Sistem Deteksi Intrusi (IDS)Ibarat pengintai dalam jaringan, fungsi utamanya adalah menemukan perilaku intrusi dan mengirimkan alarm. Dengan memantau lalu lintas jaringan atau perilaku host secara real-time, IDS membandingkan "pustaka tanda tangan serangan" yang telah ditetapkan (seperti kode virus yang diketahui, pola serangan peretas) dengan "dasar perilaku normal" (seperti frekuensi akses normal, format transmisi data), dan segera memicu alarm serta mencatat log terperinci setelah anomali ditemukan. Misalnya, ketika suatu perangkat sering mencoba memecahkan kata sandi server secara brute force, IDS akan mengidentifikasi pola login abnormal ini, segera mengirimkan informasi peringatan kepada administrator, dan menyimpan bukti kunci seperti alamat IP serangan dan jumlah percobaan untuk menyediakan dukungan bagi ketertelusuran selanjutnya.
Berdasarkan lokasi penyebarannya, IDS dapat dibagi menjadi dua kategori utama. Network ID (NIDS) disebarkan pada node-node penting jaringan (misalnya, gateway, switch) untuk memantau lalu lintas seluruh segmen jaringan dan mendeteksi perilaku serangan lintas perangkat. Mainframe ID (HIDS) dipasang pada satu server atau terminal, dan berfokus pada pemantauan perilaku host tertentu, seperti modifikasi berkas, proses startup, okupansi port, dll., yang dapat secara akurat menangkap intrusi pada satu perangkat. Sebuah platform e-commerce pernah menemukan aliran data abnormal melalui NIDS -- sejumlah besar informasi pengguna diunduh secara massal oleh IP yang tidak dikenal. Setelah peringatan dini, tim teknis dengan cepat mengunci kerentanan dan mencegah kebocoran data.
Aplikasi Mylinking™ Network Packet Brokers dalam Sistem Deteksi Intrusi (IDS)
Sistem Pencegahan Intrusi (IPS)adalah "penjaga" dalam jaringan, yang meningkatkan kemampuan intersepsi serangan secara aktif berdasarkan fungsi deteksi IDS. Ketika lalu lintas berbahaya terdeteksi, IDS dapat melakukan operasi pemblokiran secara real-time, seperti memutus koneksi abnormal, membuang paket berbahaya, memblokir alamat IP serangan, dan sebagainya, tanpa menunggu intervensi administrator. Misalnya, ketika IPS mengidentifikasi transmisi lampiran email dengan karakteristik virus ransomware, IDS akan segera mencegat email tersebut untuk mencegah virus memasuki jaringan internal. Dalam menghadapi serangan DDoS, IDS dapat menyaring sejumlah besar permintaan palsu dan memastikan operasi server normal.
Kemampuan pertahanan IPS bergantung pada "mekanisme respons waktu nyata" dan "sistem pemutakhiran cerdas". IPS modern secara berkala memperbarui basis data tanda tangan serangan untuk menyinkronkan metode serangan peretas terbaru. Beberapa produk canggih juga mendukung "analisis dan pembelajaran perilaku", yang dapat secara otomatis mengidentifikasi serangan baru dan yang belum diketahui (seperti eksploitasi zero-day). Sebuah sistem IPS yang digunakan oleh sebuah lembaga keuangan menemukan dan memblokir serangan injeksi SQL menggunakan kerentanan yang dirahasiakan dengan menganalisis frekuensi kueri basis data yang abnormal, sehingga mencegah manipulasi data transaksi inti.
Meskipun IDS dan IPS memiliki fungsi yang serupa, terdapat perbedaan utama: dari perspektif peran, IDS bersifat "pemantauan pasif + peringatan", dan tidak secara langsung mengintervensi lalu lintas jaringan. Sistem ini cocok untuk skenario yang membutuhkan audit menyeluruh tetapi tidak ingin memengaruhi layanan. IPS adalah singkatan dari "Pertahanan Aktif + Intermisi" dan dapat mencegat serangan secara real-time, tetapi harus memastikan bahwa ia tidak salah menilai lalu lintas normal (positif palsu dapat menyebabkan gangguan layanan). Dalam aplikasi praktis, keduanya sering "bekerja sama" -- IDS bertanggung jawab untuk memantau dan menyimpan bukti secara komprehensif guna melengkapi tanda tangan serangan untuk IPS. IPS bertanggung jawab atas intersepsi real-time, ancaman pertahanan, mengurangi kerugian yang disebabkan oleh serangan, dan membentuk siklus keamanan tertutup yang lengkap dari "deteksi-pertahanan-keterlacakan".
IDS/IPS memainkan peran penting dalam berbagai skenario: di jaringan rumah, kemampuan IPS sederhana seperti intersepsi serangan yang terintegrasi ke dalam router dapat melindungi dari pemindaian port umum dan tautan berbahaya; di jaringan perusahaan, penerapan perangkat IDS/IPS profesional diperlukan untuk melindungi server dan basis data internal dari serangan tertarget. Dalam skenario komputasi awan, IDS/IPS berbasis awan dapat beradaptasi dengan server awan yang skalabel dan elastis untuk mendeteksi lalu lintas abnormal di seluruh penyewa. Dengan terus ditingkatkannya metode serangan peretas, IDS/IPS juga berkembang ke arah "analisis cerdas AI" dan "deteksi korelasi multidimensi", yang selanjutnya meningkatkan akurasi pertahanan dan kecepatan respons keamanan jaringan.
Aplikasi Broker Paket Jaringan Mylinking™ dalam Sistem Pencegahan Intrusi (IPS)
Waktu posting: 22-Okt-2025
