Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

com

Sebuah studi perbandingan IDS Open Source menurut mereka

Kemampuan untuk Mendeteksi Serangan

Ossama Bouziani Achraf Samir Chamkar Saiida Lazaar

Hafssa Benaboud Perlindungan Data TIM ERMIA, ENSA dari Tangier,
IPSS, FSR, Universitas Mohammed V Casablanca, Maroko Universitas Abdelmalek Essaadi
Rabat, Maroko asamir@dataprotect.ma Tangerang, Maroko
ossama.bouziani94@gmail.com slazaar@uae.ac.ma
hafssa.benaboud@um5.ac.ma

ABSTRAK
Dalam makalah ini, kami fokus pada peran penting sistem deteksi intrusi untuk
mendeteksi tindakan tidak sah yang dimulai dari jaringan internal dan
eksternal dengan mengumpulkan dan memantau lalu lintas jaringan. Kami
memberikan studi tentang open source Next-Generation of IDS (SNORT,
SURCATA, BRO). Kami menguji dan membandingkan kemampuan mereka
(SNORT, SURICATA dan BRO) dalam literatur dan produksi dalam hal
deteksi malware canggih dan kegigihan terhadap teknik
penghindaran termasuk pemisahan paket, penyisipan ganda, DOS
dan mutasi kode shell.
Makalah kami disusun sebagai berikut. Bagian 2 membahas beberapa pekerjaan

untuk mendeteksi serangan dan kinerja dengan mengimplementasikan ketiga terkait. Kami memberikan detail percobaan kami di bagian 3. Pengujian dan hasil

IDS secara terpisah. kami diberikan di bagian 4. Kami meringkas dan mendiskusikan hasil kami di bagian
5, dan kami menyimpulkan makalah ini di bagian 6.

KONSEP CCS
• organisasi sistem komputer→Sistem tertanam;Redundansi;
Robotika; •Jaringan→ Keandalan jaringan.
KATA KUNCI
Sistem Deteksi Intrusi; Malware; Serangan; MENDENGUS; SURI-CATA;
KAWAN; Keamanan jaringan
Format Referensi ACM:
Ossama Bouziani, Hafssa Benaboud, Achraf Samir Chamkar, and Saiida Lazaar.
2019. Studi Perbandingan IDS Sumber Terbuka menurut Kemampuannya
untuk Mendeteksi Serangan. Di dalamJaringan, Sistem Informasi & Keamanan
(NISS19), 27–29 Maret 2019, Rabat, Maroko.ACM, New York, NY, AS, 5 halaman.
https://doi.org/10.1145/3320326.3320383
1. PERKENALAN
Frekuensi tindakan jahat terhadap sistem informasi meningkat dalam
beberapa tahun terakhir, dan keamanan sistem informasi menjadi sulit
karena alat penyerang baru dan keterampilan penyerang, yang dapat
membahayakan sistem informasi dan menyebabkan kerugian finansial
dan material yang sangat besar.
Untuk menghadapi ancaman, sistem informasi modern
menyertakan alat keamanan seperti, antivirus, mekanisme kontrol
akses, sistem deteksi intrusi, dll. Sistem ini menerapkan kebijakan
keamanan yang diadopsi dan memastikan Kerahasiaan,
Ketersediaan, dan Integritas sistem.
Makalah ini akan mengevaluasi tiga IDS generasi mendatang yang paling banyak digunakan
Izin untuk membuat salinan digital atau hard copy dari semua atau sebagian dari karya ini untuk penggunaan
pribadi atau ruang kelas diberikan tanpa biaya asalkan salinan tidak dibuat atau didistribusikan untuk keuntungan
atau keuntungan komersial dan salinan memuat pemberitahuan ini dan kutipan lengkap pada halaman pertama .
Hak cipta untuk komponen karya ini dimiliki oleh orang lain selain ACM harus dihormati. Mengabstraksi dengan
kredit diperbolehkan. Untuk menyalin sebaliknya, atau menerbitkan ulang, untuk memposting di server atau
untuk mendistribusikan ulang ke daftar, memerlukan izin khusus sebelumnya dan/atau biaya. Minta izin dari
permissions@acm.org .
NISS19, 27–29 Maret 2019, Rabat, Maroko
© 2019 Asosiasi Mesin Komputasi. ACM ISBN
978-1-4503-6645-8/19/03. . .$15.00 https://
doi.org/10.1145/3320326.3320383
2 PEKERJAAN TERKAIT
Next Generation Intrusion Detection Systems (NGIDS) menyediakan
teknik yang efektif untuk mendeteksi dan mencegah intrusi. NGIDS
terutama dirancang untuk melindungi ketersediaan, kerahasiaan, dan
integritas sistem jaringan. Ada banyak penelitian perbandingan antara
IDS untuk menunjukkan kinerja mereka. Pada [14], penulis menyelidiki
kinerja SNORT, SURICATA dan BRO dengan mengubah jumlah peringatan
dan menggunakan lalu lintas normal dan lalu lintas berbahaya yang
berisi serangan DNS, serangan dos/ddos, serangan ftp, serangan icmp,
serangan imap pop3, serangan pemindaian , serangan snmp, serangan
telnet/ssh. untuk mengamati jumlah paket yang dijatuhkan, kebutuhan
sumber daya dan jumlah peringatan yang dihasilkan oleh SNORT,
SURICATA dan BRO.
Dalam karya lain, penulis di [15] membandingkan SNORT, SURICATA dan
BRO dalam hal evaluasi kinerja (utilisasi cpu dan utilisasi ram) dengan
menggunakan serangan Hail Mary dan membandingkan jumlah
peringatan yang dihasilkan oleh SNORT, SURICATA dan BRO.
Eugene Albin dalam tesis masternya [16] membandingkan SNORT dan
SURICATA dalam hal kinerja pemanfaatan cpu, pemanfaatan ram dan
tingkat deteksi dengan menggunakan alat pytbull yang ada yang
merupakan alat evaluasi IDS.
Pekerjaan kami berbeda dari upaya sebelumnya karena kami fokus pada
tingkat deteksi dari ketiga id untuk mengetahui kegigihan mereka terhadap
teknik penghindaran termasuk mutasi muatan, mutasi kode Shell, Dos,
pemisahan paket dan kemampuan mereka untuk mendeteksi malware
canggih. Tujuan dari tulisan ini adalah untuk membandingkan ketiga IDS
dalam hal kemampuannya mendeteksi berbagai jenis intrusi. Tetapi kami
menemukan bahwa adalah hal yang baik untuk mengingat juga perbandingan
mereka dalam hal fungsi umum mereka. Kami meringkas beberapa fitur dari
IDS ini pada tabel 1 yang menghasilkan perbedaan antara SNORT, SURCATA
dan BRO dalam hal fungsi utama. fitur-fitur ini dikumpulkan dari berbagai
dokumen yang tersedia dalam literatur.
NISS19, 27–29 Maret 2019, Rabat, Maroko Bouziani dan Benaboud, dkk.

Tabel 1: Perbandingan BRO, SURICATA dan SNORT dalam hal fungsi umum.

Kegunaan KAWAN SURICATA MENDENGUS

Aturan Aturan BRO, skrip Bro mirip Menggunakan aturan dari ancaman Menggunakan aturan dari VRT t dan tidak
dengan struktur bahasa c ++, yang muncul dan VRT, skrip Lua, mendukung semua aturan dari Ancaman
aturan Snort dengan Kemungkinan menggunakan pullpork yang muncul Kemungkinan menggunakan
menggunakan skrip snort2bro untuk manajemen aturan pullpork untuk manajemen aturan

penggunaan RAM [21] Rendah. Tinggi. Sedang.

Paket yang Dijatuhkan [21]
MultiCPU
fungsionalitas IPS
Dukungan IPV6
Instalasi dan konfigurasi
Kompatibilitas dengan OS.
Rendah.
Gan pakai multiple processor dengan
menyediakan yang "worker" based.
BRO hanya menyediakan fungsionalitas
pencegahan intrusi terbatas, skripnya
dapat menjalankan program sewenang-
wenang, yang digunakan secara
operasional untuk menghentikan koneksi
TCP yang salah.
Ya
Pengguna mungkin mengalami
masalah selama instalasi karena paket
yang hilang dan tidak kompatibel. -
Dokumentasi tidak lengkap.
standar Linux, FreeBSD, dan
platform MacOS.
Sedang. Tinggi di jaringan besar.
Suricata menggunakan banyak CPU Prosesor INTI tunggal
Intrusi Pencegahan dengan SNORT Inline mendukung kata kunci
NFQUEUE. aturan baru untuk memungkinkan
pencocokan lalu lintas aturan dibatalkan,
sehingga mengubah SNORT menjadi
Sistem Pencegahan Intrusi (IPS).
Ya Ya
Mudah diinstal dan dikonfigurasi, Dokumentasi lengkap di
Dengan mengikuti panduan instalasi, www.SNORT.com.
SURCATA dapat diinstal dengan paket-
paket yang dibutuhkan.
Windows, UNIX, Mac OS. Portabel (Linux, Windows,
MacOS X, Solaris, BSD, IRIX,
Tru64, HP-UX, dll.).

3 PERCOBAAN offline dengan menggunakan malware canggih.

Pada bagian ini, kami memberikan implementasi SNORT, SURCATA dan
BRO. Kami menggunakan dua host untuk simulasi intrusi, mesin target
(Windows XP) dan mesin penyerang (Kali linux). Ketiga IDS dievaluasi
secara individual. Gambar 1 memberikan topologi percobaan kami. Kami
menjaga topologi tetap terbuka tanpa firewall atau teknik pertahanan
lainnya untuk mengamati reaksi dari berbagai IDS dan membandingkan
kemampuan mereka untuk mendeteksi berbagai jenis serangan.
Semua aturan untuk SNORT dan SURCATA aktif kecuali kategori hapus.
Semua kebijakan untuk BRO aktif. Untuk analisis on-ligne kami
mensimulasikan serangan nyata dengan mempertimbangkan mesin
windows xp sebagai target dan mesin kali linux sebagai penyerang. IDS
dihubungkan dengan mesin target dan penyerang melalui jaringan
khusus host di mesin virtual. Analisis off-line dilakukan dengan
meluncurkan IDS in untuk membaca pcap yang ditangkap di perusahaan
yang terinfeksi malware canggih.

Serangan dan malware dipilih dengan hati-hati untuk mengidentifikasi

perbedaan antara SNORT, SURICATA dan BRO dalam hal tingkat deteksi.

4 PERBANDINGAN IDS DALAM SYARAT

DETEKSI INTRUSI
4.1 Deteksi serangan yang diketahui
4.1.1 injeksi Sql.Injeksi sql adalah teknik untuk mengeksploitasi aplikasi web.
Serangan ini sangat berbahaya karena penyerang dapat mengekstraksi semua
informasi pengguna termasuk kata sandi, nama pengguna karena dapat
menjatuhkan atau mengubah informasi dalam database di seluruh kueri SQL.

Gambar 1: Implementasi.
Dalam pekerjaan penelitian kami, kami tidak menggunakan alat atau kumpulan data yang
ada untuk mengevaluasi ketiga IDS. Kami melakukan evaluasi dengan menggunakan simulasi
manual serangan terhadap serangan tersebut dan kami membandingkan tingkat deteksi
mereka terhadap lalu lintas nyata dari beberapa perusahaan yang terinfeksi oleh nyata
malware. Evaluasi kami dilakukan dengan menggunakan analisa on-line dengan
beberapa tools yang ada di KALI dan dengan menggunakan bahasa scapy, dan
Kami menguji deteksi kecepatan injeksi Union sql dengan SNORT,
SURCATA dan BRO. SNORT dan SURCATA telah mendeteksi serangan
injeksi sql. SNORT menghasilkan satu jenis peringatan yang dicocokkan
dari aturan pra-prosesor. SURCATA telah menghasilkan dua jenis alert
yang lebih signifikan dibandingkan dengan SNORT alert. BRO memberi
kami indeks penting untuk injeksi sql pada file "http.log" kami
menemukan permintaan.
Studi Perbandingan IDS Open Source menurut Kemampuannya untuk Mendeteksi Serangan
4.1.2 Penyertaan File Lokal, LFI.Serangan ini memungkinkan penyerang
memasukkan file di server melalui browser web, yang memungkinkan
penyerang menyuntikkan karakter path traversal dan memasukkan file lain
dari server web. Kami menguji tingkat deteksi LFI SEDERHANA DAN NULL
POINT, dan kami merangkum hasilnya dalam tabel 2.
4.2 Ketekunan terhadap teknik penghindaran
4.2.1 Mutasi muatan.Pada bagian ini, kami mengevaluasi dan
membandingkan tingkat deteksi dari ketiga IDS terhadap mutasi payload
termasuk encoding payload dan javascript obfuscation.
(1)kebingungan Javascript
Kebingungan skrip Java adalah teknik yang digunakan oleh penyerang untuk
menghindari pemfilteran pada javascript dan berhasil menyuntikkan kode
berbahaya.
Kami menguji pengkodean url skrip java untuk menghindari
karakter spesifik javascript. SNORT cocok dengan satu tanda
tangan dari tanda tangan pra-prosesor, SURICATA tidak dapat
mendeteksi kebingungan javascript, BRO memberi kami dua
indeks yang tidak lolos dalam uri dari file "weird.log" dan kolom
uri pada "http.log" yang menunjukkan permintaan uri yang
tampak tidak normal dan administrator ahli dapat menyimpulkan
bahwa itu adalah kebingungan javascript.
(2)Pengkodean muatan:
Untuk pengujian ini, kami menggunakan nikto yang memiliki banyak
teknik penghindaran seperti Random URI encoding, dan Directory
selfreference . Dalam pengujian kami, kami menguji teknik
penghindaran (Pengkodean uri acak) SNORT mencocokkan dua tanda
tangan, SURI-CATA mencocokkan 10 tanda tangan, dan di sisi lain, BRO
memberi kami banyak indeks pemindaian nikto di kolom agen
pengguna dari "http .log" dan "uri.query".
4.2.2 Pemisahan paket.Serangan pemisahan paket terdiri dari pemisahan
datagram IP atau aliran TCP menjadi fragmen atau segmen yang tumpang
tindih untuk menghindari IDS jika tidak dapat memasang kembali fragmen IP.
Misalnya, IDS mungkin mencari tanda tangan /tempat sampah/SHdalam
muatan paket, tetapi penyerang dapat membagi muatan dengan tanda tangan
menjadi dua atau lebih segmen, salah satunya berisi bagian pertama /tempat
sampahdan yang kedua berisi /SH. . Jika IPS tidak memasang kembali kedua
segmen, itu tidak akan dapat menemukan tanda tangan di salah satu segmen,
sehingga penyerang berhasil menghindari deteksi. Tabel 3 memberikan
perbandingan deteksi pemisahan paket.
4.2.3 Penolakan Layanan, DOS.Serangan penolakan layanan adalah jenis serangan
dunia maya di mana pelaku jahat bertujuan untuk membuat komputer atau
perangkat lain tidak tersedia untuk layanan yang dimaksud. Untuk serangan ini, kami
menguji kemampuan pendeteksian DOS dengan menguji beberapa jenis DOS.
(1)Pin kematian:
Ping adalah utilitas yang digunakan untuk memverifikasi konektivitas
jaringan, Prinsip ping serangan kematian adalah mengirim target
paket lebih besar dari ukuran maksimum yang diizinkan yang dapat
sebesar ukuran paket maksimum yang diizinkan sebesar 65.535 byte.
Beberapa sistem TCP/IP tidak pernah dirancang untuk menangani
paket yang lebih besar dari maksimum. Penyerang mengirimkan paket
besar berbahaya saat mesin target mencoba untuk memasang kembali
segmen yang terfragmentasi. Total melebihi batas ukuran yang
menyebabkan crash atau reboot mesin target. Kami meringkas
hasil kami dari tes ini pada tabel 4.
NISS19, 27–29 Maret 2019, Rabat, Maroko
(2)Hping syn banjir
Prinsip serangan syn flood adalah mengirimkan
permintaan TCP lebih cepat dari yang dapat diproses
oleh mesin target, yang menyebabkan kejenuhan
jaringan. adalah serangan DOS.
(3)Ftp kekerasan
Brute force adalah salah satu vektor serangan paling populer. Dalam
pengujian kami, SNORT cocok dengan 3 tanda tangan, SURICATA
cocok dengan 2 tanda tangan, di sisi lain BRO mencatat beberapa
Inappropriate_fin di dalam odd.log karena mencatat ftp sebagai
layanan yang dikenal. Administrator BRO dapat menyimpulkan bahwa
ada kekerasan ftp.
4.3 Lalu lintas buruk
Pada bagian ini kami menguji pendeteksian lalu lintas yang buruk (lalu lintas
yang tidak sesuai dengan norma rfc) oleh SNORT, SURICATA dan BRO. Kami
memberikan tes kami untuk NMAP scan xmas dan Payload scapy. Hasil
pengujian perbandingan pendeteksian trafik yang buruk dengan nmap
diberikan pada tabel 5, dan dengan scapy payload diberikan pada tabel 6.
Perhatikan bahwa dalam kasus scapy payload, SURICATA dan SNORT tidak
mendeteksi lalu lintas buruk yang dikirim oleh scapy payload . BRO mencatat
bad_ip_checksum di file weilrd.log.
4.4 Malware:
Pada bagian ini kami memberikan beberapa tes tentang deteksi malware
oleh SNORT, SURICATA dan BRO.
4.4.1 Trick bot infeksi dengan lalu lintas tor.Bot trik adalah malware yang
menargetkan bank dengan mengarahkan ulang target pada halaman berbahaya
yang meminta klien untuk memasukkan informasi kredensial di sana.
Dari perbandingan kita melihat bahwa SURICATA mencocokkan 8 tanda
tangan: yang mendeteksi unduhan PE exe atau unduhan file, Trojan yang
menggunakan sertifikat daftar hitam, sebagai penggunaan komunikasi tor
yang memberi administrator tidak hanya deteksi malware tetapi juga
penempatan malware.
SNORT hanya cocok dengan satu tanda tangan yang berarti transfer data
sensitif, tanda tangan ini tidak cukup untuk mendeteksi malware ini
karena tidak memberikan indeks penting apa pun yang memungkinkan
administrator untuk mendeteksi malware ini.
Di sisi lain, BRO memberi administrator banyak informasi yang
dapat mengarahkan administrator untuk mendeteksi malware
trickbot, seperti deteksi dos yang dapat dieksekusi dan sertifikat
dalam file "file.log" dan deteksi 3 file berbahaya yang diunduh dari
http: //185.17.122.11/worminд.pnд,
http: //185.17.122.11/meja.pnд,http: //185.17.122.11/toleran.pnд
4.4.2 Dokumen Word mendorong ransomware Hermes.Malware ini terdeteksi
dari email spam yang mengirimkan file word yang dilindungi password. Ketika
file ini dibuka oleh target dan target memasukkan kata sandi, pesan keamanan
akan meminta untuk mengaktifkan makro, dan kemudian, ransomware akan
diunduh dari web dan akan mengenkripsi semua file.
SNORT dan SURICATA cocok dengan tanda tangan yang sama kecuali
SNORT lebih cocok dengan tanda tangan pra-prosesor, artinya
NISS19, 27–29 Maret 2019, Rabat, Maroko Bouziani dan Benaboud, dkk.

Tabel 2: Perbandingan deteksi LFI sederhana.

ID Tes Tanda tangan yang dihasilkan

[119:32:1] (http_inspect)
MENDENGUS echo "GET /index.php? page=../../.. / PERMINTAAN SEDERHANA
etc/passwd HTTP/1.1\r\nHost:127 .
0.0.1\r\nUser-Agent: Mozilla/5.0 [1:1122:14] Server-WebappWEB /
SURICATA (Windows ; U; Windows NT 5.1; en- etc/passwd
US; rv:1.7.5)Gecko /20041202
Firefox/ 1.0\r\n\r\n"| nc 192.168. /index.php?page=
KAWAN 100,35 80 . . /../../etc/passwd

Tabel 3: Perbandingan deteksi pemisahan paket.

ID Tes Tanda tangan yang dihasilkan

MENDENGUS [1:2100553:8] Upaya login anonim GPL FTP
Nmap -Pn -sS -A -F 192.168.16.16 [1:2100469:4] GPL SCAN PING NMAP
SURICATA
[1:2100408:6] GPL ICMP_INFO Echo Balasan
KAWAN Pindai::Port_Scan (BRO.notice)

Tabel 4: Ping perbandingan deteksi kematian.

ID Tes Tanda tangan yang dihasilkan

MENDENGUS kirim (fragmen(IP(dst=" Tidak ada deteksi
SURICATA 192.168.16.16")/ICMP()/ Tidak ada deteksi
KAWAN ( "X"*60000)) ) Tidak ada indeks deteksi

Tabel 5: Perbandingan deteksi lalu lintas yang buruk dengan nmap.

ID Tes Tanda tangan yang dihasilkan

Pemindaian GPL nmap xmas [1:2101228: 8]
MENDENGUS
Pemindaian nmap XMAS yang dihapus [1:1228 :9]
nmap -sX -p 80 192.168.16.20
[1:2100469:4]Gpl memindai ping nmap.
SURICATA [1:2100384:6]Gpl icmp_info ping.
[1:2100408:6] Gpl icmp_info gema balasan
KAWAN terpotong_tcp_payload

Tabel 6: perbandingan deteksi lalu lintas yang buruk dengan scapy payload

ID Tes Tanda tangan yang dihasilkan

MENDENGUS Tidak terdeteksi
Kirim(IP(dst=”192.168.16.16”,
SURICATA Tidak terdeteksi
ihl=2, versi=3)/ICMP())
KAWAN Bad_Ip_checksum

transfer data sensitif di bawah jaringan, baik SURICATA dan SNORT dapat
mengidentifikasi pengunduhan file yang dapat dijalankan dari alamat IP dan
kejahatan alamat ini. Di sisi lain BRO mampu mendeteksi PE yang dapat
dieksekusi yang diunduh dari http. Itu menunjukkan kepada kami permintaan
http termasuk uri dan host web. Itu mengekstrak file exe dan memberi
administrator hash dari yang dapat dieksekusi ini. Administrator kemudian
dapat menganalisis dan melihat apa yang dilakukannya dengan tepat, baik
dengan menggunakan analisis dinamis atau statis, atau hanya memeriksa hash
terhadap kotak pasir seperti total virus, kotak pasir cucko, atau analisis hibrid.
4.5 Mutasi kode cangkang
4.5.1 Kode shell disandikan oleh shikata ga nai .Kami menggunakan msfconsole untuk
menghasilkan muatan mutasi kode shell yang disandikan dengan shikata ga nai.
SURICATA dapat mendeteksi executable portabel di jaringan tetapi ini tidak
cukup untuk mendeteksi bahwa ini adalah payload meterpreter yang
dienkripsi, Untuk SNORT, payload dapat mem-bypass SNORT sepenuhnya
karena tidak dapat mencocokkan tanda tangan apa pun dengan payload ini.
Studi Perbandingan IDS Open Source menurut Kemampuannya untuk Mendeteksi Serangan
4.5.2 Kode shell dikodekan dengan basis 64.SNORT dan SURICATA mampu
mendeteksi penggunaan executable portabel di jaringan karena mereka dapat
mendeteksi payload meterpreter. BRO tidak dapat menghapus indeks apa pun
yang dapat mengarah pada deteksi akhir kode shell.
5 RINGKASAN DAN PEMBAHASAN
HASIL
BRO IDS memberi administrator semua yang terjadi di jaringan, administrator
melakukan apa yang dia inginkan dengan log tersebut sesuai dengan kebutuhannya.
Bahasa BRO memberi BRO keunggulan yang lebih baik dibandingkan dengan SNORT
dan SURICATA karena kita dapat menulis skrip kompleks yang memungkinkan kita
mendeteksi serangan atau lalu lintas anomali yang lebih kompleks.
Untuk tingkat deteksi kami telah menyimpulkan bahwa bahkan SNORT dan
SURI-CATA menggunakan sumber tanda tangan yang sama, tetapi tanda
tangan yang cocok seringkali berbeda. Untuk mendeteksi serangan yang
diketahui, kami melihat bahwa SNORT dan SURICATA mampu mendeteksi
penyatuan injeksi sql, tetapi SURICATA lebih tepat mengenai jenis serangannya.
untuk LFI, baik SNORT dan SURICATA memiliki tanda tangan yang cocok yang
membuat administrator menyimpulkan itu adalah serangan LFI, BRO
memberikan banyak indeks yang membuat administrator menyimpulkan jenis
serangan dari gabungan LFI dan injeksi SQL. Semua IDS dapat mendeteksi
serangan yang diketahui.
Untuk teknik kegigihan terhadap penghindaran, SURICATA tidak dapat
mendeteksi kebingungan javascript, baik BRO maupun SNORT mampu
mendeteksi kebingungan javascript. Untuk pengkodean payload dengan
self-reference, kedua dari tiga IDS mampu mendeteksi serangan ini.
SURCATA dan BRO lebih tepat mengenai jenis serangannya. Untuk
pemisahan paket, keduanya mampu mendeteksi serangan. BRO dan
SNORT memiliki tingkat deteksi yang lebih baik dibandingkan SURI-CATA
terhadap teknik mutasi payload.
Tak satu pun dari ketiga IDS ini dapat mendeteksi ping kematian,
namun, untuk brute force ftp dan synflood semua IDS dapat
mendeteksinya.
Untuk lalu lintas yang buruk, SNORT, SURICATA dan BRO mampu
mendeteksi nmap xmas, tetapi SNORT lebih tepat tentang jenis pemindaian,
dan hanya BRO yang dapat mendeteksi muatan buruk yang kami tulis
menggunakan scapy. Kesimpulannya, BRO memiliki tingkat deteksi terbaik
untuk lalu lintas yang buruk.
SURCATA dan BRO mampu mendeteksi infeksi trickbot dengan
lalu lintas tor. Sebaliknya, SNORT tidak dapat mendeteksi malware
ini. Namun, kedua dari ketiga IDS mampu mendeteksi word doc
push hermes ransomware, BRO dan SURICATA memiliki tingkat
deteksi yang lebih baik terkait malware.
Untuk mutasi kode shell yang disandikan dengan shikata ga nai baik
SNORT dan SURICATA mampu mendeteksi executable portabel di
jaringan, tetapi hanya SURICATA yang cocok dengan tanda tangan yang
menunjukkan penggunaan payload meterpreter. Adapun BRO, itu
NISS19, 27–29 Maret 2019, Rabat, Maroko
dapat memberikan indeks kepada administrator untuk memastikan deteksi.
Untuk mutasi kode shell yang dikodekan dengan basis 64, BRO tidak dapat
menghasilkan indeks apa pun, sedangkan SNORT dan SURICATA mampu
mendeteksi kode shell yang dikodekan dengan basis 64. SURICATA memiliki
tingkat deteksi yang lebih baik terhadap mutasi kode shell.
6. KESIMPULAN
Dalam tulisan ini, sebuah studi perbandingan open source Next-Generation of
IDS (SNORT, SURICATA, BRO) diberikan. Kami melakukan percobaan terhadap
ketiga IDS menggunakan berbagai jenis serangan dan kami membandingkan
kemampuan mereka untuk mendeteksi serangan tersebut. Setiap IDS memiliki
kemampuannya untuk mendeteksi serangan yang berbeda dari IDS yang lain
dan dari serangan yang lain. Diskusi tentang hasil kami disajikan dalam makalah
ini untuk menunjukkan perbedaan antara IDS ini.
REFERENSI
[1] G. Nadiammai dan M. Hemalatha, "Pendekatan efektif terhadap sistem deteksi intrusi
menggunakan teknik penambangan data," Jurnal Informatika Mesir, vol. 15, tidak. 1,
hlm. 37 – 50, 2014.
[2] P. Schwab, “Sejarah Sistem Deteksi Intrusi (IDS) – Bagian 1 Threat Stack,”
2015.
[3] U. Lindqvist dan PA Porras, “Mendeteksi penyalahgunaan komputer dan jaringan melalui
perangkat sistem pakar berbasis produksi (p-best),” dalam Prosiding Simposium IEEE
1999 tentang Keamanan dan Privasi (Kat. No.99CB36344), 1999, hlm. 146–161.
[4] A. Patcha dan J.-M. Park, "Tinjauan teknik deteksi anomali: Solusi yang ada
dan tren teknologi terbaru," Jaringan Komputer, vol. 51, tidak. 12, hlm.
3448 – 3470, 2007.
[5] T.-H. Cheng, Y.-D. Lin, Y.-C. Lai, dan P.-C. Lin, "Teknik penghindaran: Menyelinap
melalui sistem deteksi/pencegahan intrusi Anda," Tutorial Survei Komunikasi
IEEE, vol. 14, tidak. 4, hlm. 1011–1020, 2012.
[6] P. PWC, “Mengelola risiko dunia maya di dunia yang saling terhubung: Temuan utama
dari survei keamanan informasi global 2015”, 2015.”
[7] Kok, Robert. 2011. Menuju Deteksi Intrusi Generasi Berikutnya. 2011.
[8] RK Meena, H Kaur, K Sharma, S Kaur, S sharma. 2018." Model Keamanan Jaringan Generasi
Selanjutnya yang Terintegrasi." 2018.
[9] A. Boiko dan V. Shendryk, "Integrasi sistem dan keamanan sistem informasi,"
Procedia Computer Science, vol. 104, tidak. Suplemen C, hlm. 35 – 42, 2017, iCTE
2016, Riga Technical University, Latvia.
[10] JT Rødfoss, "Perbandingan sistem deteksi intrusi jaringan open source,"
tesis Master, 2011.
[11] G. Nadiammai dan M. Hemalatha, "Pendekatan yang efektif terhadap sistem deteksi intrusi
menggunakan teknik penambangan data," Jurnal Informatika Mesir, vol. 15, tidak. 1, hlm. 37 – 50,
2014.
[12] Vern Paxson "BRO: Sistem untuk Mendeteksi Penyusup Jaringan Secara Real-Time", 26-29
Januari 1998
[13] Bilal Maqbool Beigh,Uzair Bashir,Manzoor Chachoo "Sistem Deteksi dan
Pencegahan Intrusi: Masalah dan Tantangan",2013
[14] Kittikhun Thongkanchorn, Sudsanguan Ngamsuriyaroj, Vasaka Visoottiviseth
"Studi Evaluasi Tiga Sistem Deteksi Intrusi di Bawah Berbagai Serangan dan
Perangkat Aturan"
[15] M. Faqih Ridho Fatah Yasin, ST, MT Yusuf Sulistyo N, ST, M.Eng “ANALISIS
DAN EVALUASI SNORT, BRO, DAN SURICATA SEBAGAI SISTEM DETEKSI
INTRUSI BERBASIS LINUX SERVER”,2014
[16] Eugene Albin "ANALISIS PERBANDINGAN SISTEM DETEKSI INTRUSI SNORT
DAN SURICATA", 2011
[17] P. Mehra, "Sebuah studi singkat dan perbandingan snort dan sistem deteksi intrusi
jaringan sumber terbuka bro," International Journal of Advanced Research in Computer
and Communication Engineering, vol. 1, tidak. 6, hlm. 383–386, 2012.
[18] “Snort - Sistem Deteksi dan Pencegahan Intrusi Jaringan.” [On line]. Tersedia:
https://www.snort.org/
[19] “Suricata | Mesin Open Source IDS / IPS / NSM.” [On line]. Tersedia: https://
suricata-ids.org/
[20] “Bro Manual — Dokumentasi Bro 2.5.1.” [On line]. Tersedia: https://
www.bro.org/sphinx/
[21] M. Pihelgas, R. Vaarandi, "Analisis komparatif sistem deteksi intrusi
sumber terbuka," Tesis Master, Universitas Teknologi Tallinn , 2012.