Beberapa kelemahan dari host-based di antaranya adalah : a. Manajemen yang rumit, informasi harus dikonfigurasi untuk setiap host yang ada. b. Sedikit sumber informasi dan kadang, bagian dari analisis engine, karena host-based berada pada host yang menjadi target suatu serangan. Jika suatu IDS host-based dilumpuhkan oleh penyerang maka penyerang bisa mendapatkan akses terhadap host tersebut. c. Host-based tidak cocok untuk mendeteksi jaringan atau melakukan monitoring terhadap suatu jaringan karena IDS hanya memonitor paket yang diterima pada host tersebut. d. Host-based dapat dilumpuhkan oleh serangan denial of service.

2.12.1.2 Network-based : IDS memperoleh informasi dari

paket-paket jaringan yang ada. Network-based IDS menggunkan raw packet yang ada di jaringan sebagai sumber datanya. Network-based IDS menggunakan network adapter sebagai alat untuk menangkap paket-paket yang akan dipantau. Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket- paket yang ada yang berjalan di jaringan. Gambar 2.4 Network-Based IDS Ariyus, 2007 Beberapa cara yang digunakan untuk mengenali serangan pada Network-based IDS ini antara lain : a. Pola data, ekpresi atau pencocokan secara bytecode. b. Frekuensi atau pelanggaran ambang batas. c. Korelasi yang dekat dengan sebuah event. d. Deteksi anomaly secara statistic. Network-based IDS memiliki kelebihan yang tidak dapat diberikan oleh IDS yang lain. Di bawah ini beberapa kelebihan dari Network-based IDS : a. Biaya yang lebih rendah. Network-based IDS memungkinkan pengawasan yang strategis pada titik akses yang kritis untuk menampilkan network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host. Karena kebutuhan titik deteksi yang lebih sedikit, maka biayanya lebih rendah. b. Deteksi serangan yang tidak terdeteksi oleh Host- based IDS. Sistem ini memeriksa semua packet header untuk mencari aktivitas yang mencurigakan. Beberapa serangan yang tidak dapat dideteksi oleh Host-based IDS adalah IPbased DoS dan Fragmented Packet Tear Drop. Serangan tersebut dapat diidentifikasi dengan membaca header dari paket yang ada. Kekurangan dari Network –based IDS adalah sebagai berikut : a. Network-based IDS sulit untuk memproses semua paket yang besar dan jaringan yang sibuk sehingga akan gagal dalam mendeteksi serangan yang terjadi jika suatu jaringan sangat sibuk aktivitas yang tinggi. Beberapa dari vendor IDS mencoba memecahkan masalah ini dengan menerapkan IDS dalam perangkat keras, yang mana bisa mendeteksi serangan dalam lalu-lintas yang sibuk sekali. b. Banyak keuntungan IDS tidak berlaku untuk jaringan yang menggunakan metode switch- based yang lebih modern. c. Network-based IDS tidak bisa menganalisis paket yang telah dienkripsi. d. Kebanyakan network-based IDS tidak bisa memberitahukan apakah suatu serangan telah berhasil mendapatkan sistem, hanya dapat memberitahukan bahwa serangan sedang terjadi. Network-based IDS hanya memberitahukan ke administrator bahwa serangan telah terjadi dan administrator akan melakukan pemeriksaan secara manual untuk mencari kemungkinan host mana yang terserang. e. Banyak dari network-based IDS mempunyai masalah bila berhadapan dengan serangan yang menggunakan paket fragmentasi. Paket seperti ini menyebabkan suatu network-based IDS menjadi tidak stabil dan crash. Salah satu contoh dari network-based adalah snort. Snort merupakan suatu NIDS Network-base Intrusion Detection System. Snort merupakan suatu program yang berfungsi untuk memeriksa data-data yang masuk dan melaporkan ke administrator apabila ada “gerak-gerik” yang mecurigakan. Bekerja dengan prinsip program sniffer, yaitu mengawasi paket-paket yang melewati jaringan. Snort merupakan suatu NIDS Network-based Intrusion Detection System. Sebuah NIDS akan memperhatikan seluruh segmen jaringan tempat dia berada, berbeda dengan host-based IDS yang hanya memperhatikan sebuah mesin software host based IDS tersebut dipasang. Secara sederhana sebuah IDS akan mendeteksi semua serangan yang dapat melalui jaringan komputer internet maupun intranet ke jaringan atau komputer yang kita miliki. Sebuah NIDS biasanya digunakan bersamaan dengan firewall. Hal ini untuk menjaga supaya snort tidak terancam oleh serangan. Respons serangan pada IDS network-based di antaranya adalah : 1. Notifikasi a. Alarm ke console b. E-mail c. SNMP Trap d. Melihat sesi yang aktif 2. Logging a. Summary Report b. Raw Network Data 3. Respons aktif a. TCP reset b. Konfigurasi ulang firewall c. User-defined. Tabel 2.3 Perbedaan NIDS dan HIDS : NIDS HIDS Ruang lingkup yang luas mengamati semua aktivitas jaringan Ruang lingkup yang terbatas mengamati hanya aktivitas pada host tertentu. Lebih mudah melakukan setup Setup yang kompleks Lebih baik untuk mendeteksi serangan yang berasal dari luar jaringan. Lebih baik untuk mendeteksi serangan yang berasal dari dalam jaringan. Pendeteksian berdasarkan pada apa yang direkam dari aktivitas jaringan. Pendeteksian berdasarkan pada single host yang diamati semua aktivitasnya. Menguji packet header Packet header tidak diperhatikan Respons yang real time Selalu merespons setelah apa yang terjadi. OS-independent OS-specific Mendeteksi serangan terhadap jaringan serta payload untuk di analisis Mendeteksi serangan local sebelum mereka memasuki jaringan. Mendeteksi usaha dari serangan yang gagal Menverifikasikan sukses atau gagalnya suatu serangan. Sumber Ariyus, 2007

2.12.1.3 Distrubusi Intrusion Detection System