Pre-filtering paket untuk adaptif sistem intrusion detection system

Internet dapat sangat beresiko karena kurangnya keamanan, oleh karena itu, sangat penting untuk mengamankan semua kegiatan yang berhubungan dengan Internet. Untuk tujuan ini, sistem deteksi intrusi atau intrusion detection system (IDS) adalah alat keamanan internet yang sangat diperlukan. IDS mendeteksi pola kode yang berpotensi berbahaya, dan selanjutnya memungkinkan untuk menghapuskan atau mencegah ancaman tersebut. Disisi lain, ketika jaringan komputer menjadi lebih kompleks, dan kecepatannya meningkat, maka seiring dengan kenaikkan pengguna yang semakin banyak, jumlah kejahatan dan serangan yang dilakukan terhadap pengguna internet juga meningkat. Akibatnya, tugas deteksi intrusi (IDS) menjadi lebih kompleks dan lebih penting.

Berbagai macam type IDS telah diusulkan untuk mendeteksi dan menggagalkan serangan dalam sistem dan jaringan komputer. IDS dapat diklasifikasikan sebagai deteksi berbasis Signature (tanda unik) dan deteksi berbasis anomali. Deteksi berbasis signature atau tanda unik  membandingkan aliran paket dengan tanda unik serangan yang sudah diketahui, tetapi tidak dapat mendeteksi serangan zero-day attack yang belum diketahui tanda uniknya. Sementara itu deteksi anomali dapat mengidentifikasi serangan baru berdasarkan penyimpangan dari operasi “normal”, kondisi normal ini didapatkan dari rangkuman history penggunaan internet sehari hari. Tetapi sulit untuk menentukan kondisi normal tersebut. Mendefinisikan kondisi normal yang buruk atau tidak baik dapat menghasilkan tingkat positif palsu dan negatif palsu yang tinggi.

Saat ini pengembangan IDS masih banyak mendapatkan tantangan dan belum dapat diterima secara luas, terutama dalam konteks ancaman yang berkembang dan lingkungan jaringan yang berubah. Oleh karena itu, IDS digunakan sebagian besar di sistem akhir atau host yang mempunyai kecepatan data yang jauh lebih lambat dibanding dengan kecepatan pada back bone, serta pada host hanya memerlukan perlindungan yang terbatas. Oleh karena itu, sangat bermanfaat untuk menyebarkan IDS di dalam jaringan komputer (misalnya, router) untuk memberikan perlindungan yang lebih baik. Metode ini sangat penting mengingat perluasan jaringan untuk menggabungkan sensor, perangkat nirkabel seluler, dan sistem akhir lainnya yang memiliki kendala sumber daya dan tidak dapat menjalankan fungsi keamanan yang kompleks.

Untuk itu kami telah merancang dan mengusulkan IDS berkinerja tinggi dan hemat memori dengan kemampuan untuk beradaptasi dengan serangan yang baru ditemukan setelah tanda uniknya diidentifikasi. Karena arsitektur berbasis memorinya yang sederhana, sistem kami dapat dengan mudah dikonfigurasi ulang untuk pola serangan baru. Namun, pada tulisan ini tidak membahas pembuatan tanda unik serangan baru. Terlepas dari apakah tanda unik (signature) baru diperoleh dari pembuatan manual yang lambat atau pendekatan otomatis, sistem kami masih dapat dengan mudah beradaptasi dengan tanda unik baru ini melalui kemampuan program yang sangat baik. Gambar dibawah ini mengilustrasikan struktur internal arsitektur sistem kami. Pattern Matching Engine (Mesin pencocokan pola) membandingkan paket yang masuk dengan tanda unik serangan yang sudah diketahui.

Gambar dibawah dapat dibagi menjadi dua bagian yang dapat dijelaskan sebagai berikut:

• Pattern Matching Engine atau Mesin Pencocokan Pola. Fungsi dasar dari mesin pencocokan pola adalah untuk membandingkan paket yang masuk dengan serangan yang sudah diketahui. Pra-filter dapat dengan cepat menyaring paket bersih dengan nol false negatif. Pemverifikasi didasarkan pada deterministic finite automata (DFA) berbasis memori yang sangat hemat sumber daya dan berkinerja tinggi.
• Pattern Compiler. Tujuan dari kompiler pola adalah untuk mengonfigurasi mesin pencocokan pola menggunakan memori yang minimum dengan kinerja setinggi mungkin. Peran dasar penyusun pola adalah pengoptimalan DFA, penyandian status, dan pemilihan perwakilan pra-filter. Untuk mengoptimalkan kinerja mesin pencocokan pola, kompiler pola kami didasarkan pada sekelompok ide baru: state collapsing, pemisahan DFA, dan pengkodean status karakter.

Gambar system arsitektur

Sistem kami, seperti yang ditunjukkan pada gambar diatas, menggunakan berbagai novel Optimalisasi DFA dan pra-filter paket yang membuat operasi deteksi intrusi lebih efisien. Masing-masing komponen dapat dijelaskan sebagai berikut :

1. Kami memperkenalkan pra-filter paket, yang memanfaatkan bahwa pada kenyataannya sebagian besar paket tidak berbahaya. Pra-filter ini akan memiliki false negative sebesar nol dan secara signifikan akan mengurangi beban kerja verifikator.
2. Mesin pemverifikasi kami menggunakan teknik pengkodean baru disebut ”character aware”. Program atau koding dari character aware ini membutuhkan satu entri dalam memori untuk setiap DFA status dan hanya satu pencarian memori untuk mengidentifikasi yang berikutnya. Oleh karena itu pengkodean atau koding dari character aware ini hanya membutuhkan satu pencarian memori untuk menentukan keadaan berikutnya, dan oleh karena itu, tidak ada perangkat keras khusus yang yg dibutuhkan.

Untuk lebih detail dapat mendownload dan membacanya di tautan berikut https://www.sciencedirect.com/science/article/abs/pii/S1389128610003749