INTRUSION DETECTION SYSTEM

BERDASARKAN ANOMALY PADA PACKET

HEADER

Yohanes Khosasi 5108100610

Dosen Pembimbing :

Wahyu Suadi, S.Kom, MM, M.Kom.

Ary Mazharuddin Shiddiqi, S.Kom, M.Comp.Sc.

LATAR BELAKANG

• Perlunya suatu alat pendeteksi

penyusupan/serangan pada jaringan

• Banyaknya IDS yang berbasis signature

TUJUAN

• Membuat aplikasi untuk mengenali gangguan

pada suatu jaringan dengan menggunakan

metode anomali

PERMASALAHAN

• Bagaimana melakukan capture data packet

header yang lewat pada jaringan secara live

• Bagaimana mengubah data binary menjadi data yang lebih mudah dibaca

• Bagaimana menentukan metode analisis dan cara mengolah data sehingga dapat dikenali sebagai serangan atau bukan

• Bagaimana membangun aplikasi IDS berbasis anomaly

BATASAN MASALAH

• Aplikasi hanya melakukan capture pada network yang aktif

• Terdapat jeda waktu antara data yang dicapture sehingga dapat ditentukan sebagai serangan atau bukan

• Packet header yang dianalisis IPv4

• Berjalan pada OS windows

• Menggunakan bahasa C/C++ dalam membuat aplikasi

IDS• NIDS (Network based IDS) : menganalisa lalu

lintas pada jaringan

• HIDS (Host based IDS) : memantau pada host

individu

Arsitektur IDS

• Attack detection IDS

Arsitektur IDS

• Intrusion detection IDS

Arsitektur IDS• IDS pada internal network

Desain sistem

Implementasi• Packet capture

Implementasi

• Preprocessing data

Implementasi

• Analisis data

Uji coba

• Uji coba secara offline

– Dengan 5% serangan

– Dengan 20%serangan

• Grafik tingkat keberhasilan

0

10

20

30

40

50

60

70

80

50 500100

interval

% k

eb

erh

asi

lan

Uji coba• Uji coba secara online

– Tanpa learning

– Dengan learning

Uji coba

• Perbandingan ujicoba dengan 2 komputer

KESIMPULAN

• Pengenalan aplikasi terhadap serangan akan lebih bagus apabila menggunakan data training yang baik

• Aplikasi akan mendeteksi anomali secara maksimal apabila menggunakan interval 100

• Pendeteksian akan lebih maksimal bila menggunakan data yang terdiri dari data normal yang mayoritas dan data serangan yang minoritas (+ 5% attack)

• Waktu analisis menggunakan komputer pertama sebesar 28 detik, lebih cepat bila dibandingkan dengan komputer kedua yaitu sebesar 90 detik

SARAN

• Peningkatan akurasi dalam mengenali

serangan dapat dilakukan dengan

memadukan unsur hybrid, yaitu gabungan

penggunaan rule, database, dan anomaly

• Peningkatan kemampuan pada vector dan

array serta metode pembacaan jasil capture

yang lebih singkat untuk mempercepat waktu

analisis

Terima Kasih