Title
Authors
Nicholas J. Puketza, Kui Zhang,
Mandy Chung, Biswanath Mukherjee, and Ronald A. Olsson.
Abstract
IDS (Intrusion Detection System)
adalahsebuahsistem yang melakukanpengawasanterhadaptrafficjaringandanpengawasanterhadapkegiatan-kegiatan
yang mencurigakandidalamsebuahsistemjaringan[1].Jenis-jenis
IDS adabermacam-macam, tetapiteknik IDS mana yang paling
tepatuntukditerapkandalamsuatusistemdiperlukansuatuteknikpengetesan
IDS.Makalahinimembahasmengenaimetodologipengetesan IDS.
Introduction
Ada
banyakalasanmengapasuatukomputerdalamjaringanmemerlukansuatulingkungan yang
aman.Akan tetapi,
kebanyakanlingkungankomputertersebutbelumamanterhadapbanyaknyaintrusi.Kompleksitasperangkatlunakmenjadisalahsatupenyebabnya.Penyebablainnyaadalahsemakinmeningkatnyakebutuhankonektifitasjaringan,
yang memungkinkanadanyapenetrasieksternaldaripihak yang tidakdiinginkan.
Ada duapendekatan yang digunakanoleh
IDS untukmendeteksitindakan intrusive, yaitudeteksi anomaly
dandeteksiterhadappenyalahgunaan.
Pendekatandeteksi anomaly
bekerjadenganmengawasi traffic dalamjaringandanmelakukanperbandingan traffic
yang terjadidengan rata-rata traffic yang
stabil.Sistemakanmelakukanidentifikasiapa yang dimaksuddenganjaringan “normal” [2]dalamjaringantersebut,
berapabanyak bandwidth yang biasanyadigunakan di jaringantersebut, protocol apa
yang digunakan, port-port danalat-alatapasaja yang
biasanyasalingberhubungansatusama lain didalamjaringantersebut, dan member
peringatankepada administrator ketikadideteksiada yang tidak “normal”,
atausecarasignifikanberbedadarikebiasaan yang ada.
Sedangkanpendekatandeteksiterhadappenyalahgunaanbekerjadenganmengawasiadanyaindikasiterhadapteknik
yang bersifatmenyalahgunakanterhadapjaringankomputer[3].
Methods and Materials
Karenabanyaknyajenis-jenisintrusi
yang adadalamjaringan,
makalahinimemberikansuatumetodologipengetesanberdasarkansimulasiterhadapkomputer
yang didalamnyasedangterjadisuatuintrusi.
Dalampenelitianinidigunakanpaket
UNIX [4]untuk
men-simulasipengguna. Paket UNIX tersebutmenerapkanTcl (Tool command
language) [5].
- Broad Detection Range :untuksetiapintrusi yang muncul, IDS harusmampumembedakanantarakeadaan normal dengankeadaan yang telahterjangkitiolehintrusi.
Dilakukandengancara
:
- Menciptakansuatuskripintrusi
- Sebanyakmungkinmengeliminasiaktivitaskomputasi yang tidakberhubungandenganlingkunganpengetesan
- Memulai IDS
- Menjalankanskripintrusi.
- Menciptakansuatuskripintrusi
- Sebanyakmungkinmengeliminasiaktivitaskomputasi yang tidakberhubungandenganlingkunganpengetesan
- Memulai IDS
- Menjalankanskripintrusi.
- Economy in Resource Usage : IDS harusmampuberfungsitanpamenghabiskanbanyaksumberdaya, sepertikebutuhanmemory, waktukomputasidanruang disk.
Dilakukandengancara
:
- Mengeliminasiaktivitas yang tidakberhubungandenganlingkunganpengetesan
- Memulai IDS
- Menjalankanskrippengujianuntukmengukurperiodewaktu
- Menghitung total ruang disk yang digunakanoleh IDS untukmenyimpansession yang terkaitdenganskrip.
- Mengeliminasiaktivitas yang tidakberhubungandenganlingkunganpengetesan
- Memulai IDS
- Menjalankanskrippengujianuntukmengukurperiodewaktu
- Menghitung total ruang disk yang digunakanoleh IDS untukmenyimpansession yang terkaitdenganskrip.
- Resilience to Stress : IDS harusmampubekerja, bahkandalamkondisisistem yang sangatpenuhdengantekanan.
Diantaranya
:
- Smokescreen Noise
Adalahaktivitaskomputer yang bukanbagiandarisuatuintrusisecaralangsung. Penyusupmenyamarkansuatuintrusi kedalamcommand program yang normal.
- Background Noise
Adalahnoise yang disebabkanolehaktivitaspenggunanyasendiri. Misalnya, suatuintrusimungkinterjadisaat jam kerja, dimanabanyakpengguna yang mengakseskedalamsistemkomputer.
- High-Volume Sessions
Jika monitor IDS mengamatisetiapcommanddarisesipengguna yang munculatauterkaitdalamjumlahataudalamvolumebesar.
- Intensity
Adalahpengecekanapakah IDS dipengaruhiolehsession, dimanasessiontersebutdibangkitkanolehbanyakaktivitas yang dilaksanakansecarabersamaan.
- Load
Adalahpengecekanterhadapefekdariloadataubeban yang dialamiolehhost CPU yang digunakansebagai monitor IDS.
- Smokescreen Noise
Adalahaktivitaskomputer yang bukanbagiandarisuatuintrusisecaralangsung. Penyusupmenyamarkansuatuintrusi kedalamcommand program yang normal.
- Background Noise
Adalahnoise yang disebabkanolehaktivitaspenggunanyasendiri. Misalnya, suatuintrusimungkinterjadisaat jam kerja, dimanabanyakpengguna yang mengakseskedalamsistemkomputer.
- High-Volume Sessions
Jika monitor IDS mengamatisetiapcommanddarisesipengguna yang munculatauterkaitdalamjumlahataudalamvolumebesar.
- Intensity
Adalahpengecekanapakah IDS dipengaruhiolehsession, dimanasessiontersebutdibangkitkanolehbanyakaktivitas yang dilaksanakansecarabersamaan.
- Load
Adalahpengecekanterhadapefekdariloadataubeban yang dialamiolehhost CPU yang digunakansebagai monitor IDS.
Results
Dari
hasilevaluasidiketahuibahwametodologipengujian yang diterapkan,
bisamenghasilkaninformasi-informasipentingberkaitandengan IDS dankemampuan yang
menyertainya.Selainitu, bisajugadiketahuikelemahan IDS
dankelemahandarikonfigurasi IDS itusendiri.
References