“Visualisasi Serangan DoS Dengan

Clustering Menggunakan Algoritma

K-Means

Presented by : Napsiah | 09121001065 Supervisor : Dr. Deris Stiawan

Sistem Komputer, Ilmu Komputer, Universitas Sriwijaya

OverView • LATAR BELAKANG

• Denial of Service (DoS) salah satu teknik serangan yang sering dilakukan oleh attacker dalam melumpuhkan

sistem. Serangan DoS menghasilkan kerusakan yang sifatnya persisten [1]. Serangan DoS menimbulkan

ancaman serius dalam jaringan internet saat ini. Serangan DoS mudah untuk diimplementasikan tetapi sulit

untuk mencegah dan melacaknya [2].

[VALUE]

[VALUE]

[VALUE] [VALUE]

[VALUE] [VALUE]

[VALUE]

[VALUE]

Denial of Service Brute Force Browser

Shellshock SSL Backdoor

Botnet Others

Gambar 1. Top Network Attack

(source : McAfee Labs, 2015)

Gambar 2. Trend Data of DoS 2013

(source : SANS Institute, 2015)

DNS

20%

Web

[VALUE]

SMTP

[VALUE]

VoIP

[VALUE]

TCP-SYN

Flood

[VALUE]

IPv6

[VALUE]

ICMP

[VALUE]

UDP

[VALUE]

TCP-Other

[VALUE]

Application 62% Network 38% TCP-Other 3%

OverView

• RUMUSAN MASALAH

? Bagaimana mengenali pola paket data normal dan paket data Denial of Service (DoS) attack pada dataset ISCX ?

? Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut ?

? Bagaimana menampilkan visualisasi yang menggambarkan paket data normal dan paket data serangan DoS ?

• BATASAN MASALAH

Metode yang digunakan untuk memvisualisasikan serangan menggunakan clustering dengan algoritma K-means.

Dataset yang digunakan merupakan data dari ISCX pada tanggal 14 juni 2010.

Parameter serangan yang menjadi acuan : Source dan destination IP address dan port numbers dari jumlah paket

yang palsu dan secara acak, ukuran window, sequence number, dan packet length yang tetap selama serangan, flags

dalam protocol TCP dan UDP dimanipulasi, roundtrip time diukur dari respon server, routing table dari host atau

gateway berubah, membanjiri transaksi ID DNS (reply packet) dan HTTP requests dibanjiri melalui port 80.

Dilakukan perbandingan hasil dari dataset ISCX menggunakan Snort IDS untuk membuktikan bahwa benar adanya

serangan DoS pada dataset.

Tidak membahas mengenai pencegahan terhadap serangan yang ada pada jaringan.

OverView

• TUJUAN

→Memvisualisasikan serangan DoS.

→Menerapkan algoritma K-Means untuk clustering data normal dan data serangan DoS.

→Mengukur akurasi dari clustering menggunakan algoritma k-means.

• MANFAAT

Dapat mengetahui fitur apa saja yang menjadi acuan dalam mengenali serangan DoS.

Dapat mengetahui pola penyerangan DoS.

Dapat meng-cluster paket data normal dan paket data serangan.

Pengenalan Pola Paket Data

• Analisa antara Skenario Dataset

ISCX dan Hasil Traceroute

• Perhitungan Paket Data Dominan

• Pengujian menggunakan Snort

Pengelompokan Data dan

Visualisasi Serangan

• Pengujian Dataset

menggunakan Algoritma

K-Means Clustering

Analisa dan

Kesimpulan

Gambar 3. Flowchart

Kerangka Kerja Penelitian

METODOLOGI

Bagaimana mengenali pola paket data normal dan paket data Denial

of Service (DoS) attack pada dataset ISCX ?

RUMUSAN MASALAH

1. Analisa antara Skenario Dataset ISCX dan Hasil Traceroute

2. Perhitungan Paket Data Dominan

• Pengenalan Pola Paket Data

Analisa antara Skenario Dataset ISCX dan Hasil Traceroute

• Dataset Information Security Center of eXcellence (ISCX) dikembangkan oleh Fakultas Ilmu Komputer, Universitas

New Brunswick dari tahun 2009 sampai tahun 2011. Kumpulan data simulasi ISCX berdasarkan skenario serangan :

1. Infiltrasi jaringan dari dalam.

2. HTTP Denial of service.

3. Distributed DOS menggunakan IRC Botnet.

4. Brute-force SSH.

ISCX DATASET

ELEMEN TAHAP PENGUJIAN

1. Reconnanissance.

2. Identifikasi vulnerability.

3. Mempertahankan akses dengan menciptakan backdoors.

4. Kemampuan untuk secara efektif menutupi jalur penyerangan.

Hari Tanggal Deskripsi Size (GB)

Jum’at 11/06/2010 Aktifitas Normal 16.1

Sabtu 12/06/2010 Aktifitas Normal 4.22

Minggu 13/06/2010 Infiltrating the network from inside

dan aktifitas normal

3.95

Senin 14/06/2010 HTTP Denial of service dan aktifitas normal 6.85

Selasa 15/06/2010 DDOS IRC Botnet 23.4

Rabu 16/06/2010 Aktifitas Normal 17.6

Kamis 17/06/2010 Brute Force SSH + aktifitas normal 12.3

TABEL 1

No. Nama Features No. Nama Features

1 appName 11 sourceTCPFlagsDescription

2 totalSourceBytes 12 destinationTCPFlagsDescription

3 totalDestinationBytes 13 source

4 totalDestinationPackets 14 protocolName

5 totalSourcePackets 15 sourcePort

6 sourcePayloadAsBase64 16 destination

7 sourcePayloadAsBaseUTF 17 destinationPort

8 destinationPayloadAsBase64 18 startDateTime

9 destinationPayloadAsUTF 19 stopDateTime

10 direction

Evaluasi IDS dataset ISCX 2012 (Normal dan attack) [19]

TABEL 2 Daftar Features pada Dataset ISCX

Gambar 5. Ilustrasi Skenario HTTP DoS Attack [19], [22]

Gambar 4. Arsitektur JaringanTestbed ISCX [19]

.

Gambar 6. Hasil Traceroute Dataset ISCX 14 Juni

Hasil Traceroute Dataset ISCX 14 Juni

Gambar 7. flowchart Program

Perhitungan Paket Data Dominan

Gambar 8. Hasil perhitungan paket data dominan dataset ISCX

Perhitungan Paket Data Dominan

Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut serta tingkat akurasi clustering?

• Motode clustering digunakan untuk mengidentifikasi kelompok alami dari

sebuah kasus yang didasarkan pada sebuah kelompok atribut, serta

mengelompokkan data yang memiliki kemiripan atribut.

• K-means adalah algoritma clustering berdasarkan prototype yang merupakan

salah satu metode data mining yang bersifat tanpa arahan (unsupervised), dan

termasuk dalam proses pengelompokan data non-hirarki yang berusaha

mempartisi data kedalam cluster (kelompok), sehingga data yang memiliki

karakteristik yang sama dikelompokkan kedalam satu cluster yang sama dan

data yang karakteristik yang berbeda dikelompokan kedalam kelompok yang

lain.

K-Means Clustering

Mengelompokan objek berdasarkan jarak minimum (sampai

menemukan centroid terdekat)

Menentukan jarak dari masing-masing objek ke centroid

Menentukan koordinat centroid

Tentukan nilai k sebagai jumlah klaster yang ingin dibentuk.

Bangkitkan k centroid (titik pusat klaster) awal secara random.

Algoritma K-Means

Clustering

Gambar 9. Proses Clustering K-means

Hasil Program Clustering K-Means

Gambar 10. Paket Dataset ISCX 14 Juni.csv sebelum di Normalisasi Gambar 11. Paket Dataset ISCX 14 Juni.csv setelah di Normalisasi

Gambar 12. Hasil Perhitungan Jarak Antar

Paket di Dataset ISCX 14 Juni

Gambar 13. Hasil clustering paket dataset ISCX 14 juni (attack)

Gambar 14. Hasil clustering paket dataset ISCX 14 juni (normal)

Total

paket

cluster

attack

Total

paket

cluster

normal

Iteras

i ke-

Centroid akhir

(normal)

Centroid akhir

(attack)

1830

1830

171338

171338

0

1

[6139.0, 36110.0, 33.0,

22.0, 1591.0]

[260.0, 128.0, 2.0, 3.0,

80.0]

Jenis

Paket

Jumlah

Paket

Accuracy

(%)

Detection

Rate (%)

False

Alarm

(%)

TN 167611

97,83

98,36

0,02 FP 30

FN 3727

TP 1800

TABEL 3

Hasil Perhitungan Clustering menggunakan algoritma K-means

TABEL 4

Perhitungan Confusion Matrix Permrograman K-means

Gamabr 17. Hasil Clustering Dataset ISCX

dengan Membuang Atribut

Gambar 16. Pengolahan dataset ISCX

No. Paket Cluster 0 Cluster 1

31303 16440.84965894412 65355.4034246841

TABEL 5

Jarak Salah Satu Paket Terhadap Cluster Centoid

Hasil Pengujian Clustering K-means menggunakan “WEKA”

TABEL 6

Perhitungan Confusion Matrix

Jenis

Paket

Jumlah

Paket

Accuracy

(%)

Detection

Rate (%)

False

Alarm

(%)

TN 53907

99,69

99,01

3,70 FP 20

FN 151

TP 2010

Bagaimana menampilkan visualisasi yang menggambarkan paket data

normal dan paket data serangan DoS ?

Keuntungan Visualisasi Serangan

Lalu lintas jaringan dapat

menjadi kompleks

Serangan dapat dengan cepat

terdeteksi

Serangan visualisasi dapat dengan mudah

diatasi, sangat heterogen dan noisy data

Menyederhanakan masalah dengan menghadirkan situasi

lalu lintas jaringan dengan cara yang intuitif ( gambar

visual)

Berdasarkan hasil dari analisa skenario, traceroute dan

program perhitungan paket dominan, maka gambar 12 berikut

akan menunjukan visualisasi pola penyerangan DoS [27] di

dataset ISCX. :

Attack Visualization digunakan untuk mengenali dan

memvisualisasikan situasi dari serangan internet yang sering

terjadi pada keamanan komputer. Dengan memvisualisasikan

serangan, akan lebih mudah mengenali dan menyimpulkan

pola dari gambar visual yang kompleks[3].

Gambar 15 Visualisasi Paket Data Attack dan Normal Dataset ISCX 14 Juni

Membuktikan Adanya Serangan DoS Pada Dataset ISCX 14 Juni

• Snort merupakan Intrusion Detection System open source yang menjadi standar IDS. Snort bekerja pada layer 3 dan layer

4 dengan melibatkan protocol seperti IP,ICMP,TCP dan UDP. Sistem deteksi intrusi memiliki tujuan, salah satunya untuk

memaksimalkan tingkat akurasi deteksi alert traffic yang terindikasi sebagai serangan (true-positive). Komponen –

komponen Snort IDS meliputi : Rule snort, Snort engine dan Alert .

SNORT

<rule action> | <protocol> | <src ip> | <src port> |

<dest ip> | <dest port> | rule options

Gambar 13. Format Rules

Gambar 14. Flowchart Reading Pcap Files

TABEL 5

Jumlah alert terdeteksi pada pengujian ISCX Dataset (14 Juni 2010)

No Klasifikasi alert terdeteksi SID Priority Total

1 Misc activity 1:2925:3 3 18264

2 Generic Protocol Command Decode 1:1748:8 3 7310

3 Attempted Administrator Privilege Gain 1:2546:14 1 3528

4 Attempted Information Leak 1:1201:13 2 770

5 Access to a Potentially Vulnerable Web

Application

1:1721:18 2 284

6 Attempted Denial of Service 1:2014384:8 2 42

……………………………………………………………………………………….

Hasil Korelasi dan Ekstraksi SNORT

Gambar 15. Ekstrasi dan korelasi data hasil pengujian Snort dataset ISCX

KESIMPULAN

• Hasil analisa skenario dan traceroute dataset ISCX menunjukan, penyerang memanfaatkan koneksi dari host 192.168.2.112,

192.168.2.113, 192.168.3.115, 192.168.3.117, 192.18.1.101 dan 192.18.2.106 untuk melakukan exploit ke IP server

192.168.5.122.

• Serangan Denial of Service di dataset ISCX memiliki pola sebagai berikut : banyaknya IP host yang hanya meng-exploit ke satu IP

server, HTTP request dibanjiri melalui port 80, ukuran window dan packet length yang tetap selama serangan, flags dalam protokol

TCP dimanipulasi hanya melakukan SYN dan ACK, port numbers secara acak dari jumlah paket palsu. Sedangkan, paket normal

membentuk pola yaitu : banyaknya satu source ke banyak destination, banyak source ke satu destination dan satu source ke satu

destination.

• Persentasi akurasi dari program clustering menggunakan algoritma k-means sebesar 97,83%, untuk detection rate nya sebesar

98,63%, dan hasil perhitungan confusion matrix untuk false alarm dari program sebesar 0,02%.

• Nilai persentase akurasi dari clustering menggunakan algoritma k-means dengan tool WEKA yang dihitung menggunakan

confusion matrix menghasilkan nilai accuracy 99,69%, detection rate 99,01% dan false alarm sebesar 3,70%,

• Hasil deteksi sistem engine di dataset ISCX testbed 14 juni untuk jenis serangan Denial of Service sebanyak 42 alert.

KESIMPULAN DAN SARAN

SARAN

• Pada penelitian lanjutan, ada baiknya mencoba untuk melakukan visualisasi menggunakan dataset dengan topologi sendiri dan

secara real-time.

• Untuk hasil validasi menggunakan sistem deteksi (IDS) dapat menunjukan hasil yang lebih baik dari pengujian sebelumnya,

dengan meng-update rules DoS terbaru.

Terimakasih