Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options

11 Maret 2016 Presented by : M. Ridwan Zalbina | 09111001003

Supervisor : Deris Stiawan. Ph.D

Jurusan Sistem Komputer FASILKOM UNSRI

Sistem Deteksi HTTP menggunakan HTTP

Inspect Preprocessor dan Rule Options

Latar Belakang Rumusan Masalah Tujuan


2

Latar Belakang | Background


Makalah Penelitian Publisher/ Database Journal :

Springer, Sciencedirect,

ieeexplore, Doaj, SANS

Data Statistik : OWASP, WHID, & CWE

3


Background Web Application Attack/

HTTP Attack NIDS

HTTP Inspect Preprocessor

dan Rule Options

Realtime Traffic

4

Rumusan Masalah | Research Problem

➔Dikarenakan NIDS pada dasarnya bekerja pada layer 3 dan 4 [1] dengan keterlibatan protokol (IP, ICMP, TCP dan UDP), mampukah NIDS seperti Snort, dimanfaatkan untuk mendeteksi web application/ http attack

➔Bagaimana membangun Sistem Deteksi HTTP dengan memanfaatkan NIDS seperti Snort untuk mendeteksi serangan XSS(Non Persistant dan Persistant) dan SQLiA(First Order) dan mengevaluasi efektifitas dari rules yang dibangun


[1] Shaimaa Ezzat Salama Mohamed I. Marie, Laila M El-Fangary Yehia K Helmy “Web Anomaly Misuse Intrusion Detection Framework for SQL Injection Detection, “ IJACA, vol. 3, no. 3, pp.123-129, 2012

5

Tujuan | Aim or Objectives

➔Membangun suatu sistem untuk mendeteksi suatu serangan yang berjalan pada protokol HTTP dengan

menggunakan HTTP Inspect Preprocessor dan Rule Options

➔Melakukan perhitungan dengan Confusion Matrix

➔Membandingkan hasil pengujian dengan NIDS Default dan hasil penelitian(tugas akhir)


6

Diagram

Konsep Penelitian


Sistem Deteksi HTTP

HIDS NIDS

Knowledge/

Misuse

Anomaly

Hybrid

HTTP Inspect

Preprocessor

Snort

XSS SQLi Attack

DVWA Framework

Persistant

Web Pentration Test

Defense Offense

Centralized Distributed

Realtime/

Passive

Incorrectly

Filter

Escape Character/

First Order

SQLi

Non-Persistant

Rule Options

7

mulai

Perancangan Topologi

Instalasi dan Konfigurasi

Sistem

Menerapkan Rules pada Http Inspect Preprocessor

Dan Rule Options

Pengujian Penetrasi

Cross Site Scripting dan SQLi

Pola

Serangan

Terdeteksi

Ekstraksi dan pengelompokkan data

Selesai

Ya

Tidak

Tugas Akhir 1

Tugas Akhir 2

Kesimpulan

Analisis

Kerangka Kerja Penelitian


8

Perancangan Sistem


9

Diagram

Pencocokan Rules


Mulai

Snort Stack

HTTP

Request

Packet Decoder

Preprocessor

Detection Engine

Rules (besmara.rules)

Request

Cocok ?

Alerting &

Logging

Selesai

Ya

Tidak

Log & Alert Files

Lanjutkan

Request

Ya

Tidak

10

HTTP Inspect Preprocessor and Rule Options

●Menyediakan fungsi preprocessing paket data sesuai jenis protokol terkhusus protokol HTTP

●Melakukan normalisasi pada paket data

●Rule Options mendefiniskan rules berdasarkan kategori General, Payload, Non-payload dan Post-detection

Metode Penelitian

11

Tabel Confusion Matrix Jurusan Sistem Komputer FASILKOM UNSRI

12

Skenario Pengujian 13

Sample Alert Hasil Pengujian


14

Ekstraksi dan Korelasi

Data Hasil Pengujian


alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"[HTTP_ATTACK] Terdeteksi XSS img tag PCRE"; flow:to_server; pcre:"/((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^\n]+((\%3E)|>)/I"; classtype:web-application-attack; sid:2000013;)

2

1

3

4

5

6

15

Data Hasil Pengujian 16


Gambar 4.3 Gambar 4.4

18


Gambar 4.7

19


Gambar 4.5 Gambar 4.6

20


Gambar 4.8

21


Gambar 4.9

23

Kesimpulan

5.1 KESIMPULAN

Berdasarkan proses penelitian yan dilakukan dan hasil yang telah di peroleh, maka dapat disimpulkan bahwa :

1. Dari metode yang digunakan, sistem telah mampu untuk mendeteksi pola serangan HTTP (Web Application Attack) seperti

Non-Persistent dan Persistent XSS, kemudian SQL Injection First Order pada kasus realtime traffic.

2. Evaluasi data pengujian dengan confusion matrix menunjukkan detection rate dari hasil pengujian terbilang cukup dengan

TPR mencapai 97% dan PPV 93% keatas untuk tiap pengujian, walau masih terdapat banyak false positive yang mencapai 11

hingga 22 alert, hal ini juga di pengaruhi dengan intensitas false negative yang cukup tinggi terjadi. Dari itu diperoleh nilai

FPR dan TNR dengan persentase yang tinggi dan dinilai kurang karena melebihi 40% sampai 60% keatas untuk tiap pengujian.

3. Data perbandingan antara Hasil Penelitian dengan default Snort menunjukkan bahwa Hasil Penelitian 100% mendeteksi

adanya serangan web application attack, sedangkan 0% untuk default Snort dalam mendeteksi web application attack.

4. Dalam penelitian ini berhasil dikenali pola-pola SQLi dan XSS, sehingga pola tersebut dapat ditransformasi kedalam rules

25

Saran

5.2 Saran

Adapun saran untuk penelitian lanjutan, yakni :

1. Pada penelitian lanjutan, dapat lebih menekankan pembuatan rules yang dapat menekan jumlah false positive, dan juga dapat

mengcover segala bentuk attack vector yang digunakan untuk menyerang sistem sehingga tidak terdapat false negative yang terjadi.

2. Beberapa jenis serangan web application lainnya, seperti Cross Site Request Forgery, Path Traversal, Code Injection, Local

dan Remote File Inclusion, dan Brute Force Attack, kemudian dapat memanfaatkan vulnarable web framework lain sebagai

perbandingan seperti web berbasis ASP atau CGI (Perl, Ruby, Python).

3. Untuk topologi penelitian, dapat dibuat lebih kompleks seperti melibatkan infrastruktur cloud dan jika tersedianya slot ip

public yang dapat dipakai sebagai hosting nantinya.

26

TERIMA KASIH Jurusan Sistem Komputer FASILKOM UNSRI

Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options

Internet

Transcript of Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options