Perbandingan Performansi antara Signature Based dan Anomaly Based dalam Pendeteksian Intrusi

ABSTRAKSI: Intrusion Detection System (IDS) adalah tool, metode, sumber daya yang dapat memonitor atau mengamati aktifitas-aktifitas untuk mengidentifikasi peristiwa berbahaya atau mencurigakan. Peristiwa yang berbahaya atau mencurigakan itu bisa disebut dengan intrusi atau serangan. Dalam mendeteksi intrusi, IDS menggunakan 2 teknik utama yaitu Signature Based Detection dan Anomaly Based Detection. Pada tugas akhir ini, dibangun 2 buah sistem untuk mendeteksi adanya intrusi, yaitu sistem yang berbasis signature dan sistem yang berbasis anomaly. Masing-masing sistem memiliki rancangan yang berbeda. Untuk IDS yang berbasis signature digunakan tools Snort, sedangkan untuk IDS yang berbasis anomaly menggunakan tools Ourmon. Kedua sistem tersebut diuji dengan studi kasus yang sama. Studi kasus yang diuji ada 4 macam, yaitu 3 macam studi kasus yang berupa serangan port scanning, denial of service jenis SYN Flood, dan exploit serta 1 studi kasus yang bukan berupa serangan seperti aktifitas download suatu file. Analisis yang dilakukan adalah analisis akurasi, penggunaan resource, dan kesalahan dalam pendeteksian (false positive dan false negative). Dari pengujian keempat studi kasus tersebut, dapat disimpulkan bahwa untuk IDS Signature bisa mendeteksi serangan port scanning, denial of service, dan exploit, sedangkan IDS Anomaly hanya bisa mendeteksi serangan denial of service dan mendeteksi aktifitas download yang sebenarnya bukan merupakan serangan.Kata Kunci : Intrusion Detection System (IDS), Signature Based, dan Anomaly BasedABSTRACT: Intrusion Detection System (IDS) is a tool, a method, a resource which can monitor or observe activities to identify dangerous or suspicious event. Dangerous or suspicious event can be called intrusion or attack. In detecting a n intrusion, IDS uses 2 main technique which are Signature Based Detection and Anomaly Based Detection. In this final project, 2 systems is built to detect intrusion, which are a signature based system and anomaly based system. Each system has different design. For signature based IDS, Snort tools is used, whereas for anomaly based IDS, Ourmon tools is used. Both of the system is tested with the same case study. There are 4 case study, which are 3 case study on port scanning attac, denial of service SYN Flood type, and exploit, then 1 case study that is not an attack type like file download activitiy. The analysis done is accuracy analysis, resource usage analysis, and error on detection (false positive and false negative). From the 4 case testing, it can be concluded that for signature IDS can detect port scanning, denial of service and exploit, where anomaly IDS can only detect denial of service attack and download activity which is not an attack.Keyword: Intrusion Detection System (IDS), Signature Based, and Anomaly Based