.

.),

fJ

PENGARUH KEP ADA T AN LALUI.lIN'T AS DA '-fA~c TERHADAP KETELITIAN PENDETEKSfAN IDS-MISUSEc

f .Agung Sediyonol>, Rahmat Fadila2)

Teknik .Infonnatika Fakultas Teknologi .Indu~tri

Universitas TrisaktiEmail: agung@trisakti.ac.id

Abstract: IDS is an application, hardware or software based, used to detect computer attacks and give aresponse if the attacking is occurred. The detection capability of the IDS depends on the capability in capturingand processing dat,a packet that is through the IDS. This paper tries to explore the influent of the density ofpacket traffic on the detection precision of the IDS especially for misuse method. Moreover, the resource usageof IDS such as CPO and memory usage is also discussed. Based on the isolated experiment in the laboratory, itcan be concluded that increasing the density of packet traffic will decrease the detection capability of the IDS.Meanwhile, the CPO usage increases proportionally in in'~reasing of the density of packet traffic. There is asignificant increasing of the memory usage related to the peak of CPO usage.

Keyword: IDS, misuse, deteksi penyusup

Tingkat anctman keamanan jaringan komputer terhadap suatu komputer apakah akan diblok atauterns meningkat. Oleh karena itu sistem keamanan diijinkan.juga harus terns ditingkatkan baik dari segi tingkat Banyak metode yang telah dikembangkan tetapiketelitian pendeteksian sampai dengan kecepatan semunya dapat dikategorikan menjadi dua yaitupemrosesannya. f"aktor keamanan ini sangat penting metode misuse dan anomali. Metode misusebahkan menjadi misi kritis perusahaan dalam mengandalkan pada patem serangan yang terlebihmenjaga kepercayaan konsumen. Penyusup sebelum dahulu ditentukan sedangkan anomali mengandalkanmelakukan penetrasi pada server terlebih dahulu ia pada pola kebiasaan lalulintas data untukakan melakukan pemantauan terhadap server menentukan apakah laluilitas data yang ada keluartersebut atau dalam dunia hacker disebut dengan dari pola dasar yang pernah teljadi. Kalau dilihatfootprinting. Footprinting adalah sebuah usaha yang dari cara pendeteksian metode mi.mse akanbertujuan untuk mengumpulkan informasi-informasi mempunyai ketelitian yang lebih selama databasetertentu pada sebuah komputer agar diketahui celah- pattern lengkap. Akan tetapi, bagaimana ketelitiancelah apa saja yang terbuka yang merupakan deteksi jika ada stress atau beban berat padakelemahan pada komputer tersebut. Usaha yang komputer yang digunakan untuk illS. Penelitian inidilakukan bisa bermacam-macam, dimulai dengan berusaha menjawab pertanyaan tersebut khususnyamelakukan port .\'cafmin.g, ip ,"J7oofing, enumeration, pendeteksian dengan metode misuse.sniffer, vulnerability scan71ing, dll.

Untuk memberikan pengamanan secara TINJAUAN PUSTAKA

proaktif peneliti mengembangkan Intrusion Intrusion Detection SystemDetection .sy.\'tem (IDS). IDS adalah sebuah progmm Intrusion Detection System (illS) adalah suatuyang dapat memantau aktifitas-aktifitas sistem yang memonitor, mengidentifikasi clanmencurigakan tersebut. Program ini di-install pad a merespons terhadap aktifitas yang dapatgateway dimana lalulintas data keluar clan masuk ke digolongkan sebagai aktifitas penyeranganperusahaan. Dan secara otomatis dapat memberikan (IntnJsioll) yang ditujukan kepada komputer ataualarm atau peringatan dini jika terdapat penyusup jaringan (Bace & Mell, 2000). Rangkaian aktifitasyang berusaha mengumpulkan informasi dari penyerangan tersebut dapat dimulai dari melakukankomputer yang bersangkutan dengan cara-cara yang scanning port jaringan ur tuk mencari port-porttelah disebutkan di atas. illS juga dapat potensial yang terbuka, packet sniffer yang dapatdikonfigurasi untuk menentukan langkah selanjutnya digunakan untuk memperoleh infonnasi berhargajika menemukan usaha-usaha yang mencurigakan seperti username dan password dengan melakukan

listening terhadap lalu lintas data di jwingan,

~f'~"

serangan Denial of Service (DoS) yang bekerja penyalahgunaan mampu mengenal dan mencoba Idengan cara menghabiskan sumber daya pada suatu mengenal serangan tersebut. .komputer sehingga komputer itu akhirnya menjadi Pada deteksi penyalahgunaan dllakukanlumpuh, Back Door, dll .pengenalan melalui signature yang menampung

IDS menggunakan kebijakan (policy) untuk berbagai kemungkinan variasi dari berbagai modelmendefinisikan kejadian-kejadian tertentu, jika serangan terkait, dan juga menandai aktifitas yangterdeteksi IDS akan mengeluarkan sebuah non-intrusif. Deteksi misuse menggunakan sebuahperingatan. Dengan kata lain, jika sebuah kejadian database yang menampung berbagai pola serangantertentu dipertimbangkan sebagai ancaman terhadap yang telah dikenal.

Ikeamanan, sebuah peringatan akan dikeluarkan. ~Beberapa perangkat Intrusion Detection System [ ' ~-'-'._-'--'_.' } March? G "\ (IDS) memiliki kemampuan untuk mengirim Audil D-oIt;l ~ KllOwlcd¥c Base Attack.

peringatan ke luar, sehingga administrator IDS akan _._~ menerima pemberitahuan kemungkinan terjadinya

ancaman terhadap keamanan dalam bentuk sebuah Gambar 2. Proses Deteksi Misuse (Krueger et aI., 2005)sms, email, dan atau fax. Terdapat dua situasi yangdapat muncul berkaitan dcngan alarm yang Tahapan pertama berdasarkan gambar proses deteksidikeluarkan IDS, diantaratlya: (i) False positive: misuse di atas ialah mcllgumpulkan data hasil auditSebuah kondisi dim ana IDS mendeteksi dan daD selanjutnya data tersebut akan dibandingkanmengk.1asifika:!ikan keganjilan ke dalam sebuah dengan d,!tabase yang disimpan dalam knowledgeserangan dan mengeluarkan peringatan padahal itu base. Kno wledge base berisi jenis data-data yangbukanlah masuk ke dalam kategoli sebuah serangan; bertipe ancaman atau serangan yang sltdah dikenali(ii) False negative: Sebuah kondisi dimana IDS tidak oleh Intrusion Detection System (IDS). Setelahmendeteksi adanya sebuah situasi ganjil yang dilakukan perbandingan, selanjutnya akanmuncul sept~lii yang sudah didefinisikan sebelumnya ditentukarj apakah ada data hasil audit selama ini Ioleh adminis1rator. yang bertipe ancaman atau serangan. Teknik yang

Menurut cara beroperasillYa, IDS dapat umum clan banyak digunakan pada metode deteksidikategorikan menjadi dua jenis: Host-Based IDS misuse adalah Rule-Based.(ffiDS) dan Net'tyork-Based IDS (NIDS). Dimana Metode ini menggunakan sebuah database yangRIDS diinstall pacta sebuah komputer, sen'er atau terdiri dari sekumpulan rule yang berisi perilakuclient, yang mengamati sebatas komputer yang ganjil dari sebuah sistem. Identifikasi keganjilanbersangk"Utan. Sedangkan Nl:DS terdiri atas pada metode ini tergantung kepada gejala-gejalasekumpulan aplikasi ageD yang secara strategis tertentu yang merupakan perwujudan dari keganjilan ldiletakkan dalam jaringan untuk mengamati lalu tersebut. Contoh dari gejala-gejala ini diantaranyalintas jaringan. Dalam mendeteksi intrusi (serangan), ialah terjadinya lonjakan penggunaan bandwith,IDS menggunakan dua jenis met ode pendeteksian, jumlah koneksi Transmission Control Protocolyaitu : Metode Deteksi Misuse (.~ignalllre-Based (TCP) yang terbuka, dan server yang gagal dalamDetection) dan Metode Deteksi r\nomali (Profile- menjalankan servisnya.Based Detection), Metode Misuse menggunakan Dalam pengoperasiannya, metode ini sangatdatabase patern serangan sebagai dasar untuk tergantung kepada keahlian yang dimiliki olehmemutuskan apakah laluliutas data merupakan seorang administrator dalam menulis sebuah rule.serangan atau bukan. Sedangka.JI metode anomali Agar dapat mendeteksi aktifitas-aktifitasmeggunakan pattern kebiasaan lalulintas data untuk penyerangan yang menggunakan teknik terbaru,menentukan apakah suatu lalulintas data maka administrator harus melakukan updatemenyimpang dari kebiasaan. Dengan kata lain, terhadap rule yang telah ia tulis. Hal inimetode anomali dapat melakukan pembelajaran dimaksudkan agar Intrusion Detection System (IDS)sendiri sehingga dapat dikatakan metode anomali dapat mendeteksi ak1ifitas penyerangan yangadalah sistem unsupervi.5e.' menggunakan teknik terbaru tersebut.

Format penulisan rule terbagi ke dalam duaMetode Deteksi Misuse bagian, yaitu : rule header clan rule options. Rule

Konsep yang terdapat di balik teknik deteksi header terdiri dari action, protocol, source clanpenyalahgunaan (misuse) ini adalah adanya cara destination Internet Protocol (IP) clan netmask, clanuntuk memodelkan serangan dalam bentuk pola atau source clan destination ports. Sedangkan rule optionssignature, jadi apabila terdapat variasi bentuk .terdiri dari alert messages daD bagian-bagian dariserangan tetapi dengan pola yang sarna, serangan paket dalam memeriksa intrusion. Sintaks penulisanmasih dapat dikenali. Perbedaan dengan deteksi rule: <action> <protocol> <src IP/mask> <port> 0anomali adalah pada deteksi anomali hanya mampu <dest IP/mask> <port> (msg:<alert message>;mendeteksi serangan, sedangkan pada teknik deteksi content:"search packet for";...dan lain-lain).

136

..

Berikut ini adallh contoh penulisan rule untuk time, clan tempat penyimpanan. Sebuah IDSmendeteksi scanning yang menggunakan tools harus mempunyai kt-iteria pertama kalau tidakNetwork Mapping (NMAP) yang berasal dari luar akan banyak sernngan yang tidak terdeteksi.terhadap jaringan lokal. Sintaksnya adalah : alert tcp Kriteria kedua juga dibutuhkan karena jika sebuah$EXTERNAL_NET any -> $HOME_NET any. IDS memakai t{~rlalu banyak sumber daya,(flags: A; ack: .0; tag: host, 500, packets, src; msg: kemudian penggunaan IDS mungkin tidak bisa di

"~AP T.CP ping"). ...beberapa tempat clan tidak bisa di tempat yangrekruk nile-based memiltki beberapa lain. Terakhir, kriteria ketiga dibutuhkan karena

keunggulan daD kelemahan. (Lukatsky, 2003): dua alasan yaitu kondisi yang ~ri mungkin

I~eun~an: (t) Implemen~st cukup s.ederhana, selalu terjadi dibebetl1pa lingkungan computer(it) ]~ebth ...ccp~t dalam m~nde~ckst ada?ya clan seorang penyerang mungkin mencoba unttlkserangan; (111) Ttdak adanya. sttuas~ .(aLre pos~ttV~. menghalangi IDS dengan membuat kondisi yang~~dangkan kelemahan dart. st~tem 101 adalah. (t) tinggi dalam lingku1"lgan komputer sebelumr1dak mampu ~endetek$t t1pe s~.rangan. yah~ melakukan aktifitas $(~r:111ganbelwn tcrdapat d1 database IDS; (11) ModtfikaS1kecil pada rule dapat ~em?~at ~pe serangan yang METODOLOGI P"~NEL:rTIANsa1na tidak t.crdetekst; (111) Sts~em terga?~~1~ Metodologi penelitian yang akan diterapkankepada keahhan daD kua.hfikast yang dtffi1hk1 pada penelitian ini adalah experiml~ntal-basedadministrator dalam menctptakan rule-rule dan (Bjorkman, 200]) dengan urutan kegiatan (i)menyimpannya ke database IDS, penetapan kriteria evaluasi secara theoritical-

deductn'e, (ii) penetapan design percobaa.n, (iii) caraBentuk Misu,\'e di Jaringan pengukuran, clan (iv;\ analisis clan pl'ngambilanBuffer overflow adalah salah satu contoh kesimpulan.

bentuk misuse di jaringan. Tipe serangan inimengakibatkan buffer pada mesin yang diserang Kritelia Evaluasimenjadi penuh karena diisi oleh paket-p Iket yan~ Kriteria evaluasi digunakan sebagai titik acuantidak renting dengan ukuran yang cukup uesar. In! analisis. IDS dapat diukur kinerjanya da.ri besaran (i)

dapat mengakibatk~n ,mesin yang te:kena, serangarl kemampuan pendeteksian yaitu prosentase jumlahini kinerjanya men~adl lambat. ,Modlfi~ast terhada~ serangan terdeteksi dibagi dengan jumlah seranganfile-file password Juga dapat dlkategonkan s~baga] yang terjadi; (ii) pemakaian sumber daya yaitumisuse. Modifikasi ini diloolkan oleh pemakal yailg pemakaian CPU dan Memory komputer tempat illStidak memiliki wewenang atas file tersebut. berada. Variabel pengganggu adalah kepadatan

Beberapa jenis, vi~s clan worms da~at lalulintas data yang melewati illS tersebut danmembuat jaringan menjadl lambat atau b~~~n blsa sering disebut dengan pengetesan beban illSmenjadi lumpuh. Virus clan w,orms memul,kl pol a- (puketja, 1996). Serta jenis serangan yang diberikanpola khusus di tubuhnya. Begltu banyak VIruS dan ke illS tersebut.worn}s barn yang tersebar di jaringan menyebabkandatabase Intrusion Detectio~ S,ystem (illS) yan~ Desain Percobaanmenggunakan, ~etode detekst ~tsuse ha":1s terus dl Adapun arsitektur percobaan adalah seperti padaupdate. Hal Int tak lepas darl cara kefJa metode Gambar 3. Pada penyerang di install programdeteksi ~1isuse ~ang melakuk,an pencocokan pola penyerang Nessus v3.0.6.1 clan pembangkit trafik

yang dlkategonkan sebagal seran?an dalam Traffix vO.l.3. Pada komputer Korban diinstalldatabase~ya dengan pola-pola mencungakan yang Window Task Manager untuk memonitorterdeteksl oleh illS. penggunaan CPU clan memori. Selain itu juga

lndikator Perfonna Sebuah illS

(~9-~~~-~.Rl Langkah p~rtam~ dal~m t~sting metode Kabel U'IP ~IDS adalah mengldenttfikast obJek performauntttk IDS tersebut. Dibawah ini adalah objek-

P Korban..enyerangobjek performa tersebut : (puketja, 1996) (t) (Nessus, TratrK: C~ent) (Eagle X. Traffic SeNer, Windows Task Manager), k .EthO: Eth1:Kemampuan Detekst : tlOtu settap serangan 192.168.1.3 192.168.1.4

dalam sebuah range yang diketahui sebagaiserangan, IDS harus dapat membedakan serangan Gambar 3, Arsitektur Jaringan Komputer percobaanterse but dati p~rilaku normal; (ii) Penggunaan dipasang Traffic Server clan illS yang digunakanSumber Daya yang Efisien : IDS hams dapat adalah SNORT dengan metode miSltse. Dalam

berfungsi tanpa menggunakan terlalu banyak percobaan dilakukan dua tahap yaitu (i) tah~psystem sumber clara seperti memori utama, CPU pengenalan fingerprint dari setiap serangan. Jems~

serangan yang akan dicoba dalam percobaan iniada.lah 5 tipe serangan yang paling populer yang 120% --'-."-..""" ".-"""."""' '-""'-".' diambil dari site Semantec. Untuk mengenali

fingerprint dari setiap sC.'rallgan yang akanditerapkan pada tahap kcdUIi. !;c:1 iar tire serangandiuji coba secara individu dan hasil deteksi IDSdirekam.Hasil deteksi ini akan digunakan sebagai acuandalam verifikasi hasil deteksi pada tahap kedua.Percobaall pada tahap ini dilaktlkan tanpa adanya 0%

gangguan lalulintas data maupull proses lainnya. ;(ii) percobaan dengan serangan screntak clan variasibeban lalulintas data yang betvariasi. Percobaandil~kan dengan variasi beban traffik sebagai Gambar 4. Tingkat kemampuan deteksi terhadap perubahanbenkut: 0, 2000, 4000, 6000, 8000, 10000. kepadawllalulintas data

generator) clan pemakaian memori mendekati 4,25Cara Pengukuran Kbyte. Dari basil ini dapat disimpulkan bahwa

, Pengukuran dilakukan disisi Korban dengan semakin tinggi kepadatan lalulintas data semakinmengukur berapa jumlah serangan dan berapa banyak paket yang harus (liperiksa sehinggaserangan yang terdeteksi. Selain itu dilakukan ketelitian pendteksian menurun. Oleh karena itu,monitoring pemakain :::;PU daD Memori dengan dalam perancangan kapasitas komputer dalam

menggunakan Task Manager. implementasinya perlu diperhatikan kemampuanatau kapasitas komputer yang digunakan untuk illS

BASIL DAN PEMBAHASAN sehingga kemampuan pendeteksian dapatTingkat Kemampuan Deteksi dipertahankan sesuai dengan keinginan.

Karakieritik kemampuan deteksi illS misuseTingkat Pemakaian CPU daD Memori

-, ~ Tingkat pemakaian CPU clan memori t1 diperlihatkan pada gambar 5. dan gambar 6. Dari \j gambar 5 dapat disimpulkan bahwa pemakian CPU ;

oleh SNORT tidak dapat dialokasikan lebih lanjut tpada lalulintas data diatas 60000 paket per detik ,1.

44.00043.600

I 43.000

~ 42.600

j 42.000

f 41.600 I41.000 I

40.600 IV,,-,'T~fI" " .0 ,S>v '" d'" t

Ga b 5 K akt ... k .Ii>' tb". Imar. ar enstl pemakalan CPU untuk ..berbagai kepadatan lalulintas data V.,..IT..tk t

pada berbagai kepadatan' lalulintas data disajikan Gambar 6. Karakteristik pemakaian memori 'mtuk berbagai fpada gambar 4. Kempuan deteksi illS menurun kepadatan lalulintas data t

secara linier terhadap kenaikan kepadatan lalulintas idata. Kemampuan deteksi terendah 40 % (artinya karena CPU juga dipakai oleh service lainnya salah fkalau ada serangan sebanyak 10 kali maka akan satunya yaitu server penerima paket. Dengan kata fterdeteksi sebaterjadi padnyak 4 serangan) terjadi lain, .meskipun dalam gambar disajikan 50 % rpada kepadatan lalulintas data sebesar 60.000 paket makslmum pada kenyataannya total pemakaian CPOper detik. Kondisi ini bersesuai dengan pemakaian jada kondisi tersebut adalah 100 %.CPU oleh SNORT mendekti 50 % kapasitas Pada gambar 6 dapat disimpulkan bahwaterpasang dan ini bersesuaian dengan pemakaian pemakaian memori sebanding dengan penambahantotal CPU mendekati 100% (CPU digunakan juga kepadatan lalulintas data, daD ada lonjakanuntuk melayani service lainnya seperti Server paket pemakaian memori pada kepadatan lalulintas data

60000 paket per detik. Kondisi ini bertepatan dengan

138

, '

.~,

pemakaian CPO mendekati 100%. Dari karakteristik DAFT AR POST AKA0 sampai dengan 60.000 paket per detik, Bace, Rebecca and Peter Mell. 2000. Special Publicationspeningkatan pemakaian CPO ada!ah !inier. on Intrn.\10n Detection System, California: NationalSedangkan pada 80.000 teljadi lonjakan dan Institute of Standards and Technology, USA.nlendatar pada 80.000 paket perdetik. Kondisi ini ..Bjorkman, M. & Hogskola, ~. 2001. Measureme.nt.b~edbersesuai dengan pemakaian CPO 100 %. Dengan research methods In computer engmeermg.

0 I k 0 C b b h k I k k' Retrieved September 4, 2004 fromkata lam po a erJa PO ern a untu me a u an h .11 .

d dh e/ kur I t3340/h 051 - 0 d I . d ol o P b h tip. WWW.I t.m.s ser c t measp~nJa wa an service yang I ~yarunya. ern a ~ res-20M.pdf. -'

ml akan ~embutu~ka? me~orl antrlan yang leb!~ Helman and Liepins. 1993. Statistical Foundations ofbesar sehmgga terJadl lonJakan tersebut. Kondlsl Audit Trail Analysis for the Detection of Computerpuncak ini akan memperlambat waktu tanggap illS MI.iuse, IEEE Transactions on Softwareterhadap serangan yang terjadi. Dengan kondisi ini Engineering, USA, 1993.dapat diambil kesimpulan bahwa perlu diperhatikan Krueger, Christopher, et al. 2005. Intnlsion Detectionkapasitas memori terpasang sehingga waktu tanggap and Correlation, Boston: Krueger et aI., USA,dapat ditingkatkan. 2005.

Lukatsky, Alex. 2003. Protect Your Information WithS ULAN DAN SARAN Int~slo.n Detection, Philadelphia: A-ListKE IMP 0 0 .0 PublIshing, USA.

Darl hasll pengukuran dan anal ISIS dapat Puketja, Nicholas J, et al. 1996. A Methodology Fordisimpulkan bahwa perubahan kepadatan lalulitas Testing Intnlsion Detection System, St. Davis,data berpengaruh secara signifikan pad a kemampuan University of California, USA.deteksi illS SNORT dengan metode m;su,\'e.Semakin padat lalulitas data 3emakin banyak paketyang harus diperiksa dan semakin turun kemampuandeteksi sampai kondisi terendah sebesar 40%.Peningkatan kepadatann Ialulintas data lebih lanjuttidak menurunkan ketelitian pendeteksiano Perludilakukan penelitian lebih lanjut apakah kondisi ini '

disebabkan melambatnya pemrosesan paket karenaadanya penjadwalan proses dan menumpuknya Paketpada memori atau karena memang ini adalah batasbawah dari kemampuan deteksi illS. Pada bebanpuncak terjadi lonjal~an pemakaian memori karenaproses penjadwalan antrian alokasi CPO, sehinggaperlu dilakukan penelitian lebih lanjut pada kondisikomputer tidak melakukan pelayanan service lain

yang signifikan.

,..

.

" ~..;

,'ic