SHARE

Pada kesempatan sebelumnya, kita sudah sedikit mengenal konsep Intrusion Detection System (IDS), jenisnya (NIDS dan HIDS), dan bagaimana IDS seharusnya diletakkan pada network kita. Pada kesempatan kali ini kita akan membahas teknik/pendekatan yang digunakan IDS untuk mendeteksi berbagai aktifitas mencurigakan pada network, yaitu deteksi berdasarkan signature (signature-based) dan berdasarkan anomali  aktifitas (anomaly-based).

sumber gambar: masergy.com

Signature-based (Knowledge-based) Detection

Suatu aktifitas (khususnya yang berupa serangan) memiliki karakterisitik tersendiri atau memiliki ciri jejak (footprint) tersendiri yang membedakan antara satu dengan yang lainnya. Footprint tersebut dapat kita istilahkan sebagai signature. Footprint tersebut lalu dikumpulkan menjadi sebuah ‘database’ signature. Berdasarkan footprint tersebutlah, kemudian digunakan untuk mendeteksi serangan yang sama di kemudian hari. Jadi IDS akan menganalisis setiap aktifitas (berupa packet, log, dll) pada network dan sistem kita, lalu apabila ada yang cocok ciri-cirinya dengan signature yang ter-record, maka akan dikategorikan merupakan aktifitas apa. Salah satu sumber signature database adalah Emerging Threats.

Kelebihan:

  • Simpel untuk diimplementasikan, karena kita tinggal menggunakan database signature yang tersedia
  • Cepat untuk mendeteksi serangan yang sama pada kemudian hari dan menghasilkan true positive yang lebih besar
  • Sedikit menghasilkan false positive

Kekurangan:

  • Lemah untuk mendeteksi serangan yang bersifat zero day attack, karena tidak dapat mendeteksi intrusi yang tidak ada di database signature. Sehingga perlu untuk selalu mengupdate database signature yang dimiliki.
  • Melakukan packet analysis dengan size yang besar dan banyak, memerlukan resource yang besar.

Anomaly-Based (Behavior-based) Detection

Suatu sistem tentu dibuat untuk memiliki behavior dan konfigurasi tertentu. Jika suatu sistem melakukan aktifitas yang bukan berdasarkan behavior dan konfigurasi yang telah ditentukan, itulah yang dinamakan sebuah anomaly. IDS akan melakukan baselining dan learning pada pattern dari aktifitas normal sistem untuk mendeteksi adanya intrusi. Misalnya pada server kita terdapat aktifitas download file binary yang sebenarnya tidak kita kehendaki atau pada server kita terdapat perubahan konfigurasi registry yang tidak dikehendaki. Pada IDS, penyimpangan dari baseline behavior tersebut akan menyebabkan munculnya alarm.

Kelebihan:

  • Karena melakukan baselining pada sistem, maka anomaly-based IDS lebih dapat mendeteksi intrusi jenis baru yang menyerang sistem dari pada signature-based

Kekurangan:

  • Membutuhkan waktu untuk melakukan baselining dan learning pattern suatu aktifitas
  • Relatif lebih sulit untuk diterapkan dan dikonfigurasi dari pada signature-based

Pada produk IDS seperti Snort dan Suricata, mereka menggabungkan keduanya, signature-based dan anomaly-based, untuk mendeteksi adanya intrusi. Karena memang keduanya memiliki kelebihan dan kekurangan yang saling melengkapi satu sama lain.

Referensi:

Top-free-NIDS-for-enterprise

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.