4.16.2 Analisa Data BASE Basic analysis and security engine

Pada Sub bab ini penulis akan menjelaskan proses analisis data kejadian melalui fungsionalitas BASE. Berikut ini adalah langkah analisa BASE : Gambar 4.31 Halaman Utama BASE Pada gambar 4.31 halaman utama BASE, kuadran sisi kiri atas terdapat link yang menjelaskan sejumlah informasi seperti alert yang terjadi hari ini, 24 jam terakhir dan 72 jam terakhir yang dapat di tampilkan berdasarkan parameter unique, listing, alamat IP berdasarkan sumber dan tujuan. Pada kuadran sisi kanan terdapat informasi search dimana pencarian berdasarkan waktu, jam, dan bulan. Pada graph alert data menjelaskan informasi berdasarkan grafik alert dan pada graph alert detection time grafik berdasarkan waktu yang sudah di konfigurasi. Pada kuadran kanan bawah menginformasikan traffic profile by protocol traffic berdasarkan protokol, dan pada kuadran kiri bawah menginformasikan jumlah sensor, alert unik, jumlah alert, alamat IP berdasarkan sumber, tujuan dan unik alert. Pada traffic profile by protocol dilihat dari protokol TCP dan Portscan traffic terjadi peningkatan sinyal berwarna merah yaitu pada protokol TCP terjadi presentase alert sebesar 69 dan pada portscan traffic presentase sebesar 31. Penulis memanfaatkan fitur grafik pada BASE Basic Analysis and Security Engine untuk menginformasikan alamat IP sumber dengan jumlah alert yang dihasilkan. Berikut hasilnya pada tampilan diagram batang Bar chart memiliki presentase alert sebesar 78,7 pada alamat IP 10.3.4.223, presentase alert sebesar 4,9 pada alamat IP 10.3.4.224 dan presentase alert sebesar 16,4 pada alamat IP 68.180.217.33 dari jumlah alert yang paling terdeteksi oleh mesin sensor IDS. Seperti pada gambar 4.32. Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert Pada gambar 4.33 fitur yang menampilkan profil traffic by protocol yaitu protokol TCP, BASE menginformasikan sejumlah alert dan log pada protokol TCP. Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP Terlihat pada daftar alert berdasarkan protokol TCP yaitu informasi dari kiri ke kanan adalah informasi identitas alert, informasi signature yang tergenerate, timestamp waktu terjadinya alert, alamat IP sumber, alamat IP tujuan target dan protokol yang digunakan. Dimana ID nomor 1 1-3 dengan signature snort dengan nama ssh Protocol mismatch, waktu tahun 2010 bulan 05 tanggal 24 pukul 06:04:44 dengan alamat IP sumber 10.3.4.223 dengan tujuan target 10.3.4.221 pada protokol TCP. Pada gambar 4.34 adalah Detail rincian dari setiap kejadian pada mesin sensor IDS, dimana BASE mempresentasikan secara rinci komponen dari traffic alert yang meliputi : metadata terdiri dari nomor ID yaitu 1 dengan waktu 2010-05-24 05:31:05 dengan signature snort_decoder : TCP Window Scale Option Scale Invalid 14 lebih dari 14 time to live. Pada sensor terdiri dari alamat sensor yaitu easyids, interface pada Ethernet 1, Filter tidak ada. Pada informasi protocol IP terdapat alamat sumber yaitu 10.3.4.223 dengan tujuan 10.3.4.221 version IP address adalah IP version 4, pada header length panjang header 20 dan length 60, ID 26596, Time To Live 56 dan checksum 64790= 0xfd16. Pada informasi protocol TCP adalah sumber port dan tujuan port yaitu 33069 dan 30170. Gambar 4.34 Detail Profile Traffic Alert

4.16.3 Solusi Mengatasi Serangan Ping Attack dan Port Scanning