IDS dan IPS digunakan untuk mendeteksi dan mencegah insiden keamanan jaringan. IDS hanya melakukan deteksi dan pelaporan insiden, sementara IPS dapat melakukan deteksi dan juga menghentikan insiden dengan cara memblokir akses. Metode deteksi yang digunakan antara lain berbasis signature dan berbasis anomalis untuk mendeteksi pola serangan yang dikenal maupun perilaku yang tidak normal. Contoh produk IPS komersial adalah Cisco FirePower, HP NGIPS,
4. Insiden
•Malware (Virus, Worm dll)
•Penyerang dari luar
•User yang melanggar hak aksesnya
•User yang berusaha meningkatkan hak
aksesnya - escalating priviledge
•Pelanggaran yang tidak disengaja
12. True False
Positive True- Positive
ada Serangan,
Ada alarm
False Positive
Ada Alarm,
Tidak ada
Serangan
Negative True Negative
Tidak ada alarm,
Tidak ada serangan
False Negative
Ada Serangan,
Tidak ada Alarm
14. Signature Based
•Signature : Pola serangan
•Telnet ke root
•Email subjek gambar, Attachment
Gambar.exe
•Tidak efektif
•Serangan baru
•Evasion
15.
16. Anomaly Based
•Membandingkan dengan kondisi normal
•Profile normal user, Host,jaringan &
aplikasi
•Bandwidth pada kondisi normal
•Jumlah Email yang dikirim seorang user
•Jumlah failed login
•Level pemakaian processor