“Visualisasi Serangan DoS Dengan
Clustering Menggunakan Algoritma
K-Means
Presented by : Napsiah | 09121001065 Supervisor : Dr. Deris Stiawan
Sistem Komputer, Ilmu Komputer, Universitas Sriwijaya
OverView • LATAR BELAKANG
• Denial of Service (DoS) salah satu teknik serangan yang sering dilakukan oleh attacker dalam melumpuhkan
sistem. Serangan DoS menghasilkan kerusakan yang sifatnya persisten [1]. Serangan DoS menimbulkan
ancaman serius dalam jaringan internet saat ini. Serangan DoS mudah untuk diimplementasikan tetapi sulit
untuk mencegah dan melacaknya [2].
[VALUE]
[VALUE]
[VALUE] [VALUE]
[VALUE] [VALUE]
[VALUE]
[VALUE]
Denial of Service Brute Force Browser
Shellshock SSL Backdoor
Botnet Others
Gambar 1. Top Network Attack
(source : McAfee Labs, 2015)
Gambar 2. Trend Data of DoS 2013
(source : SANS Institute, 2015)
DNS
20%
Web
[VALUE]
SMTP
[VALUE]
VoIP
[VALUE]
TCP-SYN
Flood
[VALUE]
IPv6
[VALUE]
ICMP
[VALUE]
UDP
[VALUE]
TCP-Other
[VALUE]
Application 62% Network 38% TCP-Other 3%
OverView
• RUMUSAN MASALAH
? Bagaimana mengenali pola paket data normal dan paket data Denial of Service (DoS) attack pada dataset ISCX ?
? Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut ?
? Bagaimana menampilkan visualisasi yang menggambarkan paket data normal dan paket data serangan DoS ?
• BATASAN MASALAH
Metode yang digunakan untuk memvisualisasikan serangan menggunakan clustering dengan algoritma K-means.
Dataset yang digunakan merupakan data dari ISCX pada tanggal 14 juni 2010.
Parameter serangan yang menjadi acuan : Source dan destination IP address dan port numbers dari jumlah paket
yang palsu dan secara acak, ukuran window, sequence number, dan packet length yang tetap selama serangan, flags
dalam protocol TCP dan UDP dimanipulasi, roundtrip time diukur dari respon server, routing table dari host atau
gateway berubah, membanjiri transaksi ID DNS (reply packet) dan HTTP requests dibanjiri melalui port 80.
Dilakukan perbandingan hasil dari dataset ISCX menggunakan Snort IDS untuk membuktikan bahwa benar adanya
serangan DoS pada dataset.
Tidak membahas mengenai pencegahan terhadap serangan yang ada pada jaringan.
OverView
• TUJUAN
→Memvisualisasikan serangan DoS.
→Menerapkan algoritma K-Means untuk clustering data normal dan data serangan DoS.
→Mengukur akurasi dari clustering menggunakan algoritma k-means.
• MANFAAT
Dapat mengetahui fitur apa saja yang menjadi acuan dalam mengenali serangan DoS.
Dapat mengetahui pola penyerangan DoS.
Dapat meng-cluster paket data normal dan paket data serangan.
Pengenalan Pola Paket Data
• Analisa antara Skenario Dataset
ISCX dan Hasil Traceroute
• Perhitungan Paket Data Dominan
• Pengujian menggunakan Snort
Pengelompokan Data dan
Visualisasi Serangan
• Pengujian Dataset
menggunakan Algoritma
K-Means Clustering
Analisa dan
Kesimpulan
Gambar 3. Flowchart
Kerangka Kerja Penelitian
METODOLOGI
Bagaimana mengenali pola paket data normal dan paket data Denial
of Service (DoS) attack pada dataset ISCX ?
RUMUSAN MASALAH
1. Analisa antara Skenario Dataset ISCX dan Hasil Traceroute
2. Perhitungan Paket Data Dominan
• Pengenalan Pola Paket Data
Analisa antara Skenario Dataset ISCX dan Hasil Traceroute
• Dataset Information Security Center of eXcellence (ISCX) dikembangkan oleh Fakultas Ilmu Komputer, Universitas
New Brunswick dari tahun 2009 sampai tahun 2011. Kumpulan data simulasi ISCX berdasarkan skenario serangan :
1. Infiltrasi jaringan dari dalam.
2. HTTP Denial of service.
3. Distributed DOS menggunakan IRC Botnet.
4. Brute-force SSH.
ISCX DATASET
ELEMEN TAHAP PENGUJIAN
1. Reconnanissance.
2. Identifikasi vulnerability.
3. Mempertahankan akses dengan menciptakan backdoors.
4. Kemampuan untuk secara efektif menutupi jalur penyerangan.
Hari Tanggal Deskripsi Size (GB)
Jum’at 11/06/2010 Aktifitas Normal 16.1
Sabtu 12/06/2010 Aktifitas Normal 4.22
Minggu 13/06/2010 Infiltrating the network from inside
dan aktifitas normal
3.95
Senin 14/06/2010 HTTP Denial of service dan aktifitas normal 6.85
Selasa 15/06/2010 DDOS IRC Botnet 23.4
Rabu 16/06/2010 Aktifitas Normal 17.6
Kamis 17/06/2010 Brute Force SSH + aktifitas normal 12.3
TABEL 1
No. Nama Features No. Nama Features
1 appName 11 sourceTCPFlagsDescription
2 totalSourceBytes 12 destinationTCPFlagsDescription
3 totalDestinationBytes 13 source
4 totalDestinationPackets 14 protocolName
5 totalSourcePackets 15 sourcePort
6 sourcePayloadAsBase64 16 destination
7 sourcePayloadAsBaseUTF 17 destinationPort
8 destinationPayloadAsBase64 18 startDateTime
9 destinationPayloadAsUTF 19 stopDateTime
10 direction
Evaluasi IDS dataset ISCX 2012 (Normal dan attack) [19]
TABEL 2 Daftar Features pada Dataset ISCX
Gambar 5. Ilustrasi Skenario HTTP DoS Attack [19], [22]
Gambar 4. Arsitektur JaringanTestbed ISCX [19]
.
Gambar 6. Hasil Traceroute Dataset ISCX 14 Juni
Hasil Traceroute Dataset ISCX 14 Juni
Gambar 7. flowchart Program
Perhitungan Paket Data Dominan
Gambar 8. Hasil perhitungan paket data dominan dataset ISCX
Perhitungan Paket Data Dominan
Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut serta tingkat akurasi clustering?
• Motode clustering digunakan untuk mengidentifikasi kelompok alami dari
sebuah kasus yang didasarkan pada sebuah kelompok atribut, serta
mengelompokkan data yang memiliki kemiripan atribut.
• K-means adalah algoritma clustering berdasarkan prototype yang merupakan
salah satu metode data mining yang bersifat tanpa arahan (unsupervised), dan
termasuk dalam proses pengelompokan data non-hirarki yang berusaha
mempartisi data kedalam cluster (kelompok), sehingga data yang memiliki
karakteristik yang sama dikelompokkan kedalam satu cluster yang sama dan
data yang karakteristik yang berbeda dikelompokan kedalam kelompok yang
lain.
K-Means Clustering
Mengelompokan objek berdasarkan jarak minimum (sampai
menemukan centroid terdekat)
Menentukan jarak dari masing-masing objek ke centroid
Menentukan koordinat centroid
Tentukan nilai k sebagai jumlah klaster yang ingin dibentuk.
Bangkitkan k centroid (titik pusat klaster) awal secara random.
Algoritma K-Means
Clustering
Gambar 9. Proses Clustering K-means
Hasil Program Clustering K-Means
Gambar 10. Paket Dataset ISCX 14 Juni.csv sebelum di Normalisasi Gambar 11. Paket Dataset ISCX 14 Juni.csv setelah di Normalisasi
Gambar 12. Hasil Perhitungan Jarak Antar
Paket di Dataset ISCX 14 Juni
Gambar 13. Hasil clustering paket dataset ISCX 14 juni (attack)
Gambar 14. Hasil clustering paket dataset ISCX 14 juni (normal)
Total
paket
cluster
attack
Total
paket
cluster
normal
Iteras
i ke-
Centroid akhir
(normal)
Centroid akhir
(attack)
1830
1830
171338
171338
0
1
[6139.0, 36110.0, 33.0,
22.0, 1591.0]
[260.0, 128.0, 2.0, 3.0,
80.0]
Jenis
Paket
Jumlah
Paket
Accuracy
(%)
Detection
Rate (%)
False
Alarm
(%)
TN 167611
97,83
98,36
0,02 FP 30
FN 3727
TP 1800
TABEL 3
Hasil Perhitungan Clustering menggunakan algoritma K-means
TABEL 4
Perhitungan Confusion Matrix Permrograman K-means
Gamabr 17. Hasil Clustering Dataset ISCX
dengan Membuang Atribut
Gambar 16. Pengolahan dataset ISCX
No. Paket Cluster 0 Cluster 1
31303 16440.84965894412 65355.4034246841
TABEL 5
Jarak Salah Satu Paket Terhadap Cluster Centoid
Hasil Pengujian Clustering K-means menggunakan “WEKA”
TABEL 6
Perhitungan Confusion Matrix
Jenis
Paket
Jumlah
Paket
Accuracy
(%)
Detection
Rate (%)
False
Alarm
(%)
TN 53907
99,69
99,01
3,70 FP 20
FN 151
TP 2010
Bagaimana menampilkan visualisasi yang menggambarkan paket data
normal dan paket data serangan DoS ?
Keuntungan Visualisasi Serangan
Lalu lintas jaringan dapat
menjadi kompleks
Serangan dapat dengan cepat
terdeteksi
Serangan visualisasi dapat dengan mudah
diatasi, sangat heterogen dan noisy data
Menyederhanakan masalah dengan menghadirkan situasi
lalu lintas jaringan dengan cara yang intuitif ( gambar
visual)
Berdasarkan hasil dari analisa skenario, traceroute dan
program perhitungan paket dominan, maka gambar 12 berikut
akan menunjukan visualisasi pola penyerangan DoS [27] di
dataset ISCX. :
Attack Visualization digunakan untuk mengenali dan
memvisualisasikan situasi dari serangan internet yang sering
terjadi pada keamanan komputer. Dengan memvisualisasikan
serangan, akan lebih mudah mengenali dan menyimpulkan
pola dari gambar visual yang kompleks[3].
Gambar 15 Visualisasi Paket Data Attack dan Normal Dataset ISCX 14 Juni
Membuktikan Adanya Serangan DoS Pada Dataset ISCX 14 Juni
• Snort merupakan Intrusion Detection System open source yang menjadi standar IDS. Snort bekerja pada layer 3 dan layer
4 dengan melibatkan protocol seperti IP,ICMP,TCP dan UDP. Sistem deteksi intrusi memiliki tujuan, salah satunya untuk
memaksimalkan tingkat akurasi deteksi alert traffic yang terindikasi sebagai serangan (true-positive). Komponen –
komponen Snort IDS meliputi : Rule snort, Snort engine dan Alert .
SNORT
<rule action> | <protocol> | <src ip> | <src port> |
<dest ip> | <dest port> | rule options
Gambar 13. Format Rules
Gambar 14. Flowchart Reading Pcap Files
TABEL 5
Jumlah alert terdeteksi pada pengujian ISCX Dataset (14 Juni 2010)
No Klasifikasi alert terdeteksi SID Priority Total
1 Misc activity 1:2925:3 3 18264
2 Generic Protocol Command Decode 1:1748:8 3 7310
3 Attempted Administrator Privilege Gain 1:2546:14 1 3528
4 Attempted Information Leak 1:1201:13 2 770
5 Access to a Potentially Vulnerable Web
Application
1:1721:18 2 284
6 Attempted Denial of Service 1:2014384:8 2 42
……………………………………………………………………………………….
Hasil Korelasi dan Ekstraksi SNORT
Gambar 15. Ekstrasi dan korelasi data hasil pengujian Snort dataset ISCX
KESIMPULAN
• Hasil analisa skenario dan traceroute dataset ISCX menunjukan, penyerang memanfaatkan koneksi dari host 192.168.2.112,
192.168.2.113, 192.168.3.115, 192.168.3.117, 192.18.1.101 dan 192.18.2.106 untuk melakukan exploit ke IP server
192.168.5.122.
• Serangan Denial of Service di dataset ISCX memiliki pola sebagai berikut : banyaknya IP host yang hanya meng-exploit ke satu IP
server, HTTP request dibanjiri melalui port 80, ukuran window dan packet length yang tetap selama serangan, flags dalam protokol
TCP dimanipulasi hanya melakukan SYN dan ACK, port numbers secara acak dari jumlah paket palsu. Sedangkan, paket normal
membentuk pola yaitu : banyaknya satu source ke banyak destination, banyak source ke satu destination dan satu source ke satu
destination.
• Persentasi akurasi dari program clustering menggunakan algoritma k-means sebesar 97,83%, untuk detection rate nya sebesar
98,63%, dan hasil perhitungan confusion matrix untuk false alarm dari program sebesar 0,02%.
• Nilai persentase akurasi dari clustering menggunakan algoritma k-means dengan tool WEKA yang dihitung menggunakan
confusion matrix menghasilkan nilai accuracy 99,69%, detection rate 99,01% dan false alarm sebesar 3,70%,
• Hasil deteksi sistem engine di dataset ISCX testbed 14 juni untuk jenis serangan Denial of Service sebanyak 42 alert.
KESIMPULAN DAN SARAN
SARAN
• Pada penelitian lanjutan, ada baiknya mencoba untuk melakukan visualisasi menggunakan dataset dengan topologi sendiri dan
secara real-time.
• Untuk hasil validasi menggunakan sistem deteksi (IDS) dapat menunjukan hasil yang lebih baik dari pengujian sebelumnya,
dengan meng-update rules DoS terbaru.
Terimakasih