Dokumen ini membahas tentang sistem deteksi intrusi (IDS) yang dapat mendeteksi aktivitas mencurigakan dalam sistem atau jaringan. IDS terdiri dari dua jenis, yaitu NIDS yang dipasang di titik strategis dalam jaringan untuk mengawasi lalu lintas, dan HIDS yang berjalan pada host tunggal untuk mengawasi lalu lintas masuk dan keluar. Dokumen ini juga menjelaskan komponen utama IDS seperti sensor, agen
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
This ppt explain you various type of possible attack, security property, Traffic Analysis, Security mechanism Intrusion detection system, vulnerability, Attack framework etc.
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
This ppt explain you various type of possible attack, security property, Traffic Analysis, Security mechanism Intrusion detection system, vulnerability, Attack framework etc.
What is IDS?
Software or hardware device
Monitors network or hosts for:
Malware (viruses, trojans, worms)
Network attacks via vulnerable ports
Host based attacks, e.g. privilege escalation
What is in an IDS?
An IDS normally consists of:
Various sensors based within the network or on hosts
These are responsible for generating the security events
A central engine
This correlates the events and uses heuristic techniques and rules to create alerts
A console
To enable an administrator to monitor the alerts and configure/tune the sensors
Different types of IDS
Network IDS (NIDS)
Examines all network traffic that passes the NIC that the sensor is running on
Host based IDS (HIDS)
An agent on the host that monitors host activities and log files
Stack-Based IDS
An agent on the host that monitors all of the packets that leave or enter the host
Can monitor a specific protocol(s) (e.g. HTTP for webserver)
Materi yang membahas mengenai pengantar dan konsep sistem informasi dalam bentuk powerpoint (PPT) yang mana untuk memenuhi tugas mata kuliah keamanan teknologi informasi.
Security Incident Event Management
Real time monitoring of Servers, Network Devices.
Correlation of Events
Analysis and reporting of Security Incidents.
Threat Intelligence
Long term storage
IPS (Intrusion Prevention System) is definitely the next level of security technology with its capability to
provide security at all system levels from the operating system kernel to network data packets. It
provides policies and rules for network traffic along with an IDS for alerting system or network
administrators to suspicious traffic, but allows the administrator to provide the action upon being
alerted. Where IDS informs of a potential attack, an IPS makes attempts to stop it. Another huge leap
over IDS, is that IPS has the capability of being able to prevent known intrusion signatures, but also
some unknown attacks due to its database of generic attack behaviours. Thought of as a combination of
IDS and an application layer firewall for protection, IPS is generally considered to be the "next
generation" of IDS.
What is IDS?
Software or hardware device
Monitors network or hosts for:
Malware (viruses, trojans, worms)
Network attacks via vulnerable ports
Host based attacks, e.g. privilege escalation
What is in an IDS?
An IDS normally consists of:
Various sensors based within the network or on hosts
These are responsible for generating the security events
A central engine
This correlates the events and uses heuristic techniques and rules to create alerts
A console
To enable an administrator to monitor the alerts and configure/tune the sensors
Different types of IDS
Network IDS (NIDS)
Examines all network traffic that passes the NIC that the sensor is running on
Host based IDS (HIDS)
An agent on the host that monitors host activities and log files
Stack-Based IDS
An agent on the host that monitors all of the packets that leave or enter the host
Can monitor a specific protocol(s) (e.g. HTTP for webserver)
Materi yang membahas mengenai pengantar dan konsep sistem informasi dalam bentuk powerpoint (PPT) yang mana untuk memenuhi tugas mata kuliah keamanan teknologi informasi.
Security Incident Event Management
Real time monitoring of Servers, Network Devices.
Correlation of Events
Analysis and reporting of Security Incidents.
Threat Intelligence
Long term storage
IPS (Intrusion Prevention System) is definitely the next level of security technology with its capability to
provide security at all system levels from the operating system kernel to network data packets. It
provides policies and rules for network traffic along with an IDS for alerting system or network
administrators to suspicious traffic, but allows the administrator to provide the action upon being
alerted. Where IDS informs of a potential attack, an IPS makes attempts to stop it. Another huge leap
over IDS, is that IPS has the capability of being able to prevent known intrusion signatures, but also
some unknown attacks due to its database of generic attack behaviours. Thought of as a combination of
IDS and an application layer firewall for protection, IPS is generally considered to be the "next
generation" of IDS.
2. PENGERTIAN IDS
IDS (intrusion detection system) adalah sebuah aplikasi
perangkat lunak atau perangkat keras yang dapat
mendeteksi aktivitas yang mencurigakan dalam sebuah
sistem atau jaringan, ids digunakan untuk mendeteksi
sistem atau jaringan.
3. jenis-jenis ids
1. NIDS (Network Intrusion Detection
System)
2. HIDS (Host Intrusion Detection
System)
IDS jenis ini ditempatkan di sebuah tempat/ titik
yang strategis atau sebuah titik di dalam
sebuah jaringan untuk melakukan pengawasan
terhadap traffic yang menuju dan berasal dari
semua alat-alat (devices) dalam
jaringan.
Idealnya semua traffic yang berasal dari luar
dan dalam jaringan akan di scan, namun cara ini
dapat menyebabkan bottleneck yang
mengganggu kecepatan akses di seluruh
jaringan.
IDS jenis ini berjalan pada host yang berdiri
sendiri atau perlengkapan dalam sebuah
jaringan.
Sebuah HIDS melakukan pengawasan terhadap
paket-paket yang berasal dari dalam maupun
dari luar hanya pada satu alat saja dan
kemudian memberi peringatan kepada user
atau administrator sistem jaringan akan
adanya kegiatan-kegiatan yang mencurigakan
yang terdeteksi oleh HIDS.
4. jenis-jenis ids
3. Signature Based 4. Anomaly Based
IDS yang berbasis pada signature akan
melakukan pengawasan terhadap paket-paket
dalam jaringan dan melakukan perbandingan
terhadap paket-paket tersebut dengan basis
data signature yang dimiliki oleh sistem IDS ini
atau atribut yang dimiliki oleh percobaan
serangan yang pernah diketahui.
IDS jenis ini akan mengawasi traffic dalam jaringan dan
melakukan perbandingan traffic yang terjadi dengan
rata-rata traffic yang ada (stabil).
Sistem akanmelakukan identifikasi apa yang dimaksud
Dengan jaringan “normal” dalam jaringan tersebut,
Berapa banyak bandwidth yang biasanya digunakan di
jaringan tersebut, protokol apa yang digunakan, port
port dan alat-alat apa saja yang biasanya saling
berhubungan satu sama lain didalam jaringan tersebut,
dan memberi peringatan kepada administrator ketika
dideteksi ada yang tidak normal, atau secara signifikan
berbeda dari kebiasaan yang ada.
5. jenis-jenis ids
5. Passive IDS 6. Reactive IDS
IDS jenis ini hanya berfungsi sebagai pendeteksi
dan pemberi peringatan.
Ketika traffic yang mencurigakan atau
membahayakan terdeteksi oleh IDS maka IDS
akan membangkitkan sistem pemberi peringatan
yang dimiliki dan dikirimkan ke administrator
atau user dan selanjutnya terserah kepada
administrator apa tindakan yang akan dilakukan
terhadap hasil laporan IDS.
IDS jenis ini tidak hanya melakukan deteksi terhadap
traffic yang mencurigakan dan membahayakan
kemudian memberi peringatan kepada administrator
tetapi juga mengambil tindakan proaktif untuk
merespon terhadap serangan yang ada.
Biasanya dengan melakukan pemblokiran terhadap
traffic jaringan selanjutnya dari alamat IP sumber atau
user jika alamat IP sumber atau user tersebut
mencoba melakukan serangan lagi terhadap system
jaringan di waktu selanjutnya.
6. KOMPONEN PADA IDS
1. Teknologi Deteksi
Teknologi deteksi yang ada pada IDS ini bergantung pada
3 komponen. Berikut ketiga komponen tersebut.
Sensor. Sensor adalah teknologi yang bertugas
melakukan pemantauan dan pengawasan lalu lintas.
Tanpa sensor, IDS tidak akan mampu melakukan fungsi
pengawasan. Sensor
sering juga disebut dengan sebutan engine atau probe.
Agen. Komponen ini adalah software yang diinstal pada
komputer untuk mengawasi file, sekaligus bertugas
melakukan pelaporan jika terjadi sesuatu yang tidak biasa.
Kolektor. Kolektor memiliki peran yang mirip dengan
agen. Bedanya, kolektor ini tidak mampu membuat
keputusan. Kolektor hanya mampu membuat laporan saja
2. Analisis Data
Aktivitas analisis data mayoritas
data di sini dilakukan oleh lapisan
yang kadang disimpan pada pusat
data atau server, analisis ini
dilakukan dengan menggunakan
pusat data yang sudah diberikan
kebijakan dalam mendeteksi. Di sana,
identitas penyerang, deskripsi, dan
hal penting lainya tersedia dan jadi
parameter.
3. GUI atau Manajemen
Konfigurasi
Dimana-mana selalu ada
semacam konsol yang
berfungsi sebagai alat
kontrol dan komunikasi
antara pengguna dengan
mesin. Pada IDS pun
tersedia dimana perangkat
ini merupakan interface
atau antarmuka operator
IDS, di sini operator bisa
mengeksekusi perintah
maupun melakukan
konfigurasi.
7. Cara Kerja IDS
Mendeteksi AnomaliSistem mungkin
kedatangan sesuatu yang tidak biasa
tetapi tidak terdeteksi secara
langsung, IDS bisa melakukan
pemantauan anomali pada lalu lintas
yang sedang berlangsung. Sistem
kemudian menggunakan statistik dan
analisis pola untuk membaca
ketidaknormalan aktivitas lalu lintas
yang terjadi.
Seperti Antivirus
IDS bekerja layaknya program antivirus
dimana di sini, sistem akan mendeteksi
ancaman dan sesuatu yang bermasalah.
IDS bekerja dengan mengawasi lalu
lintas dan mencocokkan apa yang ada di
sana dengan pusat data ancaman, pusat
data tersebut menyimpan data jenis
serangan dan penyusupan.
Pemantauan Berkas
SistemMetode lain cara kerja IDS
adalah pemantauan berkas
sistem operasi. Di sini, sistem
akan melihat dan mendeteksi
apakah terdapat upaya untuk
mengubah berkas pada OS,
terutama pada log. Adanya upaya
tersebut tentu sesuatu yang
mencurigakan dan sangat layak
untuk dilaporkan dan
ditindaklanjuti lebih jauh..
8. Contoh IDS
tcplogd Program IDS ini mampu
mendeteksi pemindaian senyap,
pemindaian ini dilakukan tanpa
harus membuat sesi khusus.
snort
Snort adalah program IDS
yang biasanya ada pada OS Linux,
snort merujuk pada deteksi akses
ilegal yang sifatnya ringan. Snort
sendiri biasanya diperuntukkan
untuk jaringan yang kecil
hostsentry
Program IDS satu ini mampu
mendeteksi anomali dan perilaku-
perilaku tidak bisa. Selain soal
perilaku, Hostsentry juga mampu
mendeteksi anomali waktu dan
anomali lokal.
03
01
02
2022
9. Thank you
“"Semakin keras kamu bekerja untuk
sesuatu, semakin besar kamu
merasakannya ketika mencapainya.".”