Perpustakaan Digital ITB

Perlindungan jaringan saat ini banyak menggunakan Intrusion Prevention System (IPS). Namun IPS yang saat ini kebanyakan menggunakan teknik signature based, sedangkan pembaharuan signature cenderung sulit dilakukan dan memakan waktu karena membutuhkan pengetahuan pakar dalam pembuatannya. Akibatnya IPS signature based memiliki kelemahan dalam mendeteksi serangan terbaru. Untuk mempelajari serangan terbaru, dapat digunakan honeypot. Honeypot adalah sebuah tools yang tidak memiliki production value, sehingga setiap koneksi yang masuk dapat dianggap sebuah serangan. Data yang masuk ke dalam honeypot perlu diolah terlebih dahulu karena tidak dapat langsung digunakan oleh IPS. Dalam mengolah data serangan tersebut, beberapa peneliti telah menggalakan studi mengenai signature generator. Setelah dilakukan perbandingan, Tugas Akhir ini menggunakan signature generator Polygraph karena memiliki kelebihan dalam membuat signature polymorphic worm dibanding signature generator Honeycomb. Polymorphic worm adalah sebuah worm yang merubah bentuk diri setiap melakukan penyebaran sehingga sulit menentukan signature. Tugas Akhir ini menentukan teknik yang diperlukan dalam mengubah data serangan yang ditangkap dari honeypot pilihan Dionaea, menjadi signature dengan menggunakan Polygraph. Kemudian signature yang dihasilkan diubah bentuknya agar dapat dipakai oleh IPS pilihan Snort. Snort yang telah memakai signature tersebut diharapkan dapat memblokir serangan yang sama dengan yang tertangkap honeypot Dionaea sebelumnya. Setelah dilakukan pengujian teknik pada Tugas Akhir ini, IPS Snort dapat memblokir serangan yang sama dengan yang masuk ke honeypot Dionaea sebelumnya. Namun terdapat kendala pada kinerja karena menggunakan signature dengan dasar pencarian regex. Rule yang dihasilkan menjadi lebih lambat dibanding yang konvensional. Selain itu, perlu mengubah parameter pcre match limitations pada IPS Snort agar lebih optimal dalam memblokir serangan.