang lebih tinggi.
Dengan hanya bukti ini, sistem lokal berisiko positif palsu jika bereaksi terhadap serangan yang dicurigai (katakanlah dengan memutuskan sambungan dari jaringan dan mengeluarkan peringatan) tetapi berisiko negatif palsu jika mengabaikan serangan atau menunggu bukti lebih lanjut. Dalam sistem kooperatif adaptif, simpul lokal bukannya menggunakan protokol "gosip" peer-to-peer untuk menginformasikan mesin lain dari kecurigaannya, dalam bentuk probabilitas bahwa jaringan sedang diserang. Jika sebuah mesin menerima cukup banyak pesan-pesan ini sehingga ambang melebihi, mesin menganggap serangan sedang berlangsung dan merespons. Mesin dapat merespons secara lokal untuk mempertahankan diri dan juga mengirimkan peringatan ke sistem pusat.
2.7 Intrusion Detection Exchange Format
Untuk memfasilitasi pengembangan IDS terdistribusi yang dapat berfungsi di berbagai platform dan lingkungan, diperlukan standar untuk mendukung interoperabilitas. Standar semacam itu adalah fokus dari Kelompok Kerja Deteksi Penyusupan IETF. Tujuan dari kelompok kerja adalah untuk menentukan format data dan prosedur pertukaran untuk berbagi informasi yang menarik untuk deteksi intrusi dan sistem respons dan sistem manajemen yang mungkin perlu berinteraksi dengan mereka.
2.8 Honeypots
Komponen selanjutnya dari teknologi deteksi intrusi adalah honeypot. Honeypots adalah sistem umpan yang dirancang untuk memikat penyerang potensial menjauh dari sistem kritis.
Honeypots dirancang untuk:
• Mengalihkan penyerang dari mengakses sistem kritis.
• Kumpulkan informasi tentang aktivitas penyerang.
• Mendorong penyerang untuk tinggal di sistem cukup lama agar administrator merespons.
Sistem ini diisi dengan informasi palsu yang dirancang agar tampak berharga tetapi pengguna sistem yang sah tidak akan mengakses. Dengan demikian, setiap akses ke honeypot dicurigai. Sistem ini dilengkapi dengan monitor sensitif dan pencatat peristiwa yang mendeteksi akses ini dan mengumpulkan informasi tentang aktivitas penyerang. Karena setiap serangan terhadap honeypot dibuat agar terlihat berhasil, administrator punya waktu untuk memobilisasi dan mencatat dan melacak penyerang tanpa pernah mengekspos sistem produktif.
Honeypot adalah sumber daya yang tidak memiliki nilai produksi. Tidak ada alasan yang sah bagi siapa pun di luar jaringan untuk berinteraksi dengan honeypot. Dengan demikian, setiap upaya untuk berkomunikasi dengan sistem kemungkinan besar merupakan penyelidikan, pemindaian, atau serangan. Sebaliknya, jika honeypot memulai komunikasi keluar, sistem mungkin telah dikompromikan.
Honeypots biasanya diklasifikasikan sebagai interaksi rendah atau tinggi.
• Honeypot interaksi rendah: Terdiri dari paket perangkat lunak yang mengemulasi layanan atau sistem TI tertentu dengan cukup baik untuk memberikan interaksi awal yang realistis, tetapi tidak menjalankan versi lengkap dari layanan atau sistem tersebut.
• Honeypot interaksi tinggi: Adalah sistem nyata, dengan sistem operasi penuh, layanan dan aplikasi, yang diinstrumentasi dan digunakan di mana mereka dapat diakses oleh penyerang.
Honeypot interaksi tinggi adalah target yang lebih realistis yang mungkin menempati penyerang untuk waktu yang lama. Namun, ini membutuhkan sumber daya yang jauh lebih banyak, dan jika dikompromikan dapat digunakan untuk memulai serangan pada sistem lain. Ini dapat mengakibatkan masalah hukum atau reputasi yang tidak diinginkan bagi organisasi yang menjalankannya. Honeypot interaksi rendah memberikan target yang kurang realistis, mampu mengidentifikasi penyusup menggunakan tahap awal metodologi serangan. Ini sering cukup untuk digunakan sebagai komponen IDS yang didistribusikan untuk memperingatkan serangan yang akan terjadi. "Proyek Honeynet" menyediakan berbagai sumber daya dan paket untuk sistem tersebut.
Upaya awal melibatkan komputer honeypot tunggal dengan alamat IP yang dirancang untuk menarik peretas. Penelitian yang lebih baru telah berfokus pada membangun seluruh jaringan honeypot yang meniru perusahaan, mungkin dengan lalu lintas dan data aktual atau disimulasikan. Setelah peretas berada di dalam jaringan, administrator dapat mengamati perilaku mereka secara terperinci dan mencari tahu pertahanan.
BAB III PENUTUP
3.1 Kesimpulan
1. Intruder adalah pihak (orang maupun kelompok) yang berupaya menerobos masuk secara paksa kedalam suatu sistem, merusak data pada system maupun merusak system itu sendiri. Singkatnya, pihak tersebut mencoba untuk merusak keamanan dengan mengganggu Integritas dan Kerahasiaan data serta Ketersediaan system tersebut. Intruder ini lebih dikenal sebagai hacker atau cracker.
2. Security Intrusion: Suatu peristiwa keamanan, atau kombinasi dari beberapa peristiwa keamanan, yang merupakan insiden keamanan di mana penyusup memperoleh, atau mencoba untuk mendapatkan, akses ke suatu sistem (atau sumber daya sistem) tanpa memikiki izin.
3. Intrusion Detection: Suatu layanan keamanan yang memantau dan menganalisis peristiwa sistem dengan tujuan menemukan, dan memberikan peringatan realtime atau hampir realtime terhadap upaya untuk mengakses sumber daya sistem dengan cara yang tidak sah.
4. Teknik dan pola perilaku intruders terus berubah, untuk mengeksploitasi kelemahan yang baru ditemukan dan untuk menghindari deteksi serta penanggulangan. Namun umumnya intruders masih menggukanan langkah-langkah sebagai berikut :
• Target Acquisition and Information Gathering
• Initial Access
• Privilege Escalation:
• Information Gathering or System Exploit
• Maintaining Access
• Covering Tracks
3.2 Saran
Makalah ini sangat jauh dari kesempurnaan, maka dari itu penulis sangat mengharapkan kritik dan saran untuk makalah ini. Semoga makalah ini bisa menjadi salah satu acuan dalam pembuatan makalah selanjutnya.
0 Response to "Contoh Makalah Intrusion Detection"
Posting Komentar