Mendeteksi Internet Worms

Sebuah firewall telah dikembangkan sebagai alat untuk mendeteksi
anomali traffic yang berasal dari Internet dan menghasilkan logfile yang
memberikan peringatan bahwa worm menyerang dengan sebuah port
tertentu sebagai target. Firewall dapat melakukan blocking akses sampai
administrator melakukan analisis dan recovery jika diperlukan.
Masalah yang umum ditemukan dalam melakukan respon otomatis
secara akurat adalah mendeteksi dan menganalisa sebuah worm yang
sedang beroperasi dan menginfeksi ke sebuah network. Bagian ini
mendiskusikan strategi-strategi yang telah eksis maupun baru dalam
mendeteksi keberadaan sebuah worm.
Detektor dapat berupa sebuah komputer atau device lain yang berdiri
sendiri, terletak pada DMZ (De-Militarized Zone), atau pada sebuah
backbone, yang memiliki kemampuan mendeteksi secara lokal atau
terpusat. Apapun detektor yang digunakan haruslah sensitif dalam
skala network yang besar untuk mengurangi false positives dan false
negatives. Detektor dapat dikatakan berhasil jika mampu mendeteksi
kejadian anomali dari beberapa tipe worm, kejadian anomali tersebut
dapat diketahui dari pola trafik yang dihasilkan sebagai konsekuensi dari
teknik penyebaran worm tersebut.
3.1 Deteksi pada Host
Host detection—Program peer-to-peer maupun protokol Windows sha-
ring dapat digunakan sebagai medium penyebaran worm, akibatnya
mekanisme query worm sama seperti yang dihasilkan oleh program
peerto-peer ’biasa’.
Hal tersebut menyebabkan proses deteksi pada
network-level akan mengalami kesulitan kecuali implementasi IDS dila-
kukan untuk mengenali pola-pola tersebut. Dalam implementasinya, IDS
akan menganalisa pola-pola tertentu pada trafik berdasarkan signature
database yang dimilikinya.
Anti-virus Behavior Blocking—Behavior blocking adalah teknik yang
digunakan anti-virus dalam menghentikan program-program jahat dalam
melakukan aksinya. Walaupun dinilai sebagai upaya yang berhasil,
teknik ini tidak diberdayakan secara luas karena faktor usability dan false
positives.
Wormholes dan Honeyfarms—Sebuah honeypot adalah sebuah host
yang ditujukan untuk dikuasai oleh intruder dalam upaya mendeteksi
dan menganalisa perilaku intruder.
Honeypot yang didistribusikan
pada sebuah network (honeynet) dapat membentuk detektor yang akurat
kecuali faktor harga (terutama hardware dan admistration costs) menjadi
faktor penghalang diimplementasikannya honeynet.
Sebagai contoh implementasi honeypot yang ’hemat’ adalah dengan
membuat sebuah honeypot system pada network yang terpisah dari
workstations atau server dan melakukan traffic redirection pada port-port
tertentu, yang diduga sebagai trafik yang digunakan oleh worm untuk
menyebar, ke honeypot tersebut. Sebuah honeypot dapat menggunakan
teknologi ’virtual machine’ untuk membuat image dari banyak sistim yang
vulnerable.