Analisis Penggunaan Hasil Deteksi IDS Snort pada Tools RITA dalam Mendeteksi Aktivitas Beacon
DOI:
https://doi.org/10.56706/ik.v15i2.21Keywords:
beacon, IDS, intrusi, RITA, SnortAbstract
Meningkatnya berbagai macam ancaman dan serangan, mengharuskan sistem keamanan informasi juga lebih ditingkatkan. Intrusion Detection System (IDS) sebagai salah satu sistem untuk melakukan deteksi dan pencegahan, juga harus ditingkatkan kemampuannya dalam mengamankan jaringan. Saat ini, jenis IDS yang berbasis signature masih memiliki kekurangan, yaitu tidak mampu mendeteksi ancaman atau serangan yang belum diketahui, seperti serangan aktivitas beacon yang biasanya dilakukan oleh malware berjenis ransomware atau trojan. Oleh karena itu, diperlukan pendetekatan atau tools lain untuk melengkapi kekurangan dari IDS jenis ini. Real Intelligence Threat Analytics (RITA) adalah tools berbasis anomali yang melakukan deteksi aktivitas beacon melalui analisis statistik dan algoritma K-means clustering didalam sebuah lalu lintas jaringan. Pada penelitian ini akan dilakukan analisis terhadap penggunaan IDS Snort pada tools RITA dalam mendeteksi aktivitas beacon dengan menggunakan metode eksperimen yang diperinci dalam tujuh tahap penelitian. Pengujian terhadap deteksi aktivitas beacon dilakukan terhadap 3 buah PCAP dan skenario aktivitas beacon (live beaconing) selama 1 jam. Setelah melakukan pengujian dilakukan analisis terhadap hasil pengujian. Hasil dari penelitian menunjukkan bahwa IDS Snort dapat digunakan sebagai data input RITA dimana terlebih dahulu format log IDS Snort harus diubah menjadi format log IDS Bro/Zeek yang berbentuk TSV/JSON. Sehingga tools RITA dapat dijadikan sebagai solusi alternatif untuk mendeteksi aktivitas beacon pada IDS Snort.
References
Y. Tayyebi dan D. S. Bhilare, “A Comparative Study of Open Source Network Based Intrusion Detection System,” Int. J. Comput. Sci. Inf. Technol. IJCSIT, vol. 9, no. 2, hlm. 23–26, 2018.
M. A. Aydin, A. H. Zaim, dan K. G. Ceylan, “A Hybrid Intrusion Detection System Design for Computer Network Security,” Comput. Electr. Eng., vol. 35, no. 3, hlm. 517–526, 2009, doi: 10.1016/j.compeleceng.2008.12.005.
J. Dreijer, “StealthWare - Social Engineering Malware,” StealthWare, RP2 Project Thesis, 2015.
D. Haselhorst, “Onion-Zeek-RITA: Improving Network Visibility and Detecting C2 Activity,” Inst., 2019.
A. Countermeasure, “Real Intelligence Threat Analytics,” Real Intelligence Threat Analytics, 2016. https://github.com/activecm/rita (diakses Nov 03, 2020).
H.-J. Liao, C.-H. R. Lin, Y.-C. Lin, dan K.-Y. Tung, “Intrusion detection system: A Comprehensive Review,” J. Netw. Comput. Appl. - Elsevier, vol. 36, hlm. 16–24, 2013, doi: 10.1016/j.jnca.2012.09.004.
A. R. Baker dan J. Esler, Snort IDS and IPS Toolkit. Burlington: Syngress Publishing, Inc., 2007.
T. S. Project, Snort Users Manual 2.9.13. 2019.
J. Strand, “RITA - Active Countermeasures,” RITA - Active Countermeasures, 2016. https://www.activecountermeasures.com/free-tools/rita/ (diakses Mar 11, 2020).
D. V. Myhre, “BYOB (Build Your Own Botnet),” BYOB (Build Your Own Botnet), 2017. https://github.com/malwaredllc/byob (diakses Mei 22, 2020).
J. Budiman, Analysis on Remote Access Trojan Role in Advance Persistent Threat: A Concern for Cyber Criminal Investigations. British: BRITISH COLUMBIA INSTITUTE OF TECHNOLOGY, 2016.
J. Gomez, C. Gil, N. Padilla, R. Banos, dan C. Jimenez, “Design of a Snort-Based Hybrid Intrusion Detection System,” IWANN Part II LNCS 5518 Springer-Verl. Berl. Heidelb., vol. II, no. LNCS 5518, hlm. 515–522, 2009, doi: 10.1007/978-3-642-02481-8_75.
N. AB, “Capture files from Mid-Atlantic CCDC,” Capture files from Mid-Atlantic CCDC, 2012. https://www.netresec.com/?page=MACCDC (diakses Apr 10, 2020).
A. Countermeasure, “Threat Hunting Labs Introduction,” Threat Hunting Labs Introduction, 2019. https://activecm.github.io/threat-hunting-labs/ (diakses Mar 05, 2020).