EVALUASI DAN PERBANDINGAN KINERJA SISTEM TRAFFIC
MONITORING DAN SENSOR DETEKSI KEAMANAN INTERNET PADA MATA GARUDA, SNORT DAN SURICATA 1
Alvin Prayuda Juniarta Dwiyantoro, 2Muhammad Salman
Teknik Komputer, Fakultas Teknik, Universitas Indonesia
[email protected]
Abstrak Skripsi ini membahas tentang pengujian kapabilitas mesin deteksi dari IDS yang dikembangkan oleh IDSIRTII, yaitu Mata Garuda dengan menggunakan framework Pytbull dan hasilnya akan dibandingkan dengan IDS lain yang sudah banyak didistribusikan di masyarakat dan bersifat open source, yaitu Snort dan Suricata. Pada skripsi ini akan dijelaskan meengenai konsep dasar dari IDS, berbagai mecam bentuk serangan yang dapat menyerang jaringan, pengujian serangan pada Mata Garuda, Snort dan Suricata, serta analisis hasil pengujian pada ketiga IDS tersebut. Hasil pengujian menggunakan Pytbull yang dilakukan memberikan hasil bahwa akurasi deteksi Mata Garuda dan Snort secara keseluruhan (86.95%) lebih baik dibandingkan dengan Suricata (78.26%), namun dalam perbandingan ketepatan pendeteksian Suricata masih lebih unggul (73.91%) dibandingkan dengan Mata Garuda dan Snort (63.04%). Sedangkan dalam penggunaan resource CPU dan memori, Suricata lebih unggul dalam lingkungan multi core (40.67% pada core1 dan 5.39% pada core2, memori 919,917 bytes) daripada Mata Garuda (52.81% pada core1 dan 0.68% pada core2, memori 1,192,627 bytes) dan Snort (52.84% paa core1 dan 0.62% pada core2, memori 1,166,965 bytes)
Performance Evaluation and Comparison of Traffic Monitoring System and Internet Sevurity Detection Sensor of Mata Garuda, Snort and Suricata Abstract This research is concerned about the capability of detection engine from the IDS that developed by IDSIRTII, called Mata Garuda using Pytbull framework and compared the result with the other well-known open source IDS, Snort and Suricata. This research will explain about the basic concept of IDS, some example of network attacks, penetration test to Mata Garuda, Snort, and Suricata, as well as the analysis about the result of the test from the three IDS. The result of the test using Pytbull shows that the detection accuracy of Mata Garuda and Snort overall (86.95%) is better than Suricata (78.26%), but in the comparison of full detection ratio, Suricata (73.91%) is better than Mata Garuda and Snort (63.04%). In the comparison of CPU and memory usage, Suricata is better in multi core environment (40.67% on core1 and 5.39% on core2, memory 919,917 bytes) than Mata Garuda (52.81% on core1 and 0.68% on core2, memory 1,192,627 bytes) and Snort (52.84% on core1 and 0.62% on core2, memory 1,166,965 bytes) Keyword: IDS; Snort; Suricata; Mata Garuda; Pytbull,
Pendahuluan Internet yang merupakan salah satu media yang berperan penting dalam bidang telekomunikasi, saat ini memegang peranan penting dalam kehidupan masyarakat. Banyaknya bidang dan pihak yang menggunakan internet dalam aktivitasnya membuat isu privasi dan keamanan menjadi salah satu bagian yang disorot dan dianggap penting dalam usaha
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
pengembangan jaringan komputer. Banyaknya kasus yang terjadi dalam internet seperti pencurian data, modifikasi pesan yang terkirim, serangan Denial of Service (DoS) merupakan beberapa contoh dari banyaknya tipe serangan yang dapat dilakukan pada server yang dapat mengancam operasional dari sistem yang sudah berjalan. Kasus-kasus inilah yang mendorong berkembangnya teknologi Intrusion Detection System atau yang lazim disingkat dengan IDS yang merupakan suatu sistem yang dapat mengidentifikasi dan memberikan peringatan berbagai macam bentuk serangan terhadap suatu jaringan. Berdasarkan studi literatur yang dilakukan [1] [2] [3] [4], saat ini belum ada IDS tertentu yang berhasil memberikan tingkat keamanan dengan sempurna. Banyaknya jenis serangan yang muncul serta padatnya lalu lintas data yang harus diawasi menjadi tantangan sendiri dalam usaha pengembangan IDS yang mumpuni. Hal ini mendorong pengembangan lebih lanjut terhadap kemampuan mesin deteksi serta aturan-aturan yang ditetapkan untuk mendeteksi berbagai ancaman yang muncul. Salah satu usaha dari ID-SIRTII yang merupakan badan pemerintah yang terlibat aktif dalam pengawasan lalu lintas data internet di Indonesia, dalam meningkatkan pengawasan terhadap jaringan pada tiap-tiap provider adalah dengan mengembangkan Mata Garuda. Mata Garuda merupakan IDS yang dikembangkan berbasis mesin deteksi Snort yang diintegrasikan dengan beberapa aplikasi lain, seperti PostgreSQL dan CronJob yang ditujukan untuk menciptakan media interaksi yang mudah digunakan. Meskipun menggunakan mesin deteksi berbasis Snort, aturan-aturan yang menjadi dasar sensor deteksi yang digunakan atau lazim disebut dengan rules dikembangkan lebih lanjut sesuai dengan bentuk-bentuk ancaman baru yang ditemukan. Sampai saat ini, belum dilakukan pengujian terhadap kapabilitas Mata Garuda dibandingkan dengan IDS lain, sehingga belum adanya parameter pembanding bagaimana tingkat akurasi dan penggunaan resource dari aplikasi tersebut. Metodologi Penulisan Metodologi penulisan yang dilakukan pada skripsi ini adalah: 1. Studi literatur, mempelajari materi-materi yang berkaitan dengan pengembangan sistem Intrusion Detection System, serta dokumen-dokumen yang berkaitan tentang pengembangan Mata Garuda 2. Perancangan, membuat rancangan untuk menciptakan skenario pengujian pada ketiga sistem untuk merumuskan pendataan yang akan diambil 3. Uji Coba, melakukan pengujian terhadap ketiga jenis IDS dengan kondisi yang sama
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
4. Pengambilan data, mengambil data hasil pengujian dari skenario-skenario yang telah dirancang 5. Analisis, melakukan analisis terhadap hasil yang didapatkan Dasar Teori A. Konsep Dasar Internet Protocol Gambar 1 merupakan struktur proses yang terjadi selama komunikasi antar komputer. Proses diawali dengan interaksi pada lapisan paling atas yang kemudian akan diproses dan turun pada lapisan selanjutnya. Tiap-tiap lapisan memiliki fungsi dan peran masing-masing dalam mengolah paket yang kemudian akan dikirimkan ke komputer lain.
Gambar 1. Model Lapisan TCP/IP [5]
Setelah paket tersebut diproses pada tiap lapisan, paket tersebut akan dikirimkan ke komputer lain. Setelah diterima, paket tersebut akan kembali diproses sesuai dengan lapisanlapisan tersebut. Tiap-tiap lapisan akan mendapatkan data sesuai dengan fungsinya dan meneruskan hingga ke lapisan paling atas. Informasi yang didapatkan pada lapisan-lapisan ini merupakan dasar-dasar informasi yang menjadi basis pendeteksian dari IDS tersebut, dimana setiap lapisan memiliki informasi berbeda terhadap signature yang ada pada database IDS tersebut. B. Konsep Dasar Intrusion Detection System Sebuah Intrusion Detection System (IDS) merupakan suatu sistem yang terdiri dari software, hardware, maupun kombinasi dari keduanya yang dapat memonitor dan mengumpulkan data dari suatu target sistem yang harus dilindungi, memproses dan
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
mengkorelasikan data yang dikumpulkan, dan melakukan respon ketika sebuah ancaman telah dapat diidentifikasi [6] [7]. Secara umum, arsitektur IDS sendiri dapat dilihat pada Gambar 2, yang pada tiap komponen memiliki fungsi sebagai berikut [3] :
Gambar 2. Arsitektur IDS [3]
a. Detection Model : mempunyai fungsi untuk mengumpulkan data yang dapat berisi bukti dari gangguan. Semua IDS modern dapat memonitor komputer host, jaringan, router, maupun aplikasi untuk mendapatkan data yang relevan dengan gangguan. b. Analysis Engine : ketika data tentang deteksi gangguan sudah didapatkan, IDS menggunakan kemampuan analisisnya untuk menganalisis jenis gangguan yang muncul. Analisis ini dapat dikategorikan menjadi tiga, yaitu misuse detection, anomaly detection, dan specification detection. c. Response Component : berfungsi untuk mengambil tindakan ketika sebuah intrusi terdeteksi. Respon yang paling dasar adalah dengan mengirimkan laporan atau peringatan kepada administrator. Pada IDS yang lebih modern, pada umumnya dilengkapi dengan fitur seperti isolasi, pemutusan koneksi, dan sebagainya. Secara garis besar, IDS dapat dibagi menjadi dua jenis tergantung dari apa yang diawasi, yaitu : a. Host-based IDS Sebuah host-based IDS atau lazim disingkat sebagai HIDS merupakan IDS yang dapat menganalisis beberapa area tertentu dalam suatu sistem dalam skala lokal untuk menentukan penyalahgunaan wewenang (aktivitas mengganggu dari dalam jaringan) maupun usaha pembobolan dan modifikasi data (dari luar maupun dalam jaringan).Topologi IDS ini dapat dilihat pada Gambar 3.
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
Gambar 3. Topologi Host-based IDS [8]
b. Network-based IDS Network-based IDS (NIDS) merupakan IDS yang menangkap paket data yang melewati media jaringan seperti kabel dan wireless, dan mencocokkan mereka dengan tanda-tanda yang sesuai pada database [8]. Topologi IDS ini dapat dilihat pada Gambar 4.
Gambar 4. Topologi Network-based IDS [8]
C. Serangan pada Jaringan Beberapa serangan dianggap dapat memberikan efek yang berbahaya bagi sistem yang diserang. Beberapa tools yang digunakan untuk melakukan simulasi akan serangan yang dianggap fatal, pada umumnya dikumpulkan pada aplikasi open source yang memang dikembangkan untuk keperluan penelitian, salah satunya adalah Linux Backtrack. Pada penelitian ini digunakan framework Pytbull yang juga tergabung dalam kumpulan aplikasi dalam Linux Backtrack. Dalam Pytbull ini terdapat 7 buah modul yang akan digunakan, yaitu [9] : a. Modul 1 (testRules) Modul ini merupakan pengetesan dengan tes-tes yang paling standar. Dengan modul ini seharusnya dengan rules yang sudah ada pada IDS, akan dihasilkan peringatan akan serangan-
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
serangan yang sudah umum terjadi. Pada modul ini terdapat serangan-serangan yang umumnya memberikan bocoran informasi tertentu. b. Modul 2 (badTraffic) Modul ini berisi dengan tes-tes serangan yang menggunakan modifikasi pada paket yang dikirimkan untuk melihat bagaimana server merespon paket-paket tersebut. Seranganserangan ini umumnya memberikan efek gangguan koneksi pada server yang bersangkutan. c. Modul 3 (fragmentedPacket) Modul ini berisi serangan-serangan yang menggunakan teknik fragmentasi, yaitu dengan memecah paket data menjadi paket-paket yang lebih kecil ukurannya, yang nantinya paket tersebut akan disusun kembali pada sasaran. Serangan-serangan ini dapat memberikan efek mirip seperti denial of service yaitu load dari server yang berlebih. d. Modul 4 (bruteForce) Modul ini berisi tentang serangan brute force, yaitu serangan yang berfokus pada usaha untuk memperoleh autentikasi dengan mencoba-coba berbagai macam username dan password terhadap suatu sistem. Serangan ini bertujuan untuk memperoleh informasi autentikasi. e. Modul 5 (evasionTechniques) Modul ini berisi dengan jenis-jenis serangan-serangan lain seperti Nmap dan Nikto yang dilengkapi dengan konfigurasi-konfigurasi untuk mengecoh mesin deteksi. Teknik ini digunakan untuk menghindari identifikasi serangan dari sistem keamanan. f. Modul 6 (shellCodes) Pada modul ini, terdapat pengujian yang menggunakan beberapa macam tipe shellcode. Pengujian ini merupakan pengujian yang menggunakan kode-kode yang dapat memanggil command shell dan melakukan perintah-perintah yang terdapat di dalam paket tersebut. Serangan ini dapat mengakibatkan diperolehnya kewenangan yang tidak seharusnya oleh pihak luar. g. Modul 7 (denialOfServices) Pada modul ini, digunakan pengujian yang menggunakan asumsi serangan denial of service untuk membebani korban. Pada modul ini digunakan 3 jenis serangan DoS. Serangan ini akan mengakibatkan load berlebih pada server sehingga servis tak akan bisa diakses dengan baik. Pada tiap-tiap modul tersebut terdapat berbagai macam jenis serangan yang mewakili berbagai macam serangan yang dianggap memberikan efek yang fatal.
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
Perancangan A. Perancangan Topologi Pada pengujian ini akan digunakan dua macam topologi yang mencerminkan dua jenis environment pengujian yang berbeda. Pada topologi pertama akan digunakan tiga buah komputer fisik dimana yang satu akan berperan sebagai penyerang, sedangkan yang lain akan berperan sebagai IDS yang diposisikan sebagai gateway dan server yang diserang. Pada topologi ini akan digunakan sebuah server dual core sebagai IDS sesuai dengan Gambar 5, untuk diambil pengukuran penggunaan resource pada lingkungan sistem dengan spesifikasi multi core. Pada topologi kedua akan digunakan sebuah komputer fisik serta dua buah virtual machine (VM) dimana satu VM akan berfungsi sebagai IDS yang diposisikan sebagai gateway, sedangkan yang lain akan berfungsi sebagai server yang diserang sesuai dengan Gambar 6. Topologi ini akan digunakan untuk mengambil data penggunaan resource pada lingkungan sistem dengan spesifikasi single core.
Gambar 5. Topologi Pengujian dengan Server Fisik
Gambar 6. Topologi Pengujian dengan Virtual Machine
B. Skenario Pengujian Penelitian ini dilakukan dengan melakukan skenario pengujian di atas pada 3 jenis IDS yaitu Mata Garuda, Snort, dan Suricata. Kemudian data-data yang diperoleh yaitu data akurasi dari setiap log alert pada tiap IDS dari setiap serangan, serta data penggunaan resource CPU
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
dan memori ketika serangan dilakukan. Serangan yang dilakukan sebanyak 46 jenis serangan yang dikelompokkan ke dalam 7 modul serangan Pytbull. Log dikumpulkan dari setiap jenis tes yang dilakukan serta konsumsi sumber daya dikumpulkan dari waktu serangan dilakukan dari 7 modul tersebut dan pengambilan data resource dilakukan sebanyak 20 kali iterasi. Diagram alur pengujian ini dapat dilihat pada Gambar 7. Start
A
B
Variabel I = banyak pengujian dilakukan, I=1
Data Akurasi dari Log & Data penggunaan resource modul ke-N pengujian ke - I
D Persiapan Gateway Server sebagai IDS
Persiapan komputer penyerang dengan Pytbull
C Persiapan pengujian modul ke-N (Pengaturan konfigurasi Pytbull)
Persiapan komputer korban
Pengujian Pytbull modul ke-N
Pengecekan koneksi dari penyerang ke korban
Koneksi sudah siap
Tidak
I+1
Ya C
N=7
Tidak
Tidak N+1 Pengujian sudah selesai
Tidak Troubleshoot permasalahan koneksi
Variabel N = banyak modul pengujian, N=1
A
Proses pengambilan data penggunaan resource CPU dan memori pada IDS
I = 20
Ya
Ya
Ya
Penghentian proses pengambilan data resource
B
END
Gambar 7. Alur Pelaksanaan Pengujian dan Pengambilan Data
Seperti yang digambarkan pada bagian perancangan topologi, skenario ini dilakukan pada 3 jenis IDS tersebut dalam dua jenis lingkungan sistem yang berbeda yaitu pada lingkungan
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
sistem single core yang diwakili dengan pengujian pada IDS dengan menggunakan virtual machine, serta pada lingkungan sistem multi core yang diwakili dengan pengujian pada IDS dengan menggunakan server fisik dual core. Hasil Dan Analisis A. Analisis Data Akurasi Alert Log Berdasarkan keseluruhan pengujian yang dilakukan, perbandingan tingkat akurasi total dari seluruh modul yang diujikan dapat dilihat pada Gambar 8. Dari grafik tersebut dapat dilihat bahwa apabila dengan mempertimbangkan partial detection dan full detection sebagai suatu kondisi true negative dimana serangan terdeteksi dengan baik, maka rasio deteksi dari Mata Garuda dan Snort lebih unggul dari Suricata dimana rasio deteksi dari Mata Garuda dan Snort mencapai total 86.95% (40 dari 46 tes) sedangkan Suricata hanya 78.26% (36 dari 46 tes). Namun, apabila dengan menganggap partial detection bukan sebagai true negative, maka rasio full detection yang paling tinggi adalah Suricata dengan rasio 73.91% (34 dari 46 tes) sedangkan Mata Garuda dan Snort hanya 63.04% (29 dari 46 tes). Hal ini menunjukkan dalam mendeteksi serangan secara spesifik dan lebih lengkap, Suricata lebih unggul dibandingkan Mata Garuda dan Snort.
Grafik Perbandingan Tingkat Akurasi Keseluruhan Banyak Pengujian
40 35 30 25 20 15 10 5 0 Full Detection
Partial Detection
No Detection
Mata Garuda
29
11
6
Suricata
34
2
10
Snort
29
11
6
Gambar 8. Grafik Perbandingan Tingkat Akurasi Keseluruhan
Dengan mempelajari analisis data akurasi dapat diambil kesimpulan bahwa terdapat beberapa jenis serangan yang masih belum dapat dideteksi oleh Mata Garuda dengan baik, maupun dengan spesifik, dengan detail yang dapat dilihat pada Tabel 1. Beberapa jenis
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
serangan seperti denial of service (tingkat akurasi partial detection sebesar 33.33% dan no detection sebesar 66.67% pada modul 7), port scanning (tingkat akurasi partial detection sebesar 42.86% pada modul 1), bad traffic (tingkat akurasi partial detection sebesar 33.33% dan no detection sebesar 66.67% pada modul 2), serta brute force (tingkat akurasi partial detection 100% pada modul 4) masih perlu dilakukan pengembangan lebih lanjut karena nilai akurasi yang diberikan masih cenderung rendah. Bila dibandingkan dengan Suricata, meskipun pada serangan fragmentasi (modul 3) Mata Garuda masih lebih unggul karena tingkat akurasi yang lebih tinggi dengan 50% full detection, 25% partial detection, dan 25% no detection, sedangkan Suricata 100% no detection, namun secara total pendeteksian secara full detection Suricata lebih unggul dengan rasio deteksi mencapai 73.91% sedangkan Mata Garuda yang sama dengan Snort hanya memiliki rasio full detection sebesar 63.04%. Tabel 1. Rekapitulasi Kelebihan dan Kekurangan IDS pada Tiap Modul Modul
Mata garuda
Suricata
Snort
1 (testRules)
0
1
0
2 (badTraffic)
0
1
0
3 (fragmentedPacket)
1
0
1
4 (bruteForce)
0
1
0
5 (evasionTechniques)
1
1
1
6 (shellCodes)
1
0
1
7 (denialOfServices)
0
0
0
Keterangan : 1 = Unggul ; 0 = Kurang
Apabila melihat perbandingan hasil analisis dari Mata Garuda dan Snort, dapat ditemukan bahwa log yang dihasilkan pun sama persis. Hal ini menunjukkan bahwa rules yang dipasang pada Mata Garuda hanya menggunakan satu sumber saja, yaitu dari komunitas Snort saja. Serangkaian kekurangan pada ketiga IDS tersebut menunjukkan bahwa hanya dengan mengandalkan rules dari satu sumber saja tidak cukup untuk membuat suatu sistem yang dapat mendeteksi berbagai macam jenis serangan. B. Analisis Data Penggunaan Resource Pada lingkungan pengujian single core, diperoleh hasil perbandingan seperti yang dapat dilihat pada Gambar 9 dan Gambar 10.
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
Penggunaan (%)
Perbandingan % Penggunaan CPU Mata Garuda vs Suricata vs Snort (Single Core) 100 90 80 70 60 50 40 30 20 10 0
Mata Garuda Suricata Snort
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
Waktu (s)
Gambar 9. Grafik Perbandingan Penggunaan CPU Lingkungan Single Core
Perbandingan Penggunaan Memori Mata Garuda vs Suricata vs Snort (Single core)
Penggunaan (bytes)
950000
925000
900000
Mata Garuda Suricata Snort
875000
850000 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
Waktu (s)
Gambar 10. Grafik Perbandingan Penggunaan Memori Lingkungan Single Core
Pada lingkungan pengujian multi core, diperoleh hasil grafik seperti pada Gambar 11 dan Gambar 12.
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
Penggunaan (%)
Perbandingan % Penggunaan CPU Mata Garuda vs Suricata vs Snort (Multi-core)
100 90 80 70 60 50 40 30 20 10 0
Mata Garuda-Core 0 Suricata-Core 0 Snort-Core 0 Mata Garuda-Core 1 Suricata-Core 1 Snort-Core 1
1 3 5 7 9 11 13 15 17 19 21 23 25
Waktu (s)
Gambar 11. Grafik Perbandingan Penggunaan CPU Lingkungan Multi Core
Perbandingan Penggunaan Memori Mata Garuda vs Suricata vs Snort (Multi-core)
Penggunaan (bytes)
1400000 1200000 1000000
Mata Garuda
800000
Suricata
600000
Snort
400000 200000 0 1 3 5 7 9 11 13 15 17 19 21 23 25
Waktu (s)
Gambar 12. Grafik Perbandingan Penggunaan Memori Lingkungan Multi Core
Dengan melihat
grafik perbandingan penggunaan CPU dan memori dari dua jenis
lingkungan yang berbeda, yaitu single core dan multi core. Dapat dilihat bahwa dalam hal penggunaan alokasi CPU Mata Garuda lebih unggul pada lingkungan single core dengan ratarata penggunaan CPU sebesar 67.56%, sedangkan pada lingkungan multi core, Suricata jauh lebih unggul dengan rata-rata penggunaan CPU sebesar 40.67% pada Core 0 dan 5.39% pada Core 1. Hal ini disebabkan karena adanya fitur multithreading yang dimiliki oleh Suricata
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
[10], sehingga apabila Suricata dipasang pada komputer dengan core yang lebih banyak, akan semakin banyak thread process yang bisa dibentuk. Sehingga proses lebih cepat selesai dan tidak memakan alokasi lebih banyak Sedangkan dalam hal penggunaan memori, seharusnya Suricata yang memiliki fitur multithreading memakan lebih banyak memori dibandingkan Snort dan Mata Garuda, namun pada grafik tren penggunaan memori yang didapatkan, Mata Garuda cenderung memakan lebih banyak memori dibandingkan Suricata, bahkan Snort, meskipun memakai engine yang sama dengan Snort. Hal ini disebabkan karena banyaknya library rules yang dikelompokkan dengan rapi pada Mata Garuda. Dimana tiap-tiap rules sudah digolongkan sesuai dengan peranan rules tersebut. Sedangkan pada konfigurasi dasar Snort yang juga diujikan pada pengujian ini, rules-rules yang tersedia semuanya terdapat dalam satu data, yaitu snort.rules.Selain itu, konfigurasi snort.conf yang digunakan pada Mata garuda sudah disesuaikan agar dapat berinteraksi dengan plugin-plugin yang dipasang nantinya sehingga ada proses lebih ketika dijalankan. Kesimpulan Berdasarkan hasil pengujian di atas, dapat diambil tiga kesimpulan terkait performa dari mesin deteksi Mata Garuda, Snort & Suricata. 1.Dalam hal jumlah deteksi serangan (dengan mempertimbangkan partial detection sebagai suatu keberhasilan deteksi), Snort dan Mata Garuda dengan total persentase deteksi 86.95% (40 dari 46 tes) lebih baik dibandingkan dengan Suricata dengan persentase deteksi 78.26% (36 dari 46 tes). 2.Dalam hal ketepatan pendeteksian serangan, Suricata dengan persentase deteksi full detection 73.91% (34 dari 46 tes) lebih unggul daripada Snort dan Mata Garuda dengan persentase deteksi 63.04% (29 dari 46 tes). 3. Dalam
penggunaan sumber daya, Suricata dengan persentase penggunaan CPU sebesar
40.67% pada core1 dan 5.39% pada core2, serta rata-rata penggunaan memori sebesar 919,917 bytes di lingkungan multi core lebih unggul dibandingkan Mata Garuda (CPU 52.81% pada core1 dan 0.68% pada core2, memori 1,192,627 bytes) dan Snort (52.84% pada core1 dan 0.62% pada core2, memori 1,166,965 bytes)
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
Saran Terkait dengan kesimpulan yang diperoleh, dalam usaha pengembangan aplikasi Mata Garuda ke depannya, ada beberapa poin yang bisa diajukan : 1. Dalam usaha pengembangan rules yang akan digunakan pada Mata Garuda, lebih baik tidak hanya bergantung pada pembaharuan yang berasal dari komunitas Snort saja namun juga menggunakan rules dari sumber-sumber yang lain, seperti contoh : Emerging Threat (merupakan sumber rules Suricata) 2. Basis mesin deteksi Mata Garuda yang saat ini menggunakan mesin deteksi Snort, lebih baik mulai diujicobakan dengan mengganti mesin deteksi menggunakan Suricata mengingat aplikasi Mata Garuda yang diletakkan pada ISP-ISP akan terus menerus menerima paket dalam jumlah yang sangat banyak. Fitur multithreading dari Suricata akan memberikan performa lebih baik dalam kondisi tersebut. 3. Penggantian mesin deteksi Mata Garuda dari Snort ke Suricata tentunya tidak akan memberikan kesulitan berarti mengingat Suricata juga dikembangkan dari mesin deteksi Snort, sehingga output yang digunakan dan akan dimasukkan ke dalam database dapat dibuat menyesuaikan standar dari Snort. Referensi [1] X. Qu, Z. Liu and X. Xie, "Research on Distributed Intrusion Detection System Based on Protocol Analysis". [2] S. Liu, D. Y. Zang, X. Chu, H. Otrok and P. Bhattacharya, "A Game Theoretic Approach to Optimize the Performance of Host-based IDS," in IEEE International Conference on Wireless & Mobile Computing, Networking & Communication, 2008. [3] S. Zaman and F. Karray, "TCP/IP Model and Intrusion Detection System," in International Conference on Advanced Information Networking and Applications Workshops, 2009. [4] A. F. Bin Hamid Ali and Y. Yong Len, "Development of Host Based Intrusion Detection System for Log Files," in IEEE Symposium on Business, Engineering and Industrial Applications, Langkawi, 2011. [5] Novell, "Overview of TCP/IP Protocol Usage," Novell, 2014. [Online]. Available: http://www.novell.com/documentation/oes/tcpipenu/?page=/documentation/oes/tcpipenu /data/hbnuubtt.html. [Diakses pada 23 May 2014]. [6] M. Ahmed, R. Pal, M. M. Hossain, M. A. Naser Bikas and M. K. Hasan, "A Comparative Study on the Currently Existing Intrusion Detection Systems," in International Association of Computer Science and Information Technology - Spring Conference, 2009. [7] L. Ying, Z. Yan and O. Yang-Jia, "The Design and Implementation of Host-based
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014
Intrusion Detection System," in Third International Symposium on Intelligent Information Technology and Security Informatics, 2010. [8] R. M. Magalhaes, "Host-based IDS vs Network-based IDS (part 1)," WindowSecurity.com, 10 July 2003. [Online]. Available: http://www.windowsecurity.com/articlestutorials/intrusion_detection/Hids_vs_Nids_Part1.html. [Diakses pada 16 December 2013]. [9] Pytbull, "Pytbull - features," Pytbull Sourceforge, [Online]. Available: http://pytbull.sourceforge.net/index.php?page=features. [Diakses pada 18 December 2013]. [10] Open Information Security Foundation, "Multi Threading," Open Information Security Foundation, [Online]. Available: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Multi_Threading. [Diakses pada 6 June 2014].
Evaluasi dan..., Alvin Prayuda Juniarta Dwiyantoro, FT, 2014