BAB I PENDAHULUAN

I.1 Latar Belakang Semakin pesatnya perkembangan teknologi internet dan implementasinya dalam sebuah LAN (intranet) telah menyebabkan arus informasi dari dalam atau keluar perusahaan semakin padat. Akses internet tanpa batas telah menghadirkan banyak keuntungan bagi semua pihak. Tidak hanya mempermudah pencarian informasi yang diinginkan tanpa batas waktu dan lokasi, akan tetapi dunia luar dapat berinteraksi dengan local network yang ada. Hal ini memungkinkan meningkatnya tindak kejahatan dalam dunia maya. Salah satu masalah keamanan yang cukup signifikan pada jaringan adalah masuknya user dan program ( misalnya : worm, trojan horse, virus ) yang tidak sah sehingga dapat merusak sistem. Untuk itu diperlukan cara untuk menjaga sekuriti sistem. Salah satunya dengan membangun peringatan dini yang disebut deteksi detection). intrusi /penyusupan (intrusion

Akhir-akhir ini, penelitian telah banyak dilakukan untuk mendeteksi intrusi. Sebuah pendeteksian intrusi dini yang efektif dapat mencegah masuknya intrusi lebih lanjut. Pendeteksian intrusi ini memungkinkan pengumpulan informasi tentang teknik intrusi yang digunakan. Jika sebuah intrusi dideteksi dengan cukup cepat, maka penyusup dapat diidentifikasi dan dikeluarkan dari sistem sebelum sejumlah bahaya timbul. Namun, jika waktu pendeteksian tidak mencukupi, maka akan semakin banyak bahaya dan perbaikan data yang muncul. Suatu hardware atau software aplikasi yang dapat mendeteksi intrusi adalah IDS (Intrusion Detection System). Dewasa ini, pasar dipenuhi dengan berbagai teknik mendeteksi intrusi dari IDS . Salah satu teknik yang paling ampuh dan memiliki tingkat keakuratan yang tinggi adalah Anomaly-Based IDS. Teknik ini menggunakan pendekatan statistik yang telah teruji. I.2 Tujuan Penelitian Tujuan dari penelitian ini yaitu : 1. Memahami salah satu teknik pendeteksian intrusi yang dilakukan oleh Intrusion Detection System (IDS) 2. Mengetahui pendekatan apa yang digunakan untuk menunjang keakuratan hasil deteksi intrusi

3. Mengetahui bagaimana implementasi teknik deteksi intrusi untuk mengamankan sistem jaringan I.3 Metode Penelitian Metode yang digunakan penulis pada penelitian ini adalah metode literature.

BAB II LANDASAN TEORI 21 Intrusi dan Intruder Intrusi atau penyusupan bisa diartikan sebagai kegiatan akses ke sistem komputer oleh pemakai yang tidak punya hak misalnya cracker atau hacker, akses oleh yang mempunyai hak tetapi salah guna dan tercela atau serangan terhadap keamanan sistem komputer karena bisa menghancurkan kepercayaan pemakai. Sebuah intrusi dapat diibaratkan sebagai sekumpulan aksi yang berusaha untuk merusak integritas, kerahasiaan, ketersediaan dari suatu sumber daya Teknologi intrusi generasi pertama hanya sebatas administrasi dan audit pemakaian komputer, terutama kemungkinan penyalahgunaan hak oleh orang dalam. Generasi selanjutnya sistem deteksi intrusi dikembangkan untuk mengawasi juga penyusup yang berniat mencuri data atau bahkan berniat merusak sistem. Kebanyakan sistem deteksi intrusi yang dipakai menerapkan model arsitektur hirarki yang mendeteksi intrusi secara terpusat. Disamping cracker dan hacker, pada dunia keamanan TI dikenal juga istilah intruder (penyusup). Pada awal serangan,

intruder biasanya hanya mengexplore data. Namun, pada tingkat yang lebih serius intruder berusaha untuk mendapat akses ke sistem seperti membaca data rahasia, memodifikasi data tanpa permisi, mengurangi hak akses ke sistem sampai menghentikan sistem. 2.2 Komponen Deteksi Intrusi Perangkat keras atau lunak yang berfungsi untuk memonitor penyusup secara otomatis dan menganalisisnya adalah IDS (Intrusion Detection System). Untuk mendukung kerja IDS, pada tahun 1991 dipublikasikan cara pengamanan yang lain yaitu dengan memasang firewall yang berfungsi untuk memblokir trafik yang tidak dinginkan. Firewall bisa dipandang sebagai benteng sekeliling sebuah gedung dengan satpam di gerbang, sedangkan IDS bisa dipandang sebagai pos-pos satpam di setiap pintu, terdapat juga firewall (perangkat keras / perangkat lunak / kombinasi keduanya ) yang menyediakan sebuah lokasi untuk memonitor kejadian-kejadian yang berhubungan dengan masalah keamanan 2.2.1 IDS

IDS adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi. 2.2.1 .1 Arsitektur dan Struktur IDS Sebuah IDS selalu mempunyai sebuah sensor ( mesin analis) yang bertanggung jawab untuk mendeteksi intrusi. Sensor ini terdiri dari mesin pembuat keputusan yang berhubungan dengan intrusi. Sensor-sensor menerima baris data dari 3 sumber informasi utama. IDS memiliki base, syslog and audit trails. Syslog diincludekan dalam sistem, misal konfigurasi pada sistem file, autorisasi user, dsb. Informasi ini menciptakan dasar bagi proses pembuatan keputusan. Sensor bertugas untuk memfilter informasi dan mendiscard data yang tidak relevan dari sekumpulan kejadian yang terhubung dengan sistem yang terproteksi, misalnya dalam mendeteksi aktivitas-aktivitas yang mencurigakan. Analis menggunakan database berisi kebijakan mendeteksi. Di dalamnya terdapat tandatangan penyerang,

deskripsi perilaku normal, dan parameter yang penting (misal, nilai ambang batas). Database ini mengatur konfigurasi parameter IDS, termasuk mode komunikasi dengan modul tanggap. Sensor juga mempunyai database yang terdiri atas sejarah dinamis dari intrusi yang kpmplek. Hal ini dibuat dari multiple aksi.-aksi.

Arsitektur IDS. Sensor diintegrasikan dengan sejumlah komponen yang bertanggungjawab untuk pengumpulan data Metode pengumpulan ini ditentukan oleh kebijakan dari event generator yang akan menjelaskan mode filtering dari suatu deskripsi informasi. Event generator (misalnya, sistem operasi, jaringan, dan aplikasi) akan membuat sebuah kebijakan yang konsisten dalam mengeset sekumpulan kejadian yang mungkin misal adanya sebuah log atau audit dari sistem atau packet jaringan. Hal ini diatur baik dengan
7

kebijakan informasi yang disimpan juga didalam atau diluar sistem terproteksi

Komponen IDS 2.2.1.2 Cara Kerja IDS Diantara berbagai jenis tugas IDS, penyusup identifikasi

merupakan satu hal yang fundamental. Hal ini

dapat berguna dalam penelitian forensik dan pemilihan patch yang cocok untuk digunakan.

Intrusion detection system activities IDS melindungi sistem komputer dengan mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan intrusi. Untuk itu, IDS mengidentifikasi penyebab intrusi dengan cara membandingkan antara event yang dicurigai sebagai intrusi dengan signature yang ada. Saat sebuah intrusi telah terdeteksi, maka IDS akan mengirim sejenis peringatan ke administrator. Langkah selanjutnya dimulai dengan melakukan policy terhadap administrator dan IDS itu sendiri Sewaktu-waktu, IDS dapat menghasilkan alarm yang salah. Hal ini biasanya terjadi pada saat kegagalan fungsi dari

interface jaringan serta pengiriman deskripsi serangan atau tandatangan melalui email.

Intrusion detection system infrastructure

2.2.2 Perbandingan antara Firewall dan IDS Meskipun firewall dan IDS berhubungan dengan masalah keamanan jaringan, tetapi IDS berbeda dengan firewall yang penggunaanya untuk memfilter traffic atau paket data yang masuk dan mencegah akses yang tidak terautorisasi ke atau dari bagian berbeda dari arsitektur keamanan sebuah sistem. Hanya traffic terautorisasi dan terdefinisi dalam kebijakan keamanan lokal yang diijinkan untuk lewat. Berbeda halnya dengan IDS yang digunakan

10

untuk mengaudit traffic dan mencari pola traffic atau aktivitas tertentu yang terdapat anomali atau kemungkinan malicious. Selama konfigurasi, pola traffic ini dapat ditentukan secara manual dan pada saat proses inisialisasi pola ini dapat dilakukan secara automatis atau kombinasi dari keduanya. Tidak seperti IDS yang dapat mengaudit traffic, firewall hanya mengaudit manajemen jaringan dan mengatur terjadinya penggunaan internet. Firewall dirancang untuk membatasi akses antar jaringan agar bisa mencegah penyusupan. Umumnya firewall tidak dirancang untuk menyediakan notifikasi detail dari serangan dan deteksi komprehensif dari semua kemungkinan serangan atau anomaly dari aktivitas di jaringan, namun firewall dapat mengontrol layanan, arah layanan, user dan menyediakan perlindungan dari berbagai jenis serangan. Sedangkan IDS mengevaluasi kejadian yang mencurigakan ketika itu sedang atau telah terjadi. Selain itu, IDS dapat menciptakan audit trail yang detail pada satu atau lebih lokasi yang aman, memberi signal berupa alarm atau notifikasi dan kemungkinan melakukan aksi secara otomatis untuk mengamanakan jaringan. IDS juga dapat memantau serangan-serangan atau peristiwa-peristiwa yang berasal dari jaringan dalam organisasi. Hal ini akan melindungi organisasi

11

dari kemungkinan aksi legal punitive yang terinisiasi sebagai serangan dari dalam organisasi. .

Sebuah firewall dapat dilihat sebagai sebuah alat pelindung keamanan pada aset yang berharga. Sedangkan IDS dapat dianalogikan sebagai kamera surveillance, alarm, detector atau sensor yang memonitor area disekelilingnya Umumnya, mendeteksi firewall tidak IDS sehebat juga IDS dalam memiliki penyusupan. tidak

kemampuan firewalling dibanding firewall. Hal lain yang dapat membedakan kedua teknologi ini yaitu kebanyakan firewall dirancang untuk tidak melakukan apa-apa dalam mode yang tertutup. Namun firewall mempunyai sebuah system kegagalan yang kritis, bagian sensitive dari jaringan.

12

Kebanyakan kegagalan kritis pada IDS berbentuk mode terbuka yang artinya bahwa mesin IDS tidak memerlukan waktu yang lama untuk memproses pola jaringan. 2. 3 Pendekatan dalam Mendeteksi Intrusi 2.3.1 Statistical Anomaly Detection Melibatkan sekumpulan data yang berhubungan dengan tingkah laku legitimate user selama waktu tertentu. Kemudian test statistik diimplementasikan untuk mengamati tingkahlaku dan menentukan tingkat kerahasiaan dari suatu data. Pendekatan ini terbagi dalam dua kategori : a. Threshold detection : melibatkan penjelasan Threshold(petunjuk awal), independent user, untuk frekuensi yang terjadi dari berbagai macam kejadian. b. Profiled Based : Sebuah profile dari aktivitas setiap user dikembangkan dan digunakan untuk mendeteksi perubahan pada tingkah laku dari account individu.\ 2.3.2 Ruled based Detection Melibatkan usaha untuk menggambarkan satu set dari peraturan yang dapat digunakan untuk memutuskan apakah ada intruder atau tidak. Terdiri dari dua jenis :

13

a. Anomaly detection : Aturan-aturan dikembangkan untuk mendeteksi deviasi dari pola yang dipakai sebelumnya. b. Penetration Identification : Sebuah pendekatan sistem pakar yang mencari tingkah laku yang mencurigakan. 2.4 Model untuk Mendeteksi Intrusi 2.4.1 Misuse detection model Model ini menggunakan deteksi signature dengan cara mencari titik-titik lemah sistem yang bisa dideskripsi oleh sebuah pola atau sederet kejadian /data. 2.4.2 Anomaly detection model Pendeteksian intrusi pada model ini didasarkan pada perubahan dalam pola pemakaian atau kelakuan sistem. Cara yang dilakukan adalah dengan membangun sebuah model statistik yang berisi satuan-satuan alat ukur (metrik) yang nilainya akan diambil dari aktifitas proses sistem. Anomali adalah suatu keadaan tidak normal atau nominal. Pendeteksi anomaly harus dapat membedakan antara keadaan normal atau anomali

14

15

BAB III PEMBAHASAN

Apa yang mengindikasikan jika suatu hal dianggap anomali ? Biasanya, hal ini dapat ditunjukkan dari beberapa peristiwa yang memiliki frekuensi lebih besar atau kurang dari dua standar deviasi pada table statistik. Misalnya, jika dalam satu hari ada seorang user yang log on dan log off pada satu mesin sebanyak 20 kali (padahal normalnya hanya 1 atau 2 kali) maka ini tentunya akan menimbulkan kecurigaan. Penggunaan anomaly based IDS (teknik deteksi intrusi yang merujuk pada anomali ) dapat mendeteksi tidak hanya penyusup yang telah atau belum tercatat tetapi juga menginformasikan tentang kemungkinan masalah-masalah di jaringan. Metode ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Cara umum untuk menggambarkan bentuk ini adalah dengan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Hal ini dapat ditempuh

16

melalui penghitungan nilai rata-rata dan standar deviasi dari statistik terdistribusi. Jika hasil perhitungan berada diluar dari parameter standar deviasi, maka kemungkinan telah terjadi intrusi. Pendeteksi ini membangun deksripsi yang merepresentasikan penggunaan atau pola perilaku normal. Selanjutnya, deskripsi atau pola ini dibandingkan dengan perilaku user dan sistem untuk memprediksi dan mendeteksi ketidakcocokan yang mungkin timbul. Sehingga pada akhirnya akan dikenali kemungkinan usaha serangan. Untuk mencocokkan deskripsi, sistem melakukan inisialisasi deskripsi user dengan pola perilaku user yang sah. Sekumpulan deskripsi yang normal tidak semuanya cocok dengan deskripsi yang tersimpan. Jika ada masalah yang berhubungan dengan pendeskripsian, sementara sistem terus mempelajari kemungkinan anomali, maka intruder / penyusup yang berpengalaman dapat sistem tersebut. Sebuah hasil deskripsi yang menyatakan ketidakcocokan akan disimpan dan dijadikan pedoman untuk membantu pendeteksian semua kemungkinan aktivitas intrusi selanjutnya. Mengupdate deskripsi atau menguji sistem merupakan tugas yang sulit dan menghabiskan banyak waktu. balik mempelajari

17

3. 1 Jenis Anomaly-Based IDS Deteksi anomali terbagi menjadi dua kategori yaitu :

Anomali Statis Metode jenis ini berguna untuk mengecek integritas

data. Pendeteksian intrusi didasarkan pada asumsi bahwa terdapat :

Terdapat bagian program yang seharusnya bernilai tetap pada sistem yang sedang dipantau

Kode dan data yang bernilai konstant

Hardware yang ada tidak perlu dicek. Perangkat sistem administrasi yang mengecek komponen fisik dan melaporkan jika terjadi perubahan. Bagian statis dari suatu sistem dapat direpresentasikan

sebagai sebuah string bit binary atau sekumpulan string ( seperti, file-file). Jika bagian yang statis berbeda dengan aslinya, maka diasumsikan error telah terjadi atau penyusup telah merubah bagian statis dari sistem.

Anomali Dinamis Pada metode ini, pendeteksi anomali dinamis harus

mengincludekan sejumlah deskripsi tentang perilaku sistem yang dijelaskan seperti sebuah pengurutan namun dipesan secara terpisah dari kejadian yang berbeda. Untuk itu,

18

pendeteksi ini harus memiliki record tentang user yang berpotensi menjadi penyusup. Pendeteksi subjek dan anomali mengamati deskripsi aktivitas-aktivitas perilaku. Proses menggenerate

monitoring antara user dan system dilakukan secara bergiliran. Pemetaan antara proses, account, dan user hanya dilakukan ketika terdapat alarm yang berbunyi.

Tidak peduli apakah terdapat anomali atau tidak, sistem tetap merujuk pada parameter yang diset selama proses inisialisasi perilaku sistem. Perilaku ini diasumsikan sebagai bentuk normal, diukur dan akhirnya digunakan untuk mengeset parameter sehingga dapat menjelaskan mana perilaku yang normal dan yang mengandung anomali. Jika suatu perilaku dianggap tidak mengandung anomali, maka tidak terjadi intrusi. Namun, jika anomali terdapat pada suatu perilaku, maka sistem administrator dapat membunyikan false alarm sebagai tindak lanjut. III.2 Aturan Dasar pada Anomaly-Based IDS Identifikasi Aliran Data

19

Seluruh keamanan jaringan didasarkan pada boleh tidaknya suatu traffic masuk dari atau ke suatu jaringan. Sangatlah penting bagi kita untuk mengetahui tentang protokol dan sistem jaringan apa yang dipakai. Hal ini dimaksudkan untuk memudahkan pengidentifikasian aliran data dan jenis paket apa yang boleh atau tidak boleh dalam melintasi jaringan. Selain itu, pengetahuan lain yang diperlukan yaitu mengenai : Source, Destination IP/network Protokol Jaringan (IP, ICMP,..) Protokol aplikasi(ditentukan oleh port-port) Content (ukuran, tipe, karakteristik.) Feature yang lain ( TCP flags, TTL,,,) Kelompokkan paket data yang diizinkan Hal pertama yang dilakukan adalah kelompokkan semua paket data yang diminta dengan jelas sesuai kebutuhan sistem. Selanjutnya, pastikan bahwa content (isi) dapat diterima karena komunikasi tidak hanya berlangsung karena ada IP atau port. Untuk itu, perlu dilakukan pengecekan ukuran dan nilai yang spesifik untuk menentukan kategori dari paket data. Kelompokkan paket data yang mencurigakan

20

Dengan mereview layanan yang dibutuhkan maka akan terdapat banyak pilihan yang sebenarnya tidak dibutuhkan atau digunakan oleh end-system. Misalnya, jika content suatu website tidak menggunakan syntax/ method POST maka akan timbul sebuah peringatan karena paket data yang masuk terlihat mencurigakan Kelompokkan paket yang tidak diijinkan Paket, sistem atau peralatan jaringan yang tidak diinginkan oleh beberapa layanan, termasuk dalam kategori ini. Apalagi jika paket-paket tersebut yang tidak valid III.3 Tahapan Fase Anomaly-Based IDS mempunyai tujuan

21

III.4 Model Pendeteksian Intrusi pada AnomalyBased IDS Model Ukuran String Perbedaan panjang yang dimiliki variabel string sering menunjukkan perilaku regular. Misal, ukuran panjang dari setiap user id dan pencarian string yang berbeda dapat dilakukan melalui penghitungan rata-rata. Model PenemuanToken Nilai selalu tampak secara berulang pada monitoring interface. Beberapa parameter dapat menggambarkan nilai

22

yang berbeda. Hal ini dapat dimulai dari enumerasi yang kecil. Untuk itu, simpanlah history dari parameter nilai. Dengan adanya sekumpulan peluang yang terbatas, maka model akan menyimpan suatu enumerasi. Jika tidak, model akan menampilkan pesan no enumeration. Pada saat pengujian, model akan mengembalikan score antara 1 atau 0. Model Pendistribusian Karakter String Dari hasil pengamatan, kebanyakan string mempunyai distribusi karakter yang mirip. Model ini menciptakan idealized character distribution (ICD) untuk setiap string yang teruji pada fase training. Penghitungan score anomali menggunakan variasi dari Pengujian Pearson Chisquared

Model Struktur Inference Dalam mendeteksi anomali, model ini dapat

membangun kemungkinan tata bahasa yang digunakan penyusup. Banyak atribut nilai yang dapat dimodelkan ketika

23

string digenerate oleh tata bahasa regular. berpeluang memberikan nilai.

Penghitungan

score anomali dilakukan ketika hasil dari transisi state dapat

III.5 Protokol untuk Deteksi Anomali Protokol anomali pada network dan transport layer ( layer 3-4 ) dan application layer (layer 6-7). Untuk mendeteksi anomali, dilakukan dengan mendefrag keseluruhan IP, mengeset ulang TCP dan mengecek setiap kondisi pada proses yang tidak biasa. Beberapa anomali yang dapat dideteksi pada protokol 3-4, antara lain:

Tumpang tindih fragmentasi IP dan sejumlah IP yang mencurigakan Tumpang tindih segmentasi TCP dan sejumlah TCP yang illegal Penggunaan checksum yang corrupt

24

III.6 IDS

Kelebihan dan Kelemahan Anomaly-Based

Kelebihan Memungkinkan deteksi intrusi dini,

Mengenali anomali tanpa mengetahui karakteristik dan penyebabnya Mendeteksi penyalahgunaan hak akses user. Dibandingkan signature-based IDS, metode ini dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS.

Kelemahan Penggunaan sistem tidak diawasi selama pembuatan deskripsi dan phase pembelajaran

Perilaku user dapat berubah sewaktu-waktu, sehingga diperlukan update yang konstant dari waktu ke waktu dan memungkinkan timbulnya.alarm kesalahan Merubah perilaku sistem menjadi kebal tehadap anomali yang terdeteksi selama fase pembelajaran Sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang

25

sebenarnya dari banyaknya laporan false positive yang muncul. III.7 Impelementasi III.7.1 Contoh Kondisi Anomali pada Lingkungan LAN Berikut diberikan deskripsi kondisi beberapa anomali, misal terdapat sebuah router dalam jaringan (kemungkinan menggunakan NAT)
SYN packet SRC=local LAN TTL=[Standard TTL -1]

Kemudian,

dapat

dilihat

jika

ada

seseorang

sedang

menguping IP dijaringan dengan mentraceroute IP tersebut

Standard TTL is 256/128/64 Src port = 21 ( sebuah srever FTP dalam jaringan ) Packet outgoing Port 135-139 Going through gateway TTL=1 DST=local LAN

TTL=1 SRC=local LAN

26

Orang yang menguping ini, sedang mencoba menemukan jalan keluar dengan mentraceroute IP III.7.2 Contoh Pendeteksian Intrusi
a.

Kasus Pertama Contoh Konfigurasi

#web server Pass TCP $WEB_SERVER 80 <> any 1024: #admin access Pass TCP $ADMIN_IP 1024: <> $WEB_SERVER 22 #DNS Pass UDP $WEB_SERVER 1024: <> $DNS_SERVER 53 #alert rules ALERT IP any any <> any any (msg: not allowed traffic;)

Berdasarkan konfigurasi diatas, administrator telah

dapat dilihat bahwa

mengidentifikasi aliran data berupa

protokol jaringan (IP, TCP,UDP), protokol aplikasi(port 80), IP source(1024) yang digunakan. Kasus ini didasari oleh filtering traffic yang diijinkan lewat dan namun waspadai sisanya.
27

Statement any <>any, menunjukkan bahwa traffic yang memilki anomali tidak diijinkan masuk ke jaringan. Merujuk pada statement (msg: not allowed traffic;), maka dapat terlihat bahwa proses filtering yang berdasarkan pada pesan atau prioritas menjadi lebih sulit . Untuk itu, penulis menyarankan diimplementasikannya : IDS, sistem honeypot dan firewall Area keamanan yang tinggi dengan kecilnya jumlah traffic yang tidak terdefinisi/sah serta terfilter dengan baik b. Kasus kedua
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

Statement diatas menunjukkan bahwa terdapat proses request akses layanan web dari klien ke server. Untuk mendeteksi intrusi, awalnya dilakukan pengujian seperti : Mengeksekusi aplikasi Dilakukan melalui perintah(bertanda merah) : GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

28

 Menguji parameter aplikasi berupan nama GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png Menguji parameter aplikasi berupa nilai GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png Menerapkan model statistik pada setiap atribut aplikasi melalui dua fase, yaitu : Fase Pembelajaran (membangun deskripsi perilaku normal dari setiap parameter aplikasi) dan Fase Pendeteksian (mendeteksi deviasi dari deskripsi yang telah dipelajari)

BAB IV KESIMPULAN

29

Betapapun banyaknya administrator yang bertugas untuk mendeteksi atau menganalisis intrusi secara manual tidaklah efektif jika dibandingkan dengan penggunaan komponen pendeteksi intrusi seperti IDS. Meskipun demikian, tidak ada jawaban yang jelas mengenai teknik mana yang lebih baik karena masing-masing memiliki kelebihan dan kelemahan. Bukan IDS yang mengamankan suatu organisasi, tetapi orang-orang yang memanagenya Untuk mencapai tingkat keamanan yang maximum, maka sebaiknya kita memadukan kedua teknologi keamanan yaitu IDS dan
Firewall.

30