5. Sumber informasi
IDS ini dibedakan menurut sumber daya yang diperoleh. Terminologi ini sering digunakan untuk membagi jenis-jenis
IDS. Jenis-jenis IDS menurut terminologi ini di antaranya :
2.12.1.1 Host-Based : IDS memperoleh informasi dari
sebuah sistem
komputer. Host-based
IDS memperoleh informasi dari data yang dihasilkan
oleh sistem pada sebuah komputer yang diamati. Data host-based IDS biasanya berupa log yang
dihasilkan dengan memonitor sistem file event, dan keamanan pada Windows NT dan syslog pada
lingkungan sistem operasi UNIX. Saat terjadi perubahan pada log tersebut maka dilakukan
analisis apakah sama dengan pola serangan yang ada pada basis data IDS.
Gambar 2.3 Host-Based IDS Ariyus: 2007
Teknik yang sering digunakan pada host- based IDS adalah dengan melakukan pengecekan
pada kunci file sistem dan file eksekusi dengan checksum pada interval waktu tertentu untuk
mendapatkan perubahan yang tidak diharapkan unexpected changes. Pewaktuan atas respons
berkolerasi dengan
interval waktu
yang didefinisikan
untuk melakukan
polling pengumpulan data.
Host-based IDS tidak secepat network-based IDS dalam mendeteksi adanya serangan. Host-
based IDS memiliki beberapa kelebihan yang tidak dapat dimiliki network-based
IDS. Kelebihan tersebut termasuk analisis forensic yang lebih kuat,
fokus terhadap sebuah host, dan lainnya. Beberapa kelebihan host-based IDS itu sendiri
antara lain : a. Menguji keberhasilan atau kegagalan serangan.
Karena sistem ini menggunakan logs berisi event yang telah terjadi, sehingga dapat diukur
apakah serangan telah berhasil atau tidak dengan akurasi yang lebih tinggi dibanding
dengan network-based IDS. Metode ini menjadi sebuah komplemen yang baik untuk network-
based IDS. b. Memonitor aktivitas sistem tertentu. Sistem ini
memonitor aktivitas pengguna dan akses terhadap file, termasuk pengaksesan file,
penggantian atribut file, percobaan untuk instalasi file eksekusi baru dan atau percobaan
untuk mengakses service privileged. c. Mendeteksi serangan yang lolos dari network-
based IDS. Host-based
IDS mendeteksi serangan yang tidak dapat dikenali oleh
network-based IDS. Sebagai contoh adalah serangan melalui sistem lokal yang tidak
melalui jaringan. d. Cocok untuk lingkungan encrypt dan switch.
Pada perusahaan yang besar biasanya digunakan enkripsi dalam komunikasi data dan untuk
mempercepat komunikasi digunakan dengan tipe switch sehingga sulit bagi network-based
IDS untuk mengenali serangan dan memerlukan overhead untuk membaca paketnya.
Beberapa kelemahan dari host-based di antaranya adalah :
a. Manajemen yang rumit, informasi harus dikonfigurasi untuk setiap host yang ada.
b. Sedikit sumber informasi dan kadang, bagian dari analisis engine, karena host-based berada
pada host yang menjadi target suatu serangan. Jika suatu IDS host-based dilumpuhkan oleh
penyerang maka penyerang bisa mendapatkan akses terhadap host tersebut.
c. Host-based tidak cocok untuk mendeteksi
jaringan atau melakukan monitoring terhadap suatu jaringan karena IDS hanya memonitor
paket yang diterima pada host tersebut. d. Host-based dapat dilumpuhkan oleh serangan
denial of service.
2.12.1.2 Network-based : IDS memperoleh informasi dari