kerusakan jaringan oleh pengganggu sebelum pengrusakan dilakukan, layanan ditolak, atau hilangnya data. IDS mengawasi sebuah paket yang melintasi jaringan anda dan mengambil tindakan jika tergolong penyusupan. Dasarnya adalah daftar deskripsi jenis paket yang menunjukkan sistem di bawah serangan atau deskripsi serangan yang telah terjadi. Sistem deteksi intrusi memberikan pertahanan pertama yang sangat penting dalam menghadapi penyusupan. Jika penyusup berusaha masuk ke server jaringan, mungkin dapat ditemukan bukti dalam sistem log, meskipun hacker pintar akan menghapus files log. Host sistem deteksi intrusi mengamati aktivitas yang tidak layak pada setiap sistem. Jika penyusup berusaha mengganggu server yang sama menggunakan serangan fragmentasi, mungkin dapat diketahui apa yang terjadi dengan melihat log. Meskipun terlalu optimis untuk berbicara tentang deteksi intrusi pada waktu nyata, peran IDS sebagai pendeteksi serangan awal sangat penting. Sebelum terjadi kerusakan dapat dilakukan pencegahan dan mengirimkan pemberitahuan kepada pengguna dan basis data yang aman.

2.2.1 KONSEP IDS

Di bawah ini dijelaskan konsep dasar dan hubungan yang penting untuk menjalankan IDS.

a. False Positives dan False Negatives

 False positives adalah alert yang ditimbulkan oleh IDS karena dirasakan telah terjadi serangan pada sistem yang diawasi, tetapi serangan tidak benar-benar terjadi. False positives merupakan masalah, karena peringatan yang diciptakan dapat menyembunyikan serangan yang sebenarnya, dan menggiring pada usaha penangkapan terhadap serangan yang tidak pernah terjadi.  False negatives adalah serangan yang lolos dari IDS dan tidak menghasilkan peringatan. IDS bisa gagal karena jenis serangan tidak dikenali, kelebihan beban atau karena penyerang telah berhasil Universitas Sumatera Utara menggunakan metode untuk menghindari IDS.

b. Deteksi Signature dan Deteksi Anomali

4. Deteksi Signature. IDS yang menggunakan deteksi signature pada lalu lintas jaringan mencocokkan lalu lintas jaringan dengan daftar signature serangan. Signature merupakan bit dan bagian-bagian dari serangan yang harus di lihat IDS untuk paket yang baru datang dan di tandai sebagai paket penyusupan. Kekurangan deteksi signature, hanya bisa mendeteksi serangan yang sudah terdapat sebelumnya, untuk serangan baru kemungkinan akan gagal. Deteksi signature IDS yang baru lemah pada false negatives tapi tidak pada false positives. 5. Deteksi Anomali. IDS yang mendeteksi berdasarkan anomali bekerja dengan cara yang berbeda. Sistem ini mempelajari lalu lintas yang “normal” pada jaringan dan kemudian akan memberikan alert pada kondisi “abnormal”. Kekurangan dari sistem ini adalah kondisi yang berbeda bisa saja dianggap abnormal, jadi IDS deteksi anomali yang baru sangat lemah akan false positives tetapi tidak halnya pada false negatives. Beberapa IDS menggunakan deteksi signature, dan yang lain deteksi anomali atau bahkan keduanya. Snort menggunakan deteksi signature.

c. NIDS Network Intrusion Detection System dan HIDS Host Intrusion Detection System

 NIDS Network IDS menganalisa paket yang datang ke dalam suatu jaringan jika terdapat tanda-tanda intrusi. NIDS melakukan hal-hal berikut: NIDS menganalisa lalu lintar jaringan untuk mendeteksi serangan, menggunakan deteksi signature, anomali atau keduanya. Hal ini karena kartu jaringan berjalan pada modus promiscuous, yang berarti kartu jaringan menangkap semua paket yang datang bukan hanya paket yang ditujukan untuk IDS itu sendiri. Menghasilkan alert untuk memperingatkan jika terjadi serangan dengan tepat waktu. Menghasilkan log yang dapat digunakan dalam menganalisa kegiatan serangan biasanya Universitas Sumatera Utara setelah serangan terjadi. NIDS dapat disebarkan ke bagian-bagian yang berbeda pada infrastruktur jaringan, tidak hanya pada satu console.  Berbeda dengan NIDS yang mengawasi seluruh lalu lintas pada suatu jaringan, HIDS, IDS berbasiskan host hanya mengawasi intrusi pada host tertentu. HIDS dalam prosesnya melakukan hal-hal berikut : ◦ HIDS mengawasi lalu lintas jaringan yang masuk menggunakan deteksi anomali dan signature. Biasanya kartu jaringan yang dijalankan tidak diatur pada modus promiscuous. ◦ HIDS memeriksa log sistem untuk melihat penyusupan, seperti usaha login tidak sah yang berkali-kali. ◦ HIDS memeriksa integritas file sistem. Hal ini tidak terkait dengan isi paket pada suatu file, tetapi lebih kepada sudah dimodifikasi atau belum suatu file. Pemeriksaan integritas juga dapat digunakan untuk mengetahui jika file tersebut telah diciptakan atau dihapuskan. Hal ini sangat berguna untuk mendeteksi jika backdoor atau trojan sudah diinstall pada sistem.

2.3 SNORT IDS