Ringkasan dokumen tersebut adalah sebagai berikut:
1. Dokumen tersebut membahas tentang sistem deteksi serangan HTTP menggunakan preprocessor HTTP Inspect dan rule options pada Snort.
2. Tujuan penelitian adalah membangun sistem untuk mendeteksi serangan cross site scripting dan SQL injection pada lalu lintas HTTP secara real-time.
3. Hasil pengujian menunjukkan tingkat deteksi yang cukup tinggi namun masih terdapat false positive yang cukup b
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
1. 11 Maret 2016Presented by : M. Ridwan Zalbina | 09111001003
Supervisor : Deris Stiawan. Ph.D
Jurusan Sistem Komputer FASILKOM UNSRI
2. Sistem Deteksi HTTP menggunakan HTTP
Inspect Preprocessor dan Rule Options
Latar Belakang Rumusan Masalah Tujuan
Jurusan Sistem Komputer FASILKOM UNSRI
2
3. Latar Belakang | Background
Jurusan Sistem Komputer FASILKOM UNSRI
Makalah Penelitian
Publisher/ Database Journal :
Springer, Sciencedirect,
ieeexplore, Doaj, SANS
Data Statistik : OWASP, WHID, & CWE
3
4. Jurusan Sistem Komputer FASILKOM UNSRI
Background
Web Application Attack/
HTTP Attack NIDS
HTTP Inspect Preprocessor
dan Rule Options
Realtime Traffic
4
5. Rumusan Masalah | Research Problem
➔Dikarenakan NIDS pada dasarnya bekerja pada layer 3 dan 4 [1] dengan keterlibatan protokol (IP, ICMP, TCP da
➔Bagaimana membangun Sistem Deteksi HTTP dengan memanfaatkan NIDS seperti Snort untuk mendeteksi sera
Jurusan Sistem Komputer FASILKOM UNSRI
[1] Shaimaa Ezzat Salama Mohamed I. Marie, Laila M El-Fangary Yehia K Helmy “Web Anomaly Misuse Intrusion Detection Framework for SQL
5
6. Tujuan | Aim or Objectives
➔Membangun suatu sistem untuk mendeteksi suatu serangan yang berjalan pada protokol HTTP dengan
menggunakan HTTP Inspect Preprocessor dan Rule Options
➔Melakukan perhitungan dengan Confusion Matrix
➔Membandingkan hasil pengujian dengan NIDS Default dan hasil penelitian(tugas akhir)
Jurusan Sistem Komputer FASILKOM UNSRI
6
7. Diagram
Konsep
Penelitian
Jurusan Sistem Komputer FASILKOM UNSRI
Sistem Deteksi HTTP
HIDSNIDS
Knowledge/
Misuse
Anomaly
Hybrid
HTTP Inspect
Preprocessor
Snort
XSS SQLi Attack
DVWA Framework
Persistant
Web Pentration Test
Defense Offense
Centralized Distributed
Realtime/
Passive
Incorrectly
Filter
Escape
Character/
First Order
SQLi
Non-Persistant
Rule Options
7
8. mulai
Perancangan Topologi
Instalasi dan Konfigurasi
Sistem
Menerapkan Rules pada Http Inspect Preprocessor
Dan Rule Options
Pengujian Penetrasi
Cross Site Scripting dan SQLi
Pola
Serangan
Terdeteksi
Ekstraksi dan pengelompokkan data
Selesai
Ya
Tidak
Tugas Akhir 1
Tugas Akhir 2
Kesimpulan
Analisis
Kerangka Kerja
Penelitian
Jurusan Sistem Komputer FASILKOM UNSRI
8
10. Diagram
Pencocokan Rules
Jurusan Sistem Komputer FASILKOM UNSRI
Mulai
Snort Stack
HTTP
Request
Packet Decoder
Preprocessor
Detection Engine
Rules
(besmara.rules)
Request
Cocok ?
Alerting &
Logging
Selesai
Ya
Tidak
Log &
Alert
Files
Lanjutkan
Request
Ya
Tidak
10
11. HTTP Inspect Preprocessor and Rule Options
●Menyediakan fungsi preprocessing paket data sesuai jenis protokol terkhusus protokol HTTP
●Melakukan normalisasi pada paket data
●Rule Options mendefiniskan rules berdasarkan kategori General, Payload, Non-payload dan Post-dete
Metode
Penelitian
11
15. Ekstraksi dan Korelasi
Data Hasil Pengujian
Jurusan Sistem Komputer FASILKOM UNSRI
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"[HTTP_ATTACK] Terdeteksi XSS img tag PCRE"; flow:to_server; pcre:"/((%3C)|<)((
2
1
3
4
5
6
15
25. Kesimpulan
5.1 KESIMPULAN
Berdasarkan proses penelitian yan dilakukan dan hasil yang telah di peroleh, maka dapat disimpulkan bahwa :
1. Dari metode yang digunakan, sistem telah mampu untuk mendeteksi pola serangan HTTP (Web Application Attack) seperti
Non-Persistent dan Persistent XSS, kemudian SQL Injection First Order pada kasus realtime traffic.
2. Evaluasi data pengujian dengan confusion matrix menunjukkan detection rate dari hasil pengujian terbilang cukup dengan
TPR mencapai 97% dan PPV 93% keatas untuk tiap pengujian, walau masih terdapat banyak false positive yang mencapai 11
hingga 22 alert, hal ini juga di pengaruhi dengan intensitas false negative yang cukup tinggi terjadi. Dari itu diperoleh nilai
FPR dan TNR dengan persentase yang tinggi dan dinilai kurang karena melebihi 40% sampai 60% keatas untuk tiap pengujian.
3. Data perbandingan antara Hasil Penelitian dengan default Snort menunjukkan bahwa Hasil Penelitian 100% mendeteksi
adanya serangan web application attack, sedangkan 0% untuk default Snort dalam mendeteksi web application attack.
4. Dalam penelitian ini berhasil dikenali pola-pola SQLi dan XSS, sehingga pola tersebut dapat ditransformasi kedalam rules
25
26. Saran
5.2 Saran
Adapun saran untuk penelitian lanjutan, yakni :
1. Pada penelitian lanjutan, dapat lebih menekankan pembuatan rules yang dapat menekan jumlah false positive, dan juga dapat
mengcover segala bentuk attack vector yang digunakan untuk menyerang sistem sehingga tidak terdapat false negative yang terjadi.
2. Beberapa jenis serangan web application lainnya, seperti Cross Site Request Forgery, Path Traversal, Code Injection, Local
dan Remote File Inclusion, dan Brute Force Attack, kemudian dapat memanfaatkan vulnarable web framework lain sebagai
perbandingan seperti web berbasis ASP atau CGI (Perl, Ruby, Python).
3. Untuk topologi penelitian, dapat dibuat lebih kompleks seperti melibatkan infrastruktur cloud dan jika tersedianya slot ip
public yang dapat dipakai sebagai hosting nantinya.
26