Host-Based Intrusion Detection System

Team : 

1. Faisal Muhammad Audito Andrian

2. Miranti Apriliani

3. Nathan Nurdadyansyah

4. Grace Tri Putri Simarangkir

5. Ferry Ananda Febian

1. Pengertian Host-Based Intrusion Detection System 

Host-Based Intrusion Detection System atau (HIDS) adalah sistem pengawasan dan pendeteksian setiap aktivitas dalam sebuah komputer. HIDS menggunakan host log information, system activity dan scanner, seperti virus scanner untuk mendeteksi setiap serangan yang ditujukan terhadap single komputer tersebut. HIDS mendeteksi program yang mengakses resource dalam sistem komputer tersebut. HIDS akan memeriksa setiap perubahan dalam sistem, dan akan menyimpannya dalam sebuah basis-data mengenai RAM, file-system dan semua parameter-parameter yang dicurigai sebagai sebuah intrusi. 

2. Arsitektur Host-Based Intrusion Detection System

Host-based IDS menggunakan informasi yang diberikan oleh sistem operasi untuk mengidentifikasi sebuah serangan. Untuk mendapatkan informasi tersebut, sistem membutuhkan operasional-operasional dasar sebuah sistem operasi, yang disebut sebagai system call, sehingga dapat dikatakan bahwa sistem akan berjalan pada level kernel. Salah satu metode yang digunakan adalah dengan OS-level auditing. Dalam OS-level auditing, terdapat banyak teknik, tergantung sistem operasi apa yang digunakan oleh sistem. 

3. Komponen HIDS

• IDS Rule. Merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule IDS ini, harus di update secara rutin sehingga IDS mampu mendeteksi jenis serangan baru.

• IDS Engine. Merupakan program yang berjalan sebagai proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkan dengan rule IDS.

• IDS Alert. Merupakan catatan serangan pada deteksi penyusupan, jika IDS engine menghukumi paket daya yang lewat sebagai serangan, maka IDS engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh BASE (Basic Analysis and Security Engine) yang berfungsi untuk mencari dan mengolah database dari alert network security yang dibangkitkan oleh perangkat lunak pendeteksi intrusi (IDS). 

4. Topologi Implementasi HIDS

5. Metode deteksi HIDS

pada HIDS terdapat dua jenis metode deteksi yaitu Anomaly-based detection dan signature-based detection 

•  Anomaly-based detection

proses membandingkan suatu kondisi aktivitas yang dianggap normal terhadap kejadian yang diamati untuk mengidentifikasi adanya penyimpangan yang signifikan.

• signature-based detection

proses deteksi hampir mirip seperti antivirus yaitu dengan mencari pola bit atau kata kunci dalam file program dengan melakukan pemindaian serupa pada file log.

6. Tools Host-Based Intrusion Detection System

1. SolarWinds Security Event Manager (SEM)

2. OSSEC

3. ManageEngine EventLog Analyzer 

4. Splunk

5. Snort

6. Sagan

7. Samhain 

8. Elastic Agent

7. Kelebihan dan Kekurangan Host-Based Intrusion Detection System 

8. Contoh Penerapan Keamanan Jaringan menggunakan  Host-Based Intrusion Detection System

Mengingat beban pekerjaan seorang network administrator yang besar dan luas, sangat tidak mungkin seorang network administrator untuk selalu melakukan update setiap waktu terhadap serangan-serangan baru dan dengan singkat membuat signature untuk serangan baru tersebut. Maka muncullah ide bagaimana membuat suatu sistem deteksi intrusi yang dapat mengenali pola serangan baru dari serangan-serangan lama yang sudah ada pada aturan pada firewall dan secara otomatis membuat signature untuk serangan tersebut dan menambahkannya ke dalam rule yang ada pada router firewall.

• Uji Serangan FTP Brute Force 

Serangan terhadap layanan FTP pada sebuah perangkat tidak jauh berbeda dengan serangan terhadap layanan SSH, perbedaan hanya terdapat pada default port untuk FTP yang berbeda dengan SSH yaitu FTP memiliki port 21, penggunaan port pada layanan SSH, FTP maupun TELNET dapat disesuaikan atau diganti oleh administrator jaringan tersebut, sehingga menyulitkan penyerangan untuk mengakses port pada layanan-layanan tersebut. Adapun perintah untuk melakukan serangan terhadap layanan FTP menggunakan terminal (console) adalah sebagai berikut #hydra -L user.txt -P pass.txt ip_tujuan FTP. 

• Uji Serangan SSH Brute Force 

Serangan terhadap layanan SSH yang secara default pada port 22 yaitu dengan menggunakan perangkat lunak pencocokan kata (Dictionary Attack) THC-Hydra, perangkat lunak hydra ini akan melakukan pencocokan username dan atau password berdasarkan kamus kata yang telah dipersiapkan terlebih dahulu. Proses ini berjalan selama port SSH tetap terbuka dan diberikan izin untuk mengakses alamat ip yang dituju. Melakukan serangan dengan menggunakan hydra melalui terminal cukup mudah, yaitu dengan menuliskan perintah hydra -L user.txt -P pass.txt ip_tujuan SSH, namun apabila menyerang terlebih dahulu mengetahui username dari layanan yang akan diserang, maka dapat menuliskan perintah pada terminal seperti # hydra -l admin -P pass.txt ip_tujuan SSH. 

• Uji Serangan TELNET Brute Force TELNET 

merupakan layanan yang digunakan untuk melakukan pertukaran atau pengaksesan file dari jarak jauh (remote) pada suatu perangkat. Untuk login secara normal pada layanan TELNET dapat menggunakan perintah pada console yaitu # sudo TELNET ip_address. Serangan pada layanan TELNET tidak jauh berbeda dengan serangan terhadap layanan SSH dan FTP, melakukan serangan dapat dilakukan dengan mengetikkan perintah di terminal hydra -L user.txt -P pass.txt ip_tujuan TELNET. 

• Uji Serangan Port Scanning (NMAP) 

Penggunaan fungsi -A pada nmap berguna untuk melakukan scanning port secara aggressive, penggunaan fungsi ini akan menghasilkan informasi yang terperinci mengenai alamat ip yang dituju, informasi yang dihasilkan seperti daftar port-port yang aktif pada perangkat tersebut, Operating System, Computer-Name, OS finger print, dan lain-lain. Snort akan mencatat aktivitas tersebut ke dalam database snort untuk selanjutnya diproses. Snort akan mencatat beberapa entitas dari data tersebut seperti sig_name, timestamp, ip_src, ip_dst. Untuk aktifitas seperti port scanning akan memiliki signature name yang unik yaitu "port scan", yang tidak sama dengan aktivitas lainnya yang dicatat oleh snort. Signature name tersebut dapat dimanfaatkan sebagai kata kunci untuk memilih record port scanning pada database snort

Referensi : 

• 8 Best HIDS Tools - Host-Based Intrusion Detection System - DNSstuff

• Apa itu Intrusion Detection System (IDS)? Jenis dan Cara Kerjanya (dewaweb.com)

• 14 Best Intrusion Detection System (IDS) Software 2022 (Paid & Free) (comparitech.com)

• Himawan, Bondan, and Taufiq Hidayat. "Perancangan Host-Based Intrusion Detection System Berbasis Artificial Neural Network." Seminar Nasional Aplikasi Teknologi Informasi 2007, Yogyakarta, Indonesia, 2007. Universitas Islam Indonesia, 2007.

• An example of host-based IDS and Network-based IDS | Download Scientific Diagram (researchgate.net)

• 236193-penerapan-hids-host-intrusion-detection-5261e112.pdf (neliti.com)