Intrusion Detection System (IDS)

adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).
Jenis-jenis IDS
Ada dua jenis IDS, yakni:
- Network-based
Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan
dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke
dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan
penting di mana server berada atau terdapat pada "pintu masuk"
jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan
dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di
dalam switch buatannya
untuk memonitor port atau koneksi.
- Host-based
Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi
sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS
seringnya diletakkan pada server-server kritis di jaringan, seperti
halnya firewall, web
server, atau server yang
terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat
tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan
kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap
jaringan. Akhir-akhir ini, beberapa vendor juga
mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk
melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya
menutup beberapa port atau memblokir
beberapa alamat IP. Produk seperti ini umumnya
disebut sebagai Intrusion Prevention System (IPS).
Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan
NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
Implementasi & Cara Kerja
Cara kerja IDS dan jenis serangan
yang mampu ditangkalnya
Ada beberapa cara bagaimana IDS
bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian
berbasis signature (seperti
halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan
lalu lintas jaringan dengan basis data yang berisi cara-cara
serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti
halnya antivirus, jenis ini membutuhkan pembaruan
terhadap basis data signatureIDS
yang bersangkutan.
Metode selanjutnya adalah dengan
mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang
mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang.
Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu
lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi.
Metode ini menawarkan kelebihan dibandingkansignature-based IDS, yakni ia dapat mendeteksi bentuk serangan
yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering
mengeluarkan pesan false positive. Sehingga
tugasadministrator menjadi
lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang
sebenarnya dari banyaknya laporan false
positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem
operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa
berkas sistem operasi, utamanya berkas log. Teknik ini seringnya
diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap
log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
