11 Maret 2016 Presented by : M. Ridwan Zalbina | 09111001003
Supervisor : Deris Stiawan. Ph.D
Jurusan Sistem Komputer FASILKOM UNSRI
Sistem Deteksi HTTP menggunakan HTTP
Inspect Preprocessor dan Rule Options
Latar Belakang Rumusan Masalah Tujuan
Jurusan Sistem Komputer FASILKOM UNSRI
2
Latar Belakang | Background
Jurusan Sistem Komputer FASILKOM UNSRI
Makalah Penelitian Publisher/ Database Journal :
Springer, Sciencedirect,
ieeexplore, Doaj, SANS
Data Statistik : OWASP, WHID, & CWE
3
Jurusan Sistem Komputer FASILKOM UNSRI
Background Web Application Attack/
HTTP Attack NIDS
HTTP Inspect Preprocessor
dan Rule Options
Realtime Traffic
4
Rumusan Masalah | Research Problem
➔Dikarenakan NIDS pada dasarnya bekerja pada layer 3 dan 4 [1] dengan keterlibatan protokol (IP, ICMP, TCP dan UDP), mampukah NIDS seperti Snort, dimanfaatkan untuk mendeteksi web application/ http attack
➔Bagaimana membangun Sistem Deteksi HTTP dengan memanfaatkan NIDS seperti Snort untuk mendeteksi serangan XSS(Non Persistant dan Persistant) dan SQLiA(First Order) dan mengevaluasi efektifitas dari rules yang dibangun
Jurusan Sistem Komputer FASILKOM UNSRI
[1] Shaimaa Ezzat Salama Mohamed I. Marie, Laila M El-Fangary Yehia K Helmy “Web Anomaly Misuse Intrusion Detection Framework for SQL Injection Detection, “ IJACA, vol. 3, no. 3, pp.123-129, 2012
5
Tujuan | Aim or Objectives
➔Membangun suatu sistem untuk mendeteksi suatu serangan yang berjalan pada protokol HTTP dengan
menggunakan HTTP Inspect Preprocessor dan Rule Options
➔Melakukan perhitungan dengan Confusion Matrix
➔Membandingkan hasil pengujian dengan NIDS Default dan hasil penelitian(tugas akhir)
Jurusan Sistem Komputer FASILKOM UNSRI
6
Diagram
Konsep Penelitian
Jurusan Sistem Komputer FASILKOM UNSRI
Sistem Deteksi HTTP
HIDS NIDS
Knowledge/
Misuse
Anomaly
Hybrid
HTTP Inspect
Preprocessor
Snort
XSS SQLi Attack
DVWA Framework
Persistant
Web Pentration Test
Defense Offense
Centralized Distributed
Realtime/
Passive
Incorrectly
Filter
Escape Character/
First Order
SQLi
Non-Persistant
Rule Options
7
mulai
Perancangan Topologi
Instalasi dan Konfigurasi
Sistem
Menerapkan Rules pada Http Inspect Preprocessor
Dan Rule Options
Pengujian Penetrasi
Cross Site Scripting dan SQLi
Pola
Serangan
Terdeteksi
Ekstraksi dan pengelompokkan data
Selesai
Ya
Tidak
Tugas Akhir 1
Tugas Akhir 2
Kesimpulan
Analisis
Kerangka Kerja Penelitian
Jurusan Sistem Komputer FASILKOM UNSRI
8
Perancangan Sistem
Jurusan Sistem Komputer FASILKOM UNSRI
9
Diagram
Pencocokan Rules
Jurusan Sistem Komputer FASILKOM UNSRI
Mulai
Snort Stack
HTTP
Request
Packet Decoder
Preprocessor
Detection Engine
Rules (besmara.rules)
Request
Cocok ?
Alerting &
Logging
Selesai
Ya
Tidak
Log & Alert Files
Lanjutkan
Request
Ya
Tidak
10
HTTP Inspect Preprocessor and Rule Options
●Menyediakan fungsi preprocessing paket data sesuai jenis protokol terkhusus protokol HTTP
●Melakukan normalisasi pada paket data
●Rule Options mendefiniskan rules berdasarkan kategori General, Payload, Non-payload dan Post-detection
Metode Penelitian
11
Tabel Confusion Matrix Jurusan Sistem Komputer FASILKOM UNSRI
12
Skenario Pengujian 13
Sample Alert Hasil Pengujian
Jurusan Sistem Komputer FASILKOM UNSRI
14
Ekstraksi dan Korelasi
Data Hasil Pengujian
Jurusan Sistem Komputer FASILKOM UNSRI
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"[HTTP_ATTACK] Terdeteksi XSS img tag PCRE"; flow:to_server; pcre:"/((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^\n]+((\%3E)|>)/I"; classtype:web-application-attack; sid:2000013;)
2
1
3
4
5
6
15
Data Hasil Pengujian 16
Data Hasil Pengujian 17
Data Hasil Pengujian
Gambar 4.3 Gambar 4.4
18
Data Hasil Pengujian
Gambar 4.7
19
Data Hasil Pengujian
Gambar 4.5 Gambar 4.6
20
Data Hasil Pengujian
Gambar 4.8
21
Data Hasil Pengujian 22
Data Hasil Pengujian
Gambar 4.9
23
Data Hasil Pengujian 24
Kesimpulan
5.1 KESIMPULAN
Berdasarkan proses penelitian yan dilakukan dan hasil yang telah di peroleh, maka dapat disimpulkan bahwa :
1. Dari metode yang digunakan, sistem telah mampu untuk mendeteksi pola serangan HTTP (Web Application Attack) seperti
Non-Persistent dan Persistent XSS, kemudian SQL Injection First Order pada kasus realtime traffic.
2. Evaluasi data pengujian dengan confusion matrix menunjukkan detection rate dari hasil pengujian terbilang cukup dengan
TPR mencapai 97% dan PPV 93% keatas untuk tiap pengujian, walau masih terdapat banyak false positive yang mencapai 11
hingga 22 alert, hal ini juga di pengaruhi dengan intensitas false negative yang cukup tinggi terjadi. Dari itu diperoleh nilai
FPR dan TNR dengan persentase yang tinggi dan dinilai kurang karena melebihi 40% sampai 60% keatas untuk tiap pengujian.
3. Data perbandingan antara Hasil Penelitian dengan default Snort menunjukkan bahwa Hasil Penelitian 100% mendeteksi
adanya serangan web application attack, sedangkan 0% untuk default Snort dalam mendeteksi web application attack.
4. Dalam penelitian ini berhasil dikenali pola-pola SQLi dan XSS, sehingga pola tersebut dapat ditransformasi kedalam rules
25
Saran
5.2 Saran
Adapun saran untuk penelitian lanjutan, yakni :
1. Pada penelitian lanjutan, dapat lebih menekankan pembuatan rules yang dapat menekan jumlah false positive, dan juga dapat
mengcover segala bentuk attack vector yang digunakan untuk menyerang sistem sehingga tidak terdapat false negative yang terjadi.
2. Beberapa jenis serangan web application lainnya, seperti Cross Site Request Forgery, Path Traversal, Code Injection, Local
dan Remote File Inclusion, dan Brute Force Attack, kemudian dapat memanfaatkan vulnarable web framework lain sebagai
perbandingan seperti web berbasis ASP atau CGI (Perl, Ruby, Python).
3. Untuk topologi penelitian, dapat dibuat lebih kompleks seperti melibatkan infrastruktur cloud dan jika tersedianya slot ip
public yang dapat dipakai sebagai hosting nantinya.
26
TERIMA KASIH Jurusan Sistem Komputer FASILKOM UNSRI