26
Preprocessors sangat penting bagi setiap IDS untuk mempersiapkan paket
data yang harus dianalisi terhadap Rule dalam Detection Engine.
2.2.6.4 The Detection Engine
Detection Engine
bagian terpenting dari snort. Tanggung jawabnya
adalah untuk mendeteksi jika ada aktivitas intrusi dalam sebuah paket.
Detection Engine
menggunakan rule snort untuk tujuan ini. Rule
dibaca
dalam struktur data internal atau rule
dapat dirangkaikan dimana rule-rule
tersebut dicocokkan atau dibandingkan dengan semua paket. Jika sebuah
paket cocok dengan rule
apa pun, maka tindakan yang tepat diambil tetapi
jika tidak paket dibuang. Tindakan yang tepat mungkin akan mendata paket
(Logging packet) atau menghasilkan alert. Detection Engine
adalah time-
critical penting dari Snort. Tergantung pada seberapa kuat mesin dan berapa
banyak rule
yang ditetapkan, mungkin diperlukan jumlah waktu yang
berbeda untuk merespon paket yang berbeda. Jika lalu lintas (traffic
) di
jaringan terlalu tinggi, maka ketika Snort NIDS bekerja dalam mode ini,
mungkin ada beberapa paket yang didrop dan mugkin tidak mendapatkan
real-time
respon yang benar. Beban pada Detection Engine tergantung pada
faktor berikut :
-
Jumlah rule
-
Kekuatan mesin yang menjalankan Snort
-
Kecepatan bus internal yang digunakan dalam mesin Snort
-
Beban pada jaringan
2.2.6.5 Logging and Alerting System
Tergantung pada apa yang Detection Engine
temukan dalam sebuah paket,
paket digunakan untuk mencatat aktivitas atau menghasilkan peringatan
(alert).
2.2.6.6 Ouput Modules
Output modul atau plug-in
dapat melakukan operasi yang berbeda-beda
tergantung pada bagaimana ingin menyimpan output yang dihasilkan oleh
logging dan system alert dari snort.
 |