Fuzzy Logic dan IDS

Sekitar sepuluh tahun terakhir, aplikasi dari logika fuzzy telah berkembang dari sisi jumlah dan keragamannya. Logika fuzzy yang konsepnya berdasarkan ketidakpersisan (imprecise), cocok untuk diterapkan pada IDS. Ada dua alasan mengapa logika fuzzy cocok untuk melakukan deteksi serangan. Yang pertama, deteksi serangan melibatkan banyak atribut numerik dalam sekumpulan data audit, dan beragam turunan dari perhitungan statistik. Membangun model secara langsung dari data numerik menyebabkan tingginya tingkat kesalahan dalam deteksi. Sebagai contoh, serangan yang hanya memiliki nilai deviasi kecil dari model yang dibangun tidak akan dideteksi sebagai serangan. Hal ini menyebabkan timbulnya kesalahan pada IDS. Alasan kedua adalah karena masalah keamanan sendiri adlaah masalah yang samar-samar (fuziness). Hal ini disebabkan karena batasan antara perilaku normal dan anomali tidak didefinisikan dengan tepat.

1.1.          Fuzzy Misuse Detection

Fuzzy Misuse Detection menggunakan model logika fuzzy, misalnya fuzzy rules atau fuzzy classifier untuk mendeteksi beragam perilaku serangan. Pada saat pertama kali diperkenalkan untuk deteksi serangan, logika fuzzy diintegrasikan dalam sebuah sistem pakar. Rules pada logika fuzzy digunakan untuk memetakan pengetahuan yang direpresentasikan dengan natural language dengan lebih akurat dibandingkan dengan bahasa komputer. Fuzzy rules dibangun oleh para ahli security berdasarkan pengetahuan mereka. Sebagai contoh, mesn pengenal serangan fuzzy (FIRE) yang diperkenalkan oleh Dickerson et al. menggunakan aturan-aturan fuzzy untuk kegiatan atau aktivitas berbahaya pada jaringan. Walaupun fungsi keanggotaan dan himpunan fuzzy ditentukan dengan algoritma fuzzy C-Means, aturan-aturan yang sifatnya hand-encoded menjadi batasan dalam penerapan fuzzy untuk IDS.

Pada penerapan logika fuzzy untuk melakukan deteksi serangan berbasis misuse detection, menghindari aturan fuzzy yang sifatnya hand-encoded adalah isu yang penting. Untuk menghasilkan aturan-aturan pada logika fuzzy, biasanya metode yang digunakan didasarkan pada histogram dari nilai atribut, berdasarkan pada partisi pada area yang overlapping, berdasarkan pada tabel implikasi pada fuzzy, berdasarkan pohon keputusan fuzzy, association rules, atau SVM. Oleh karena perkembangan dari komputasi cerdas yang sangat pesat dan cepat, penggunaan logika fuzzy yang adaptif banyak dimanfaatkan untuk membangun aturan pada logika fuzzy secara otomatis. Aplikasi lainnya dari logika fuzzy adalah decision fusion. Pada aplikasi ini, logika fuzzy menggabungkan output dari berbagai model untuk menghasilkan keputusan final.

1.2.          Fuzzy Anomaly Detection

Logika fuzzy memainkan peranan yang penting dalam anomaly detection. Banyak penelitian dilakukan untuk membangun profil dari perilaku normal dengan logika fuzzy dengan bantuan dari data mining.

Bridges et al. memperkenalkan penggunaan dari fuzzy association rules dan fuzzy sequential rules unruk menggali pola normal dari data audit. Ini merupakan perluasan dari algoritma fuzzy association rule yang dikembangkan oleh Kuok dan algoritma fuzzy sequential rule oleh Mannila dan Toivonen. Untuk mendeteksi perilaku yang anomali, fuzzy association rule digali dari data audit baru yang dibandingkan dengan aturan-aturan yang digali pada fase training. Oleh karena itu, fungsi evaluasi dikembangkan untuk membandingkan association rules. Fungsi evaluasi kemudian dikembangkan lagi oleh Florez et al. dengan membangun sebuah algoritma untuk menghitung kesamaan antara dua assosiation rules berdasarkan prefix trees untuk memperoleh running time dan akurasi yang lebih baik.

Logika fuzzy juga digunakan bersama-sama dengan teknik data mining, outlier detection, untuk mendeteksi perilaku anomali. Berdasarkan pada hipotesis pada IDSs, perilaku berbahaya secara natural berbeda dengan perilaku normal. Oleh karena itu, perilaku abnormal/anomali akan dipertimbangkan sebagai outlier. Algoritma Fuzzy C-Medoids dan algoritma Fuzzy C-Means adalah dua tipe dari metode klasterisasi yang banyak digunakan untuk mengidentifikasi outliers. Seperti teknik klasterisasi lainnya, Fuzzy C-Medoids dan Fuzzy C-Means dipengaruhi oleh “curse of dimensionality”. Oleh karena itu algoritma-algoritma ini akan menurun performanya untuk data yang berdimensi tinggi. Dengan demikan, pemilihan fitu r menjadi hal yang penting pada proses pengolahan data selanjutnya. Misalnya, analisis komponen dapat dilakukan pada dataset sebelum dilakukan proses klasterisasi.

Jaringan Saraf Tiruan untuk IDS

Jaringan saraf buatan (JST) mengandung sekumpulan unit proses yang disebut dengan neuron. JST memiliki kemampuan belajar melalui contoh, dan mampu mengatasi data yang terbatas, mengandung noise ataupun yang tidak lengkap[2]. Pada bagian ini akan dibahas kontribusi JST pada IDS.

1.       Supervised Learning

1.1.      Feed Forward

Metode JST ini bekerja dan merupakan tipe JST yang paling sederhana. Ada dua tipe dari feed forward yang digunakan dalam memodelkan pola perilaku normal ataupun perilaku serangan pada jaringan, yaitu multi-layered feed forward (MLFF) dan radial basis function (RBF).

  • MLFF

Pada awal perkembangan IDS, jaringan saraf buatan MLFF telah diterapkan khususnya pada metode deteksi berbasis anomali. Informasi seperti perintah-perintah, penggunaan CPU, alamat login host, digunakan untuk membedakan perilaku normal dan anomali.

Pada perkembangan selanjutnya, penelitian bergeser dari penelitian berbasis pada perilaku user, kepada penelitian yang berbasis perilaku dari perangkat lunak yang dipantau melalui system calls. Selain itu, dipantau juga lalu lintas jaringan untuk mendeteksi dengan metode misuse detection. Meskipun dengan menggunakan MLFF diperoleh waktu komputasi yang sangat besar, akan tetapi MLFF memiliki akurasi yang sangat bagus.

  • RBF

Jaringan saraf tiruan RBF adalah tipe lain dari jaringan saraf buatan feed forward yang banyak digunaka. RBF melakukan klasifikasi dengan mengukur jarak antara input dengan pusat dari neuron yang tersembunyi pada RBF. RBF bekerja dengan lebih cepat dibandingkan dengan back propagation yang memakan banyak waktu. Selain itu, RBF juga tepat digunakan pada ukuran data yang besar.

RBF dapat melakukan pembelajaran untuk mengenali serangan-serangan yang dikenal dan untuk perilaku normal. Selain menjadi classifier, RBF juga digunakan untuk menggabungkan hasil dari multiple classifier.

RBF juga dapat digunakan untuk mengintegrasikan metode deteksi, baik misuse maupun anomaly pada jaringan RBF yang hierarkial. Pada lapisan pertama, pendeteksi perilaku anomali RBF mengidentifikasi apakah suatu perilaku merupakan perilaku normal atau tidak. Perilaku anomali kemudian melewati serangkaian misuse detector pada RBF untuk tipe serangan yang spesifik. Perilaku anomali yang tidak dapat diklasifikasikan oleh misuse detector akan disimpan ke dalam basis data. Ketika semua informasi mengenai perilaku anomali telah terkumpul, maka algoritma C-means akan digunakan untuk klasterisasi.  Dengan cara ini, serangan-serangan akan dideteksi dan ditandai secara otomatis dan adaptif.

1.2.        Recurrent Neural Network

Pendeteksian serangan berkembang sepanjang waktu. Pendeteksian ini penting dilakukan meskipun sulit. Guna memperoleh pola pada perilaku normal maupun anomali, banyak peneliti telah menggunakan time windows dan mekanisme lainnya yang sejenis seperti jaringan saraf chaotic untuk menyediakan back propagation (BP) dengan memori eksternal. Ukuran windows harus dapat diatur

sehingga dapat dimanfaatkan untuk mengetahui pola perilaku user. Ketika user melalakukan suatu pekerjaan, perilakunya bersifat stabil dan dapat diprediksi.

Recurrent network awalnya digunakan untuk peramalan, di mana sebuah jaringan melakukan prediksi terhadap event. Ketika ditemukan deviasi antara hasil prediksi dengan event yang terjadi saat ini, maka alert akan dikirimkan. Selain itu recurrent network juga digunakan dapat bertindak sebagai classifier. JST tipe ini dapat mendeteksi perilaku anomali pada jaringan menggunakan data dari lalu lintas jaringan.

Salah satu algoritma untuk jaringan saraf tiruan tipe ini adalah cerebellar model articulation controller (CMAC). Algoritma ini dapat melakukan pembelajaran secara incremental. Dengan ini, jaringan saraf buatan tidak perlu melakukan training ulang ketika tampil serangan yang baru. CMAC juga dapat melakukan pembelajaran secara mandiri untuk mendeteksi serangan yang baru. Berdasarkan beberapa penelitian, diperolah kesimpulan bahwa CMAC menunjukkan pembelajaran terhadap serangan secara efektif, pada waktu nyata berdasarkan feefback dari sistem yang terproteksi.

2. Unsupervised Learning

Self-organizing maps dan adaptive resonance theory adalah dua contoh dari tipe jaringan saraf tiruan unsupervised learning. Mirip dengan algoritma klasterisasi, JST tipe ini mengelompokkan objek berdasarkan kesamaan. Tipe JST ini cocok untuk mendeteksi seranan dengan perilaku normal yang terpopilasi pada dua atu tiga pusat, sedangkan perilaku anomali dan serangan tersebar di luar ruang perilaku normal.

2.1.     Self-organizing maps (SOM)

SOM adalah bentuk jaringan saraf buatan feed forward dimana output diklasterisasi ke dalam dimensi yang rendah seperti 2D dan 3D. Awalnya, SOM digunakan untuk mendeteksi virus pada mesin yang dipakai oleh banyak user. Kemudian, SOM digunakan untuk mendeteksi pola perilaku normal pada jaringan. SOM telah digunakan juga untuk melakukan deteksi serangan berbasis misuse detection. SOM digunakan sebagai pengolah data untuk melakukan klasterisasi pada data masukan. Tidak seperti pendekatan unsupervised learning lainnya, SOM dapat digunakan untuk memvisualisasi analisis. Dengan SOM, analisis menganai lalu lintas dan aktivitas di dalam jaringan dapat divisualisasikan.

2.2.     Adaptive resonance theory (ART)

ART merupakan model jaringan saraf tiruan yang dapat melakukan pembelajaran supervised maupun unsupervised, pengenalan pola, dan prediksi. Model pembelajaran unsupervised antara lain ART-1, ART-2, ART-3 dan Fuzzy ART. Sedangkan model supervised diberi nama dengan sufiks –MAP, misalnya ARTMAP, Fuzzy ARTMAP dan Gaussian ARTMAP.

 

Respon IDS dan Tipe IDS

1.                 Respon IDS

Pada umumnya, IDS bersifat pasif. Ketika sebuah serangan tedeteksi, maka IDS akan menghasilkan sinyal (alert) tanpa melakukan langkah perlawanan lebih jauh. Untuk menangani serangan lebih lanjut, diperlukan sistem kemanan yang secara manual melakukan tindakan terhadap sinyal-sinyal (alerts) yang diberikan oleh IDS. Namun demikian, ada sejumlah IDS yang dilengkapi dengan kemampuan untuk mengatasi serangan yang sudah terdeteksi. Tipe IDS semacam ini mampu merubah pengaturan keamanan pada jaringan yang telah terkena serangan. Pengaturan yang dilakukan misalnya memodifikasi file permissions, menambahkan firewall, menghentikan proses, atau mematikan koneksi jaringan.

2.                 Tipe-tipe IDS

2.1.          Host-based IDS (HIDS)

HIDS melakukan pendeteksian terhadap suatu host dengan cara menganalisis audit data yang dihasilkan oleh sistem operasi host tersebut. Sumber data audit meliputi informasi sistem, fasilitas syslog, dan C2 audit trail. Sumber-sumber data tersebut dijelaskan sebagai berikut:

1. Informasi Sistem

Sistem operasi menyediakan layanan untuk memberikan informasi tentang aktifitas internal dan events yang berkaitan dengan masalah keamanan. Ada program-progran yang mengumpulkan dan menampilkan informasi ini, seperti ps, vmstat, top, dan netstat. Informasi yang tersedia, biasanya merupakan informasi yang sangat lengkap dan handal karena diperoleh secara langsung dari kernel. Sayangnya, hanya sedikit sistem operasi yang menyediakan mekanisme untuk memperoleh informasi ini secara sistematis dan kontinu.

2. Fasilitas Syslog

Syslog adalah fasilitas audit yang disediakan oleh banyak sistem operasi UNIX. Syslog memperbolehkan programmer untuk menentukan events yang akan dicatat. Informasi tambahan seperti waktu terjadinya suatu event dan dimana host yang menjalankan program akan ditambahkan secara otomatis. Syslog digunakan pada banyak aplikasi karena kesederhanaannya. Akan tetapi, aplikasi buasanya mencatat informasi yang berharga untuk tujuan debug, bukan untuk tujuan pencegahan serangan. Selain itu, kelemahan penggunaan syslog adalah informasi yang rentan dimodifikasi oleh penyerang untuk menyamarkan serangannya.

3. C2 Audit Trail

Beberapa sistem operasi dilengkapi dengan standar level C2 yang melakukan pengawasan terhadap eksekusi dari system calls. Data yang diperoleh bersifat akurat karena diperoleh langsung dari kernel.

2.2.          Application-Based IDS

IDS tipe ini mendeteksi serangan pada aplikasi tertentu. Informasi audit yang dibutuhkan untuk mendeteksi serangan biasanya diperoleh baik dari fasilitas syslog maupun dengan menambahkan mekanisme tertentu pada aplikasi yang bersangkutan. Menambahkan mekanisme audit pada aplikasi yang sudah ada membutuhkan modifikasi pada aplikasi sehingga menghasilkan informasi yang berhubungan dengan masalah keamanan. Modifikasi ini dilakukan melalui cara-cara berikut ini:

  1. Memodifikasi aplikasi secara langsung melalui source code.Pendekatan ini dapat diterapkan pada apliasi yang menyediakan kode yang dapat dimodifikasi.
  2. Menempatkan kode yang bertugas mengekstraksi informasi audit pada antarmuka yang digunakan oleh aplikasi. Contohnya: system call atau library standar pada C. Kekurangan dari pendekatan ini adalah dapat menyebabkan melemahnya performa aplikasi karena penggunaan mekanisme ini.
  3. Menggunakan ekstensi yang disediakan aplikasi untuk mengimplementasikan fungsi pengumpulan informasi audit.

2.3.          Network-based IDS (NIDS)

IDS yang berbasis network (NIDS) mendeteksi serangan dengan menganalisis lalu lintas pertukaran informasi di jaringan. Pada NIDS, komponen e-boxes berperan sebagai network sniffer. Analisis mengenai isi dari paket data yang melewati jaringan dapat dilakukan melalui beberapa pendekatan, misalnya melakukan pencocokan pola secara sederhana pada header, atau melakukan analisis terhadap protokol yang digunakan dalam komunikasi. Analisis pada level yang lebih tinggi mendukung analisis data yang canggih. Akan tetapi, analisis pada level ini bekerja secara lebih lambat dan membutuhkan banyak sumber daya.

NIDS sangat menarik karena mudah dibangun dan memiliki sedikit atau bahkan tidak memiliki dampak terhadap host yang dimonitor. Di sisi lain, perubahan pada teknologi jaringan dapat mempengaruhi kegunaan dari NIDS. Hal tersebut disebabkan karena:

  1. Jaringan berkecepatan tinggi dapat meningkatkan throughput diluar kemampuan dari sniffer.
  2. Jaringan dengan switch mempersulit pemilihan lokasi, dimana NIDS harus ditempatkan.
  3. Adopsi dari teknologi enkripsi pada komunikasi mengurangi atau bahkan mencegah NIDS untuk mengakses konten dari koneksi internet.

Metode Pelacakan (Detection Method)

Pelacakan dapat dilakukan melalui dua cara yaitu misuse based dan anomaly based. Cara pertama adalah dengan cara mendefinisikan wujud dari serangan dan mencatat kemunculan serangan (misuse based). Cara kedua dilakukan dengan cara mendefinisikan bagaimana perilaku normal sistem dan mencatat aktivitas yang bertentangan dengan perilaku normal tersebut (anomaly based).

1. Metode Pelacakan Berbasis Penyalahgunaan (Misuse based System)

Misuse based system dilengkapi dengan basis data yang berisi informasi tentang sejumlah model serangan.  Basis data ini biasa dikenal dengan knowledge base. Data yang diperoleh oleh IDS akan dibandingkan dengan isi di dalam basis data. Apabila ada data yang ditemukan cocok dengan basis data, maka akan diberikan sinyal (alert). Event atau tindakan-tindakan dalam sistem yang tidak sesuai dengan model serangan akan dianggap sebagai tindakan yang legal (tidak berbahaya).

Penggunaan metode pelacakan berbasis penyalahgunaan ini memiliki kelebihan yaitu minimnya jumlah false positive. Akan tetapi, metode ini juga memiliki beberapa kelemahan. Pertama, membentuk knowledge base yang menampung model-model serangan merupakan hal yang sulit. Kelemahan kedua adalah metode ini tidak dapat mendeteksi serangan yang sebelumnya belum diketahui, atau belum pernah terjadi. Metode ini hanya mampu mendeteksi serangan baru yang telah dimodelkan sebelumnya. Oleh karena itu, knowledge base harus selalu diperbaharui ketika ditemukan teknik serangan yang baru. Gambar 1 menunjukkan diagram blok IDS dengan misuse based.

 

Gambar 1. Diagram Blok Misuse Based IDS

2.          Metode Pelacakan Berbasis Anomali (Anomaly Based System)

Metode ini berpijak pada asumsi bahwa semua aktivitas yang bersifat anomaly adalah aktivitas yang merusak. Pada metode ini, pertama-tama dibangun model dari perilaku normal dari sistem yang disebut dengan profile, kemudian mencari aktivitas-aktivitas yang anomaly, misalnya aktivitas yang tidak sesuai dengan model yang telah dibuat. Semua aktivitas yang tidak sesuai dengan profile dari sistem maka akan ditandai sebagai serangan. Gambar 2 menunjukkan diagram blok dari metode ini.

 

Gambar 2. Diagram Blok Anomaly Based IDS

Secara teori, keuntungan utama yang diperoleh dengan metode ini adalah kemampuannya dalam mendeteksi serangan yang sebelumnya tidak dikenali. Dengan kata lain, anomaly based memiliki

Arsitektur IDS

Ada banyak framework untuk menyediakan layanan IDS. AKan tetapi, ada terdapat kesamaan arsitektur pada semua intrusion detection system. Pada bagian ini akan dijelaskan komponen-komponen yang terdapat di dalam IDS berdasarkan CIDF (Common Intrusion Detection Framework) yang dikemukakan oleh Porras et al pada tahun 1998. Pada CIDF, IDS dimodelkan sebagai kumpulan dari empat komponen dengan peranannya masing-masing. Komponen-komponen tersebut adalah event boxes, analysis boxes, database boxes, dan response boxes.

Event Boxes (E-boxes)

E-boxes berperan untuk menghasilkan event dengan memproses data audit mentah yang dihasilkan oleh lingkungan komputasional. Contoh komponen ini adalah program yang menyaring data audit yang dihasilkan oleh sistem operasi, dan pemantau jaringan (network sniffer) yang menghasilkan event berdasarkan pada network traffic.

Analysis Boxes (A-boxes)

Analysis boxes bertugas menganalisis event dari komponen lainnya. Hasil analisis dari a-boxes dikirim kembali ke sistem sebagai event tambahan, yang biasanya direpresentasikan sebagai alarm. Beberapa a-boxes menganalisis events yang dihasilkan oleh a-boxes lainnya.

Database Boxes (D-boxes)

D-boxes menyimpan events, dan menjamin persistensi serta mengijinkan analisis lanjutan terhadap events.

Response Boxes (R-boxes)

Response boxes menggunakan pesan yang membawa petunjuk mengenai tindakan yang akan dilakukan sebagai reaksi terhadap serangan yang terdeteksi. Tindakan-tindakan yang dilakukan sebagai respon mencakup killing process, konfigurasi ulang pada koneksi jaringan, dan memodifikasi pengaturan pada firewall.

Gambar 1 menunjukkan sebuah sistem IDS dengan dua buah e-boxes yang memonitor lingkungan dan mengirimkan audit events kepada dua buah a-boxes. Kedua a-boxes ini melakukan analisis terhadap data audit dan memberi kesmpulan terhadap hasil audit kemudian memberikannya kepada a-box ketiga yang berkorelasi dengan sinyal, menyimpannya ke dalam d-box, dan mengontrol sebuah r-box. Garis putus-putus pada gambar mengindikasikan perubahan events, sedangkan garis tegas menunjukkan perubahan pada data audit mentah. Model CIDF tidak menunjukkan bagaimana sebuah IDS harus diimplementasikan. CIDF hanya menyatakan peranan dan interaksi di antara komponen-komponen dalam IDS.

Gambar 1. Deskripsi CIDF Mengenai Komponen IDS

 

Pengenalan Intrusion Detection System

1.     Serangan (Intrusi)

Sebuah serangan (intrusi) didefinisikan sebagai serangkaian dari tindakan-tindakan yang dilakukan oleh pihak yang jahat yang sifatnya berbahaya bagi target yang diserang [1]. Serangan ini dapat mengacaukan keamanan dan stabilitas pada jaringan. Oleh karena itulah perlu dibuat sebuah kebijakan keamanan yang dapat menentukan tindakan-tindakan apa saja yang disebut sebagai serangan. Pelanggaran terhadap kebijakan ini dapat dideteksi melalui proses membandingkan antara tindakan yang terjadi di dalam system, dengan aturan-aturan (rules) yang terdapat di dalam kebijakan. Intrusion detection (ID) adalah proses identifikasi dan tanggapan terhadap aktivitas-aktivitas yang jahat yang ditujukan pada suatu sistem (jaringan). Proses ini melibatkan baik teknologi, manusia sebagai pengguna, dan perangkat lunak.

2.     Karakteristik IDS

Berangkat dari alasan keamanan pada jaringan, maka dibangunlah sebuah sistem untuk mengenali dan mendeteksi serangan-serangan di dalam jaringan, yang disebut dengan intrusion detection system (IDS). Untuk dapat disebut sebagai sistem pendeteksi serangan yang baik, maka IDS harus memiliki karakteristik sebagai berikut:

a. Ketepatan (accuracy)

Suatu IDS harus dengan tepat mengidentifikasi apakah sebuah action merupakan tindakan yang legal, atau tindakan yang berupa serangan. Tindakan legal yang diidentifikasi secara salah sebagai serangan disebut dengan false positive).

b. Kinerja (performance)

Kinerja IDS harus cukup untuk melakukan deteksi terhadap serangan dalam waktu nyata (real time). Artinya, serangan harus dapat segera dideteksi sebelum terjadi kerusakan terhadap sistem.

c. Kelengkapan (completeness)

Sebuah IDS tidak boleh gagal dalam mendeteksi serangan. Serangan-serangan yang tidak berhasil dideteksi disebut dengan false negative.  Karakteristik ini cukup sulit untuk dipenuhi mengingat sulitnya memiliki pengetahuan yang cukup tentang serangan di masa lampau, sekarang, dan yang akan datang.

d. Toleransi kesalahan (fault tolerance)

IDS harus tahan terhadap serangan terhadap dirinya sendiri.

e. Skalabilitas (scalability)

Suatu IDS yang baik harus mampu menangani berbagai ukuran jaringan, dan jumlah events yang besar dalam sistem. Sebuah IDS juga harus dapat memproses events tanpa kehilangan informasi di dalamnya.

SUMBER:

[1] Krugel, Christopher. Intrusion Detection and Correlation. Springer: 2005.

Referensi

Berikut ini referensi yang berkaitan dengan paper UTS yang saya tulis.
1. Shelly Wu, Wolfgang Banzhaf. The Use of Computational Intelligence in Intrusion Detection System: A Review, in: Applied Soft Computing vol 10, 2010 page 1-35.

2. Krugel, Christopher. Intrusion Detection and Correlation. Springer: 2005.

Personal Brand Paper UTS dan UAS: Intrusion Detection

LATAR BELAKANG

Mempelajari jaringan informasi atau jaringan komputer berarti mempelajari bagaimana sebuah sistem yang berisi komponen berupa perangkat komputer dan perangkat komunikasi lainnya dapat terhubung dan melakukan proses komunikasi. Mengapa penting untuk mempelajari jaringan informasi? Jawabannya jelas, saat ini manusia sudah sangat bergantung pada jaringan informasi. Melalui teknologi internet, setiap manusia seakan-akan saling terhubung satu sama lainnya, dan dapat berinteraksi dan bertukar informasi dengan cepat dan mudah.

Ada banyak konsep yang berkaitan dengan jaringan informasi, mulai dari masalah routing, QoS, sampai yang berkaitan dengan security. Saya memiliki ketertarikan sendiri dalam masalah security. Jika diibaratkan sebagai sistem dalam tubuh manusia, maka security dapat dianalogikan sebagai sistem kekebalan tubuh atau antibodi. Bayangkan apabila sistem kekebalan tubuh kita rusak, maka segala macam virus, bakteri, dan sumber penyakit lainnya dapat mengganggu sistem lain di dalam tubuh, bahkan menyebabkan kematian. Demikian halnya dengan jaringan informasi, apabila terjadi serangan (intrusion) dan tidak ditangani dengan baik, maka sistem akan terganggu.

Selain tentang security, saya juga memiliki ketertarikan yang cukup besar dalam bidang kecerdasan buatan dan komputasional. Untuk itulah, saya mengambil topik penggunaan Computational Intelligence dalam Intrusion Detection System (IDS) untuk paper UTS dan UAS dalam mata kuliah jaringan informasi.

INTRUSION DETECTION SYSTEM

Intrusion Detection System (IDS) merupakan aplikasi berupa perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan di dalam sebuah sistem atau jaringan. IDS melakukan inspeksi terhadap jaringan, sehingga pihak yang diserang dapat mengatasi terjadinya serangan di dalam jaringan.

Terdapat 2 jenis IDS:

a. Netwok Based IDS (NIDS)

b. Host Based IDS (HIDS) biasanya diletakan pada server-server penting misalnya firewall, web server, dll

Pada dasarnya, IDS bersifat pasif, artinya hanya memberikan peringatan bahwa telah terjadi serangan di dalam jaringan. Akan tetapi, akhir-akhir ini telah berkembang Intrusion Prevention System (IPS) yang bisa mendeteksi sekaligus mencegah terjadinya serangan di dalam sistem.

Respons IDS Terhadap Intrusi

IDS dan Computational Intelligence

IDS yang berbasis pada komputasi cerdas (Computartonal Intelligence) merupakan hal yang menarik bagi banyak kelompok peneliti. Sifat dari sistem komputasi cerdas yang adaptif, fault tolerance, berkemampuan komputasi yang tinggi, dan error resillence dalam menangani galat memenuhi kebutuhan untuk membangun sebuah model IDS.

Metode komputasi cerdas yang diterapkan dalam IDS antara lain jaringan saraf buatan, sistem fuzzy, dan soft computing.

Dalam paper konseptual UTS dan UAS mata kuliah Jaringan Informasi, akan dijelaskan lebih lanjut tentang penerapan komputasi cerdas dalam IDS.

 

Source:

1. http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi

2. Shelly Xiaonan Wu*, Wolfgang Banzhaf. The use of computational intelligence in intrusion detection systems: Applied Soft Computing 10 (2010) 1–35.