Intrusion Detection

hBAB I
PENDAHULUAN


I.1 Latar Belakang

Semakin pesatnya perkembangan teknologi internet dan implementasinya dalam sebuah LAN (intranet) telah menyebabkan arus informasi dari dalam atau keluar perusahaan semakin padat. Akses internet tanpa batas telah menghadirkan banyak keuntungan bagi semua pihak. Tidak hanya mempermudah pencarian informasi yang diinginkan tanpa batas waktu dan lokasi, akan tetapi dunia luar dapat berinteraksi dengan local network yang ada. Hal ini memungkinkan meningkatnya tindak kejahatan dalam dunia maya.
Salah satu masalah keamanan yang cukup signifikan pada jaringan adalah masuknya user dan program ( misalnya : worm, trojan horse, virus ) yang tidak sah sehingga dapat merusak sistem. Untuk itu diperlukan cara untuk menjaga sekuriti sistem. Salah satunya dengan membangun peringatan dini yang disebut deteksi intrusi /penyusupan (intrusion detection).
Akhir-akhir ini, penelitian telah banyak dilakukan untuk mendeteksi intrusi. Sebuah pendeteksian intrusi dini yang efektif dapat mencegah masuknya intrusi lebih lanjut. Pendeteksian intrusi ini memungkinkan pengumpulan informasi tentang teknik intrusi yang digunakan. Jika sebuah intrusi dideteksi dengan cukup cepat, maka penyusup dapat diidentifikasi dan dikeluarkan dari sistem sebelum sejumlah bahaya timbul. Namun, jika waktu pendeteksian tidak mencukupi, maka akan semakin banyak bahaya dan perbaikan data yang muncul.
Suatu hardware atau software aplikasi yang dapat mendeteksi intrusi adalah IDS (Intrusion Detection System). Dewasa ini, pasar dipenuhi dengan berbagai teknik mendeteksi intrusi dari IDS . Salah satu teknik yang paling ampuh dan memiliki tingkat keakuratan yang tinggi adalah Anomaly-Based IDS. Teknik ini menggunakan pendekatan statistik yang telah teruji.

I.2 Tujuan Penelitian
Tujuan dari penelitian ini yaitu :
1. Memahami salah satu teknik pendeteksian intrusi yang dilakukan oleh Intrusion Detection System (IDS)
2. Mengetahui pendekatan apa yang digunakan untuk menunjang keakuratan hasil deteksi intrusi
3. Mengetahui bagaimana implementasi teknik deteksi intrusi untuk mengamankan sistem jaringan

I.3 Metode Penelitian
Metode yang digunakan penulis pada penelitian ini adalah metode literature.



















BAB II
LANDASAN TEORI

21 Intrusi dan Intruder

Intrusi atau penyusupan bisa diartikan sebagai kegiatan akses ke sistem komputer oleh pemakai yang tidak punya hak misalnya cracker atau hacker, akses oleh yang mempunyai hak tetapi salah guna dan tercela atau serangan terhadap keamanan sistem komputer karena bisa menghancurkan kepercayaan pemakai. Sebuah intrusi dapat diibaratkan sebagai sekumpulan aksi yang berusaha untuk merusak integritas, kerahasiaan, ketersediaan dari suatu sumber daya
Teknologi intrusi generasi pertama hanya sebatas administrasi dan audit pemakaian komputer, terutama kemungkinan penyalahgunaan hak oleh orang dalam. Generasi selanjutnya sistem deteksi intrusi dikembangkan untuk mengawasi juga penyusup yang berniat mencuri data atau bahkan berniat merusak sistem. Kebanyakan sistem deteksi intrusi yang dipakai menerapkan model arsitektur hirarki yang mendeteksi intrusi secara terpusat.
Disamping cracker dan hacker, pada dunia keamanan TI dikenal juga istilah intruder (penyusup). Pada awal serangan, intruder biasanya hanya mengexplore data. Namun, pada tingkat yang lebih serius intruder berusaha untuk mendapat akses ke sistem seperti membaca data rahasia, memodifikasi data tanpa permisi, mengurangi hak akses ke sistem sampai menghentikan sistem.

2.2 Komponen Deteksi Intrusi

Perangkat keras atau lunak yang berfungsi untuk memonitor penyusup secara otomatis dan menganalisisnya adalah IDS (Intrusion Detection System). Untuk mendukung kerja IDS, pada tahun 1991 dipublikasikan cara pengamanan yang lain yaitu dengan memasang firewall yang berfungsi untuk memblokir trafik yang tidak dinginkan.
Firewall bisa dipandang sebagai benteng sekeliling sebuah gedung dengan satpam di gerbang, sedangkan IDS bisa dipandang sebagai pos-pos satpam di setiap pintu, terdapat juga firewall (perangkat keras / perangkat lunak / kombinasi keduanya ) yang menyediakan sebuah lokasi untuk memonitor kejadian-kejadian yang berhubungan dengan masalah keamanan

2.2.1 IDS
IDS adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi.

2.2.1 .1 Arsitektur dan Struktur IDS
Sebuah IDS selalu mempunyai sebuah sensor ( mesin analis) yang bertanggung jawab untuk mendeteksi intrusi. Sensor ini terdiri dari mesin pembuat keputusan yang berhubungan dengan intrusi. Sensor-sensor menerima baris data dari 3 sumber informasi utama. IDS memiliki base, syslog and audit trails. Syslog diincludekan dalam sistem, misal konfigurasi pada sistem file, autorisasi user, dsb. Informasi ini menciptakan dasar bagi proses pembuatan keputusan.
Sensor bertugas untuk memfilter informasi dan mendiscard data yang tidak relevan dari sekumpulan kejadian yang terhubung dengan sistem terproteksi, misalnya mendeteksi aktivitas-aktivitas yang mencurigakan. Analis menggunakan database yang berisi kebijakan dalam mendeteksi. Di dalamnya terdapat tandatangan penyerang, deskripsi perilaku normal, dan parameter yang penting (misal, nilai ambang batas). Database ini mengatur konfigurasi parameter IDS, termasuk mode komunikasi dengan modul tanggap. Sensor juga mempunyai database yang terdiri atas sejarah dinamis dari intrusi yang kpmplek. Hal ini dibuat dari multiple aksi.-aksi.

Arsitektur IDS.
Sensor diintegrasikan dengan sejumlah komponen yang bertanggungjawab untuk pengumpulan data Metode pengumpulan ini ditentukan oleh kebijakan dari event generator yang akan menjelaskan mode filtering dari suatu deskripsi informasi. Event generator (misalnya, sistem operasi, jaringan, dan aplikasi) akan membuat sebuah kebijakan yang konsisten dalam mengeset sekumpulan kejadian yang mungkin misal adanya sebuah log atau audit dari sistem atau packet jaringan. Hal ini diatur baik dengan kebijakan informasi yang disimpan juga didalam atau diluar sistem terproteksi

Komponen IDS
2.2.1.2 Cara Kerja IDS

Diantara berbagai jenis tugas IDS, identifikasi penyusup merupakan satu hal yang fundamental. Hal ini dapat berguna dalam penelitian forensik dan pemilihan patch yang cocok untuk digunakan.

Intrusion detection system activities
IDS melindungi sistem komputer dengan mendeteksi serangan dan menghentikannya. Awalnya, IDS melakukan pencegahan intrusi. Untuk itu, IDS mengidentifikasi penyebab intrusi dengan cara membandingkan antara event yang dicurigai sebagai intrusi dengan signature yang ada. Saat sebuah intrusi telah terdeteksi, maka IDS akan mengirim sejenis peringatan ke administrator. Langkah selanjutnya dimulai dengan melakukan policy terhadap administrator dan IDS itu sendiri
Sewaktu-waktu, IDS dapat menghasilkan alarm yang salah. Hal ini biasanya terjadi pada saat kegagalan fungsi dari interface jaringan serta pengiriman deskripsi serangan atau tandatangan melalui email.

Intrusion detection system infrastructure

2.2.2 Perbandingan antara Firewall dan IDS

Meskipun firewall dan IDS berhubungan dengan masalah keamanan jaringan, tetapi IDS berbeda dengan firewall yang penggunaanya untuk memfilter traffic atau paket data yang masuk dan mencegah akses yang tidak terautorisasi ke atau dari bagian berbeda dari arsitektur keamanan sebuah sistem. Hanya traffic terautorisasi dan terdefinisi dalam kebijakan keamanan lokal yang diijinkan untuk lewat. Berbeda halnya dengan IDS yang digunakan untuk mengaudit traffic dan mencari pola traffic atau aktivitas tertentu yang terdapat anomali atau kemungkinan malicious. Selama konfigurasi, pola traffic ini dapat ditentukan secara manual dan pada saat proses inisialisasi pola ini dapat dilakukan secara automatis atau kombinasi dari keduanya.
Tidak seperti IDS yang dapat mengaudit traffic, firewall hanya mengaudit manajemen jaringan dan mengatur penggunaan internet. Firewall dirancang untuk membatasi akses antar jaringan agar bisa mencegah terjadinya penyusupan. Umumnya firewall tidak dirancang untuk menyediakan notifikasi detail dari serangan dan deteksi komprehensif dari semua kemungkinan serangan atau anomaly dari aktivitas di jaringan, namun firewall dapat mengontrol layanan, arah layanan, user dan menyediakan perlindungan dari berbagai jenis serangan.
Sedangkan IDS mengevaluasi kejadian yang mencurigakan ketika itu sedang atau telah terjadi. Selain itu, IDS dapat menciptakan audit trail yang detail pada satu atau lebih lokasi yang aman, memberi signal berupa alarm atau notifikasi dan kemungkinan melakukan aksi secara otomatis untuk mengamanakan jaringan. IDS juga dapat memantau serangan-serangan atau peristiwa-peristiwa yang berasal dari jaringan dalam organisasi. Hal ini akan melindungi organisasi dari kemungkinan aksi legal punitive yang terinisiasi sebagai serangan dari dalam organisasi.
.










Sebuah firewall dapat dilihat sebagai sebuah alat pelindung keamanan pada aset yang berharga. Sedangkan IDS dapat dianalogikan sebagai kamera surveillance, alarm, detector atau sensor yang memonitor area disekelilingnya
Umumnya, firewall tidak sehebat IDS dalam mendeteksi penyusupan. IDS juga tidak memiliki kemampuan firewalling dibanding firewall. Hal lain yang dapat membedakan kedua teknologi ini yaitu kebanyakan firewall dirancang untuk tidak melakukan apa-apa dalam mode yang tertutup. Namun firewall mempunyai sebuah system kegagalan yang kritis, bagian sensitive dari jaringan.
Kebanyakan kegagalan kritis pada IDS berbentuk mode terbuka yang artinya bahwa mesin IDS tidak memerlukan waktu yang lama untuk memproses pola jaringan.
2. 3 Pendekatan dalam Mendeteksi Intrusi

2.3.1 Statistical Anomaly Detection
Melibatkan sekumpulan data yang berhubungan dengan tingkah laku legitimate user selama waktu tertentu. Kemudian test statistik diimplementasikan untuk mengamati tingkahlaku dan menentukan tingkat kerahasiaan dari suatu data.
Pendekatan ini terbagi dalam dua kategori :
a. Threshold detection : melibatkan penjelasan Threshold(petunjuk awal), independent user, untuk frekuensi yang terjadi dari berbagai macam kejadian.
b. Profiled Based : Sebuah profile dari aktivitas setiap user dikembangkan dan digunakan untuk mendeteksi perubahan pada tingkah laku dari account individu.\

2.3.2 Ruled based Detection
Melibatkan usaha untuk menggambarkan satu set dari peraturan yang dapat digunakan untuk memutuskan apakah
ada intruder atau tidak. Terdiri dari dua jenis :
a. Anomaly detection : Aturan-aturan dikembangkan untuk mendeteksi deviasi dari pola yang dipakai sebelumnya.
b. Penetration Identification : Sebuah pendekatan sistem pakar yang mencari tingkah laku yang mencurigakan.

2.4 Model untuk Mendeteksi Intrusi
2.4.1 Misuse detection model
Model ini menggunakan deteksi signature dengan cara mencari titik-titik lemah sistem yang bisa dideskripsi oleh sebuah pola atau sederet kejadian /data.

2.4.2 Anomaly detection model
Pendeteksian intrusi pada model ini didasarkan pada perubahan dalam pola pemakaian atau kelakuan sistem. Cara yang dilakukan adalah dengan membangun sebuah model statistik yang berisi satuan-satuan alat ukur (metrik) yang nilainya akan diambil dari aktifitas proses sistem.
Anomali adalah suatu keadaan tidak normal atau nominal. Pendeteksi anomaly harus dapat membedakan antara keadaan normal atau anomali




























BAB III
PEMBAHASAN


Apa yang mengindikasikan jika suatu hal dianggap anomali ? Biasanya, hal ini dapat ditunjukkan dari beberapa peristiwa yang memiliki frekuensi lebih besar atau kurang dari dua standar deviasi pada table statistik. Misalnya, jika dalam satu hari ada seorang user yang log on dan log off pada satu mesin sebanyak 20 kali (padahal normalnya hanya 1 atau 2 kali) maka ini tentunya akan menimbulkan kecurigaan.
Penggunaan anomaly based IDS (teknik deteksi intrusi yang merujuk pada anomali ) dapat mendeteksi tidak hanya penyusup yang telah atau belum tercatat tetapi juga menginformasikan tentang kemungkinan masalah-masalah di jaringan. Metode ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang.
Cara umum untuk menggambarkan bentuk ini adalah dengan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Hal ini dapat ditempuh melalui penghitungan nilai rata-rata dan standar deviasi dari statistik terdistribusi. Jika hasil perhitungan berada diluar dari parameter standar deviasi, maka kemungkinan telah terjadi intrusi.
Pendeteksi ini membangun deksripsi yang merepresentasikan penggunaan atau pola perilaku normal. Selanjutnya, deskripsi atau pola ini dibandingkan dengan perilaku user dan sistem untuk memprediksi dan mendeteksi ketidakcocokan yang mungkin timbul. Sehingga pada akhirnya akan dikenali kemungkinan usaha serangan.
Untuk mencocokkan deskripsi, sistem melakukan inisialisasi deskripsi user dengan pola perilaku user yang sah. Sekumpulan deskripsi yang normal tidak semuanya cocok dengan deskripsi yang tersimpan. Jika ada masalah yang berhubungan dengan pendeskripsian, sementara sistem terus mempelajari kemungkinan anomali, maka intruder / penyusup yang berpengalaman dapat balik mempelajari sistem tersebut.
Sebuah hasil deskripsi yang menyatakan ketidakcocokan akan disimpan dan dijadikan pedoman untuk membantu pendeteksian semua kemungkinan aktivitas intrusi selanjutnya. Mengupdate deskripsi atau menguji sistem merupakan tugas yang sulit dan menghabiskan banyak waktu.

3. 1 Jenis Anomaly-Based IDS
Deteksi anomali terbagi menjadi dua kategori yaitu :
 Anomali Statis
Metode jenis ini berguna untuk mengecek integritas data. Pendeteksian intrusi didasarkan pada asumsi bahwa terdapat :
 Terdapat bagian program yang seharusnya bernilai tetap pada sistem yang sedang dipantau
 Kode dan data yang bernilai konstant
 Hardware yang ada tidak perlu dicek.
 Perangkat sistem administrasi yang mengecek komponen fisik dan melaporkan jika terjadi perubahan.
Bagian statis dari suatu sistem dapat direpresentasikan sebagai sebuah string bit binary atau sekumpulan string ( seperti, file-file). Jika bagian yang statis berbeda dengan aslinya, maka diasumsikan error telah terjadi atau penyusup telah merubah bagian statis dari sistem.

 Anomali Dinamis
Pada metode ini, pendeteksi anomali dinamis harus mengincludekan sejumlah deskripsi tentang perilaku sistem yang dijelaskan seperti sebuah pengurutan namun dipesan secara terpisah dari kejadian yang berbeda. Untuk itu, pendeteksi ini harus memiliki record tentang user yang berpotensi menjadi penyusup.
Pendeteksi anomali mengamati aktivitas-aktivitas subjek dan menggenerate deskripsi perilaku. Proses monitoring antara user dan system dilakukan secara bergiliran. Pemetaan antara proses, account, dan user hanya dilakukan ketika terdapat alarm yang berbunyi.


Tidak peduli apakah terdapat anomali atau tidak, sistem tetap merujuk pada parameter yang diset selama proses inisialisasi perilaku sistem. Perilaku ini diasumsikan sebagai bentuk normal, diukur dan akhirnya digunakan untuk mengeset parameter sehingga dapat menjelaskan mana perilaku yang normal dan yang mengandung anomali.
Jika suatu perilaku dianggap tidak mengandung anomali, maka tidak terjadi intrusi. Namun, jika anomali terdapat pada suatu perilaku, maka sistem administrator dapat membunyikan false alarm sebagai tindak lanjut.
III.2 Aturan Dasar pada Anomaly-Based IDS
√ Identifikasi Aliran Data
Seluruh keamanan jaringan didasarkan pada boleh tidaknya suatu traffic masuk dari atau ke suatu jaringan. Sangatlah penting bagi kita untuk mengetahui tentang protokol dan sistem jaringan apa yang dipakai. Hal ini dimaksudkan untuk memudahkan pengidentifikasian aliran data dan jenis paket apa yang boleh atau tidak boleh dalam melintasi jaringan. Selain itu, pengetahuan lain yang diperlukan yaitu mengenai :
•Source, Destination IP/network
•Protokol Jaringan (IP, ICMP,..)
•Protokol aplikasi(ditentukan oleh port-port)
•Content (ukuran, tipe, karakteristik.)
• Feature yang lain ( TCP flags, TTL,,,)

√ Kelompokkan paket data yang diizinkan
Hal pertama yang dilakukan adalah kelompokkan semua paket data yang diminta dengan jelas sesuai kebutuhan sistem. Selanjutnya, pastikan bahwa content (isi) dapat diterima karena komunikasi tidak hanya berlangsung karena ada IP atau port. Untuk itu, perlu dilakukan pengecekan ukuran dan nilai yang spesifik untuk menentukan kategori dari paket data.

√ Kelompokkan paket data yang mencurigakan
Dengan mereview layanan yang dibutuhkan maka akan terdapat banyak pilihan yang sebenarnya tidak dibutuhkan atau digunakan oleh end-system. Misalnya, jika content suatu website tidak menggunakan syntax/ method POST maka akan timbul sebuah peringatan karena paket data yang masuk terlihat mencurigakan
√ Kelompokkan paket yang tidak diijinkan
Paket, sistem atau peralatan jaringan yang tidak diinginkan oleh beberapa layanan, termasuk dalam kategori ini. Apalagi jika paket-paket tersebut mempunyai tujuan yang tidak valid

III.3 Tahapan Fase Anomaly-Based IDS

III.4 Model Pendeteksian Intrusi pada Anomaly-Based IDS
 Model Ukuran String
Perbedaan panjang yang dimiliki variabel string sering menunjukkan perilaku regular. Misal, ukuran panjang dari setiap user id dan pencarian string yang berbeda dapat dilakukan melalui penghitungan rata-rata.

 Model PenemuanToken
Nilai selalu tampak secara berulang pada monitoring interface. Beberapa parameter dapat menggambarkan nilai yang berbeda. Hal ini dapat dimulai dari enumerasi yang kecil. Untuk itu, simpanlah history dari parameter nilai.
Dengan adanya sekumpulan peluang yang terbatas, maka model akan menyimpan suatu enumerasi. Jika tidak, model akan menampilkan pesan “no enumeration”. Pada saat pengujian, model akan mengembalikan score antara 1 atau 0.

 Model Pendistribusian Karakter String
Dari hasil pengamatan, kebanyakan string mempunyai distribusi karakter yang mirip. Model ini menciptakan idealized character distribution (ICD) untuk setiap string yang teruji pada fase training. Penghitungan score anomali menggunakan variasi dari Pengujian Pearson Chisquared

 Model Struktur Inference
Dalam mendeteksi anomali, model ini dapat membangun kemungkinan tata bahasa yang digunakan penyusup. Banyak atribut nilai yang dapat dimodelkan ketika string digenerate oleh tata bahasa regular. Penghitungan score anomali dilakukan ketika hasil dari transisi state dapat berpeluang memberikan nilai.


III.5 Protokol untuk Deteksi Anomali
Protokol anomali pada network dan transport layer ( layer 3-4 ) dan application layer (layer 6-7). Untuk mendeteksi anomali, dilakukan dengan mendefrag keseluruhan IP, mengeset ulang TCP dan mengecek setiap kondisi pada proses yang tidak biasa.
Beberapa anomali yang dapat dideteksi pada protokol 3-4, antara lain:
¤ Tumpang tindih fragmentasi IP dan sejumlah IP yang mencurigakan
¤ Tumpang tindih segmentasi TCP dan sejumlah TCP yang illegal
¤ Penggunaan checksum yang corrupt
III.6 Kelebihan dan Kelemahan Anomaly-Based IDS
Kelebihan
 Memungkinkan deteksi intrusi dini,
 Mengenali anomali tanpa mengetahui karakteristik dan penyebabnya
 Mendeteksi penyalahgunaan hak akses user.
 Dibandingkan signature-based IDS, metode ini dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS.
Kelemahan
 Penggunaan sistem tidak diawasi selama pembuatan deskripsi dan phase pembelajaran
 Perilaku user dapat berubah sewaktu-waktu, sehingga diperlukan update yang konstant dari waktu ke waktu dan memungkinkan timbulnya.alarm kesalahan
 Merubah perilaku sistem menjadi kebal tehadap anomali yang terdeteksi selama fase pembelajaran
 Sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
III.7 Impelementasi
III.7.1 Contoh Kondisi Anomali pada Lingkungan LAN
Berikut diberikan deskripsi kondisi beberapa anomali, misal terdapat sebuah router dalam jaringan (kemungkinan menggunakan NAT)




Kemudian, dapat dilihat jika ada seseorang sedang menguping IP dijaringan dengan mentraceroute IP tersebut











Orang yang menguping ini, sedang mencoba menemukan jalan keluar dengan mentraceroute IP
III.7.2 Contoh Pendeteksian Intrusi
a. Kasus Pertama
Contoh Konfigurasi










Berdasarkan konfigurasi diatas, dapat dilihat bahwa administrator telah mengidentifikasi aliran data berupa protokol jaringan (IP, TCP,UDP), protokol aplikasi(port 80), IP source(1024) yang digunakan. Kasus ini didasari oleh filtering traffic yang diijinkan lewat dan namun waspadai sisanya.
Statement any <>any, menunjukkan bahwa traffic yang memilki anomali tidak diijinkan masuk ke jaringan. Merujuk pada statement (msg: “not allowed traffic”;), maka dapat terlihat bahwa proses filtering yang berdasarkan pada pesan atau prioritas menjadi lebih sulit .
Untuk itu, penulis menyarankan diimplementasikannya :
 IDS, sistem honeypot dan firewall
 Area keamanan yang tinggi dengan kecilnya jumlah traffic yang tidak terdefinisi/sah serta terfilter dengan baik

b. Kasus kedua



Statement diatas menunjukkan bahwa terdapat proses request akses layanan web dari klien ke server. Untuk mendeteksi intrusi, awalnya dilakukan pengujian seperti :

 Mengeksekusi aplikasi
Dilakukan melalui perintah(bertanda merah) :
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

 Menguji parameter aplikasi berupan nama
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

 Menguji parameter aplikasi berupa nilai
GET /cgi-bin/show.cgi?sID=12345&file=images/foo.png

 Menerapkan model statistik pada setiap atribut aplikasi melalui dua fase, yaitu : Fase Pembelajaran (membangun deskripsi perilaku normal dari setiap parameter aplikasi) dan Fase Pendeteksian (mendeteksi deviasi dari deskripsi yang telah dipelajari)









BAB IV
KESIMPULAN

Betapapun banyaknya administrator yang bertugas untuk mendeteksi atau menganalisis intrusi secara manual tidaklah efektif jika dibandingkan dengan penggunaan komponen pendeteksi intrusi seperti IDS. Meskipun demikian, tidak ada jawaban yang jelas mengenai teknik mana yang lebih baik karena masing-masing memiliki kelebihan dan kelemahan. Bukan IDS yang mengamankan suatu organisasi, tetapi orang-orang yang memanagenya
Untuk mencapai tingkat keamanan yang maximum, maka sebaiknya kita memadukan kedua teknologi keamanan yaitu IDS dan Firewall.