SlideShare una empresa de Scribd logo

VISUALISASI SERANGAN DOS

C
comnets

Visualisasi serangan DoS dengan clustering

Internet
1 de 20
Descargar para leer sin conexión
“Visualisasi Serangan DoS Dengan Clustering Menggunakan Algoritma K-Means Presented by : Napsiah | 09121001065 Supervisor : Dr. Deris Stiawan Sistem Komputer, Ilmu Komputer, Universitas Sriwijaya
OverView • LATAR BELAKANG • Denial of Service (DoS) salah satu teknik serangan yang sering dilakukan oleh attacker dalam melumpuhkan sistem. Serangan DoS menghasilkan kerusakan yang sifatnya persisten [1]. Serangan DoS menimbulkan ancaman serius dalam jaringan internet saat ini. Serangan DoS mudah untuk diimplementasikan tetapi sulit untuk mencegah dan melacaknya [2]. [VALUE] [VALUE] [VALUE] [VALUE] [VALUE][VALUE] [VALUE] [VALUE] Denial of Service Brute Force Browser Shellshock SSL Backdoor Botnet Others Gambar 1. Top Network Attack (source : McAfee Labs, 2015) Gambar 2. Trend Data of DoS 2013 (source : SANS Institute, 2015) DNS 20% Web [VALUE] SMTP [VALUE] VoIP [VALUE] TCP-SYN Flood [VALUE] IPv6 [VALUE] ICMP [VALUE] UDP [VALUE] TCP-Other [VALUE] Application 62% Network 38% TCP-Other 3%
OverView • RUMUSAN MASALAH ? Bagaimana mengenali pola paket data normal dan paket data Denial of Service (DoS) attack pada dataset ISCX ? ? Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut ? ? Bagaimana menampilkan visualisasi yang menggambarkan paket data normal dan paket data serangan DoS ? • BATASAN MASALAH  Metode yang digunakan untuk memvisualisasikan serangan menggunakan clustering dengan algoritma K-means.  Dataset yang digunakan merupakan data dari ISCX pada tanggal 14 juni 2010.  Parameter serangan yang menjadi acuan : Source dan destination IP address dan port numbers dari jumlah paket yang palsu dan secara acak, ukuran window, sequence number, dan packet length yang tetap selama serangan, flags dalam protocol TCP dan UDP dimanipulasi, roundtrip time diukur dari respon server, routing table dari host atau gateway berubah, membanjiri transaksi ID DNS (reply packet) dan HTTP requests dibanjiri melalui port 80.  Dilakukan perbandingan hasil dari dataset ISCX menggunakan Snort IDS untuk membuktikan bahwa benar adanya serangan DoS pada dataset.  Tidak membahas mengenai pencegahan terhadap serangan yang ada pada jaringan.
OverView • TUJUAN →Memvisualisasikan serangan DoS. →Menerapkan algoritma K-Means untuk clustering data normal dan data serangan DoS. →Mengukur akurasi dari clustering menggunakan algoritma k-means. • MANFAAT  Dapat mengetahui fitur apa saja yang menjadi acuan dalam mengenali serangan DoS.  Dapat mengetahui pola penyerangan DoS.  Dapat meng-cluster paket data normal dan paket data serangan.
Pengenalan Pola Paket Data • Analisa antara Skenario Dataset ISCX dan Hasil Traceroute • Perhitungan Paket Data Dominan • Pengujian menggunakan Snort Pengelompokan Data dan Visualisasi Serangan • Pengujian Dataset menggunakan Algoritma K-Means Clustering Analisa dan Kesimpulan Gambar 3. Flowchart Kerangka Kerja Penelitian METODOLOGI
Bagaimana mengenali pola paket data normal dan paket data Denial of Service (DoS) attack pada dataset ISCX ? RUMUSAN MASALAH 1. Analisa antara Skenario Dataset ISCX dan Hasil Traceroute 2. Perhitungan Paket Data Dominan • Pengenalan Pola Paket Data
Analisa antara Skenario Dataset ISCX dan Hasil Traceroute • Dataset Information Security Center of eXcellence (ISCX) dikembangkan oleh Fakultas Ilmu Komputer, Universitas New Brunswick dari tahun 2009 sampai tahun 2011. Kumpulan data simulasi ISCX berdasarkan skenario serangan : 1. Infiltrasi jaringan dari dalam. 2. HTTP Denial of service. 3. Distributed DOS menggunakan IRC Botnet. 4. Brute-force SSH. ISCX DATASET ELEMEN TAHAP PENGUJIAN 1. Reconnanissance. 2. Identifikasi vulnerability. 3. Mempertahankan akses dengan menciptakan backdoors. 4. Kemampuan untuk secara efektif menutupi jalur penyerangan.
Hari Tanggal Deskripsi Size (GB) Jum’at 11/06/2010 Aktifitas Normal 16.1 Sabtu 12/06/2010 Aktifitas Normal 4.22 Minggu 13/06/2010 Infiltrating the network from inside dan aktifitas normal 3.95 Senin 14/06/2010 HTTP Denial of service dan aktifitas normal 6.85 Selasa 15/06/2010 DDOS IRC Botnet 23.4 Rabu 16/06/2010 Aktifitas Normal 17.6 Kamis 17/06/2010 Brute Force SSH + aktifitas normal 12.3 TABEL 1 No. Nama Features No. Nama Features 1 appName 11 sourceTCPFlagsDescription 2 totalSourceBytes 12 destinationTCPFlagsDescription 3 totalDestinationBytes 13 source 4 totalDestinationPackets 14 protocolName 5 totalSourcePackets 15 sourcePort 6 sourcePayloadAsBase64 16 destination 7 sourcePayloadAsBaseUTF 17 destinationPort 8 destinationPayloadAsBase64 18 startDateTime 9 destinationPayloadAsUTF 19 stopDateTime 10 direction Evaluasi IDS dataset ISCX 2012 (Normal dan attack) [19] TABEL 2 Daftar Features pada Dataset ISCX
Gambar 5. Ilustrasi Skenario HTTP DoS Attack [19], [22] Gambar 4. Arsitektur JaringanTestbed ISCX [19]
. Gambar 6. Hasil Traceroute Dataset ISCX 14 Juni Hasil Traceroute Dataset ISCX 14 Juni
Gambar 7. flowchart Program Perhitungan Paket Data Dominan Gambar 8. Hasil perhitungan paket data dominan dataset ISCX Perhitungan Paket Data Dominan
Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut serta tingkat akurasi clustering? • Motode clustering digunakan untuk mengidentifikasi kelompok alami dari sebuah kasus yang didasarkan pada sebuah kelompok atribut, serta mengelompokkan data yang memiliki kemiripan atribut. • K-means adalah algoritma clustering berdasarkan prototype yang merupakan salah satu metode data mining yang bersifat tanpa arahan (unsupervised), dan termasuk dalam proses pengelompokan data non-hirarki yang berusaha mempartisi data kedalam cluster (kelompok), sehingga data yang memiliki karakteristik yang sama dikelompokkan kedalam satu cluster yang sama dan data yang karakteristik yang berbeda dikelompokan kedalam kelompok yang lain. K-Means Clustering Mengelompokan objek berdasarkan jarak minimum (sampai menemukan centroid terdekat) Menentukan jarak dari masing-masing objek ke centroid Menentukan koordinat centroid Tentukan nilai k sebagai jumlah klaster yang ingin dibentuk. Bangkitkan k centroid (titik pusat klaster) awal secara random. Algoritma K-Means Clustering Gambar 9. Proses Clustering K-means
Hasil Program Clustering K-Means Gambar 10. Paket Dataset ISCX 14 Juni.csv sebelum di Normalisasi Gambar 11. Paket Dataset ISCX 14 Juni.csv setelah di Normalisasi Gambar 12. Hasil Perhitungan Jarak Antar Paket di Dataset ISCX 14 Juni Gambar 13. Hasil clustering paket dataset ISCX 14 juni (attack) Gambar 14. Hasil clustering paket dataset ISCX 14 juni (normal)
Total paket cluster attack Total paket cluster normal Iteras i ke- Centroid akhir (normal) Centroid akhir (attack) 1830 1830 171338 171338 0 1 [6139.0, 36110.0, 33.0, 22.0, 1591.0] [260.0, 128.0, 2.0, 3.0, 80.0] Jenis Paket Jumlah Paket Accuracy (%) Detection Rate (%) False Alarm (%) TN 167611 97,83 98,36 0,02FP 30 FN 3727 TP 1800 TABEL 3 Hasil Perhitungan Clustering menggunakan algoritma K-means TABEL 4 Perhitungan Confusion Matrix Permrograman K-means
Gamabr 17. Hasil Clustering Dataset ISCX dengan Membuang Atribut Gambar 16. Pengolahan dataset ISCX No. Paket Cluster 0 Cluster 1 31303 16440.84965894412 65355.4034246841 TABEL 5 Jarak Salah Satu Paket Terhadap Cluster Centoid Hasil Pengujian Clustering K-means menggunakan “WEKA” TABEL 6 Perhitungan Confusion Matrix Jenis Paket Jumlah Paket Accuracy (%) Detection Rate (%) False Alarm (%) TN 53907 99,69 99,01 3,70FP 20 FN 151 TP 2010
Bagaimana menampilkan visualisasi yang menggambarkan paket data normal dan paket data serangan DoS ? Keuntungan Visualisasi Serangan Lalu lintas jaringan dapat menjadi kompleks Serangan dapat dengan cepat terdeteksi Serangan visualisasi dapat dengan mudah diatasi, sangat heterogen dan noisy data Menyederhanakan masalah dengan menghadirkan situasi lalu lintas jaringan dengan cara yang intuitif ( gambar visual) Berdasarkan hasil dari analisa skenario, traceroute dan program perhitungan paket dominan, maka gambar 12 berikut akan menunjukan visualisasi pola penyerangan DoS [27] di dataset ISCX. : Attack Visualization digunakan untuk mengenali dan memvisualisasikan situasi dari serangan internet yang sering terjadi pada keamanan komputer. Dengan memvisualisasikan serangan, akan lebih mudah mengenali dan menyimpulkan pola dari gambar visual yang kompleks[3]. Gambar 15 Visualisasi Paket Data Attack dan Normal Dataset ISCX 14 Juni
Membuktikan Adanya Serangan DoS Pada Dataset ISCX 14 Juni • Snort merupakan Intrusion Detection System open source yang menjadi standar IDS. Snort bekerja pada layer 3 dan layer 4 dengan melibatkan protocol seperti IP,ICMP,TCP dan UDP. Sistem deteksi intrusi memiliki tujuan, salah satunya untuk memaksimalkan tingkat akurasi deteksi alert traffic yang terindikasi sebagai serangan (true-positive). Komponen – komponen Snort IDS meliputi : Rule snort, Snort engine dan Alert . SNORT <rule action> | <protocol> | <src ip> | <src port> | <dest ip> | <dest port> | rule options Gambar 13. Format Rules Gambar 14. Flowchart Reading Pcap Files TABEL 5 Jumlah alert terdeteksi pada pengujian ISCX Dataset (14 Juni 2010) No Klasifikasi alert terdeteksi SID Priority Total 1 Misc activity 1:2925:3 3 18264 2 Generic Protocol Command Decode 1:1748:8 3 7310 3 Attempted Administrator Privilege Gain 1:2546:14 1 3528 4 Attempted Information Leak 1:1201:13 2 770 5 Access to a Potentially Vulnerable Web Application 1:1721:18 2 284 6 Attempted Denial of Service 1:2014384:8 2 42 ……………………………………………………………………………………….
Hasil Korelasi dan Ekstraksi SNORT Gambar 15. Ekstrasi dan korelasi data hasil pengujian Snort dataset ISCX
KESIMPULAN • Hasil analisa skenario dan traceroute dataset ISCX menunjukan, penyerang memanfaatkan koneksi dari host 192.168.2.112, 192.168.2.113, 192.168.3.115, 192.168.3.117, 192.18.1.101 dan 192.18.2.106 untuk melakukan exploit ke IP server 192.168.5.122. • Serangan Denial of Service di dataset ISCX memiliki pola sebagai berikut : banyaknya IP host yang hanya meng-exploit ke satu IP server, HTTP request dibanjiri melalui port 80, ukuran window dan packet length yang tetap selama serangan, flags dalam protokol TCP dimanipulasi hanya melakukan SYN dan ACK, port numbers secara acak dari jumlah paket palsu. Sedangkan, paket normal membentuk pola yaitu : banyaknya satu source ke banyak destination, banyak source ke satu destination dan satu source ke satu destination. • Persentasi akurasi dari program clustering menggunakan algoritma k-means sebesar 97,83%, untuk detection rate nya sebesar 98,63%, dan hasil perhitungan confusion matrix untuk false alarm dari program sebesar 0,02%. • Nilai persentase akurasi dari clustering menggunakan algoritma k-means dengan tool WEKA yang dihitung menggunakan confusion matrix menghasilkan nilai accuracy 99,69%, detection rate 99,01% dan false alarm sebesar 3,70%, • Hasil deteksi sistem engine di dataset ISCX testbed 14 juni untuk jenis serangan Denial of Service sebanyak 42 alert. KESIMPULAN DAN SARAN SARAN • Pada penelitian lanjutan, ada baiknya mencoba untuk melakukan visualisasi menggunakan dataset dengan topologi sendiri dan secara real-time. • Untuk hasil validasi menggunakan sistem deteksi (IDS) dapat menunjukan hasil yang lebih baik dari pengujian sebelumnya, dengan meng-update rules DoS terbaru.
Terimakasih 

Recomendados

Deteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeris Stiawan
 
Visualisasi serangan remote to local dengan clustering k means
Visualisasi serangan remote to local dengan clustering k meansVisualisasi serangan remote to local dengan clustering k means
Visualisasi serangan remote to local dengan clustering k meanscomnets
 
Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...
Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...
Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...Deris Stiawan
 
Identifikasi Trafik Terenkripsi dengan Deep Packet Inspection
Identifikasi Trafik Terenkripsi dengan Deep Packet InspectionIdentifikasi Trafik Terenkripsi dengan Deep Packet Inspection
Identifikasi Trafik Terenkripsi dengan Deep Packet InspectionDeris Stiawan
 
Vulnerability scaning keamanan jaringan
Vulnerability scaning keamanan jaringanVulnerability scaning keamanan jaringan
Vulnerability scaning keamanan jaringanBram Abang
 
Workshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemWorkshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemDan H
 
Analisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk Visualisas
Analisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk VisualisasAnalisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk Visualisas
Analisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk Visualisascomnets
 
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule OptionsSistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Optionscomnets
 

Recomendados

Deteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeris Stiawan
 
Visualisasi serangan remote to local dengan clustering k means
Visualisasi serangan remote to local dengan clustering k meansVisualisasi serangan remote to local dengan clustering k means
Visualisasi serangan remote to local dengan clustering k meanscomnets
 
Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...
Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...
Klasifikasi Malware Trojan Ransomware Dengan Algoritma Support Vector Machine...Deris Stiawan
 
Identifikasi Trafik Terenkripsi dengan Deep Packet Inspection
Identifikasi Trafik Terenkripsi dengan Deep Packet InspectionIdentifikasi Trafik Terenkripsi dengan Deep Packet Inspection
Identifikasi Trafik Terenkripsi dengan Deep Packet InspectionDeris Stiawan
 
Vulnerability scaning keamanan jaringan
Vulnerability scaning keamanan jaringanVulnerability scaning keamanan jaringan
Vulnerability scaning keamanan jaringanBram Abang
 
Workshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemWorkshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemDan H
 
Analisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk Visualisas
Analisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk VisualisasAnalisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk Visualisas
Analisis Perbandingan Metode K-Means dan Metode Naïve Bayes Untuk Visualisascomnets
 
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule OptionsSistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Optionscomnets
 
Python Network Programming For Network Engineers
Python Network Programming For Network EngineersPython Network Programming For Network Engineers
Python Network Programming For Network EngineersI Putu Hariyadi
 
pembelajaran jaringan wan (WIDE AREA NETWORK)
pembelajaran jaringan wan (WIDE AREA NETWORK)pembelajaran jaringan wan (WIDE AREA NETWORK)
pembelajaran jaringan wan (WIDE AREA NETWORK)seolangit7
 
KK_13_TKJ
KK_13_TKJKK_13_TKJ
KK_13_TKJHeru Sakus9
 
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )Eko Supriyadi
 
kk13 Instalasi Perangkat Jaringan Luas WAN.ppt
kk13 Instalasi Perangkat Jaringan Luas WAN.pptkk13 Instalasi Perangkat Jaringan Luas WAN.ppt
kk13 Instalasi Perangkat Jaringan Luas WAN.pptscribdtrain
 
WAN
WANWAN
WANssuser5e3346
 
Aplikasi monitor jaringan dan keamanan linux ~ m rendi
Aplikasi monitor jaringan dan keamanan linux ~ m rendiAplikasi monitor jaringan dan keamanan linux ~ m rendi
Aplikasi monitor jaringan dan keamanan linux ~ m rendiRachman Arif
 
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)avsai
 
Laporan tugas akhir
Laporan tugas akhirLaporan tugas akhir
Laporan tugas akhirNatanael Juan Johanes
 
Wide area network
Wide area networkWide area network
Wide area networkAsep Suhendar
 
Slide Jaringan Komputer ITB pertemuan 1
Slide Jaringan Komputer ITB pertemuan 1 Slide Jaringan Komputer ITB pertemuan 1
Slide Jaringan Komputer ITB pertemuan 1 Putu Shinoda
 
09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.pptRidwanElektro
 
Sistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanSistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanDuwinowo NT
 
Sistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanSistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanMaulana Arif
 
TUTORIAL DYNAMIC ROUTING OSPF.pptx
TUTORIAL DYNAMIC ROUTING OSPF.pptxTUTORIAL DYNAMIC ROUTING OSPF.pptx
TUTORIAL DYNAMIC ROUTING OSPF.pptxTaufikHidayat8361
 
Software Defined Networking (SDN) Controller Network Management
Software Defined Networking (SDN) Controller Network ManagementSoftware Defined Networking (SDN) Controller Network Management
Software Defined Networking (SDN) Controller Network ManagementI Putu Hariyadi
 
Network Monitoring Documentation
Network Monitoring DocumentationNetwork Monitoring Documentation
Network Monitoring DocumentationArif Wahyudi
 
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...Lusiana Diyan
 
Laporan resmi
Laporan resmiLaporan resmi
Laporan resminatubakha
 
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...idsecconf
 

Más contenido relacionado

Similar a VISUALISASI SERANGAN DOS

Python Network Programming For Network Engineers
Python Network Programming For Network EngineersPython Network Programming For Network Engineers
Python Network Programming For Network EngineersI Putu Hariyadi
 
pembelajaran jaringan wan (WIDE AREA NETWORK)
pembelajaran jaringan wan (WIDE AREA NETWORK)pembelajaran jaringan wan (WIDE AREA NETWORK)
pembelajaran jaringan wan (WIDE AREA NETWORK)seolangit7
 
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )Eko Supriyadi
 
kk13 Instalasi Perangkat Jaringan Luas WAN.ppt
kk13 Instalasi Perangkat Jaringan Luas WAN.pptkk13 Instalasi Perangkat Jaringan Luas WAN.ppt
kk13 Instalasi Perangkat Jaringan Luas WAN.pptscribdtrain
 
Aplikasi monitor jaringan dan keamanan linux ~ m rendi
Aplikasi monitor jaringan dan keamanan linux ~ m rendiAplikasi monitor jaringan dan keamanan linux ~ m rendi
Aplikasi monitor jaringan dan keamanan linux ~ m rendiRachman Arif
 
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)avsai
 
Slide Jaringan Komputer ITB pertemuan 1
Slide Jaringan Komputer ITB pertemuan 1 Slide Jaringan Komputer ITB pertemuan 1
Slide Jaringan Komputer ITB pertemuan 1 Putu Shinoda
 
09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.pptRidwanElektro
 
Sistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanSistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanDuwinowo NT
 
Sistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanSistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanMaulana Arif
 
TUTORIAL DYNAMIC ROUTING OSPF.pptx
TUTORIAL DYNAMIC ROUTING OSPF.pptxTUTORIAL DYNAMIC ROUTING OSPF.pptx
TUTORIAL DYNAMIC ROUTING OSPF.pptxTaufikHidayat8361
 
Software Defined Networking (SDN) Controller Network Management
Software Defined Networking (SDN) Controller Network ManagementSoftware Defined Networking (SDN) Controller Network Management
Software Defined Networking (SDN) Controller Network ManagementI Putu Hariyadi
 
Network Monitoring Documentation
Network Monitoring DocumentationNetwork Monitoring Documentation
Network Monitoring DocumentationArif Wahyudi
 
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...Lusiana Diyan
 
Laporan resmi
Laporan resmiLaporan resmi
Laporan resminatubakha
 
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...idsecconf
 

Similar a VISUALISASI SERANGAN DOS (20)

Python Network Programming For Network Engineers
Python Network Programming For Network EngineersPython Network Programming For Network Engineers
Python Network Programming For Network Engineers
 
pembelajaran jaringan wan (WIDE AREA NETWORK)
pembelajaran jaringan wan (WIDE AREA NETWORK)pembelajaran jaringan wan (WIDE AREA NETWORK)
pembelajaran jaringan wan (WIDE AREA NETWORK)
 
KK_13_TKJ
KK_13_TKJKK_13_TKJ
KK_13_TKJ
 
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
Melakukan instalasi perangkat jaringan berbasis luas ( wide area network )
 
kk13 Instalasi Perangkat Jaringan Luas WAN.ppt
kk13 Instalasi Perangkat Jaringan Luas WAN.pptkk13 Instalasi Perangkat Jaringan Luas WAN.ppt
kk13 Instalasi Perangkat Jaringan Luas WAN.ppt
 
WAN
WANWAN
WAN
 
Aplikasi monitor jaringan dan keamanan linux ~ m rendi
Aplikasi monitor jaringan dan keamanan linux ~ m rendiAplikasi monitor jaringan dan keamanan linux ~ m rendi
Aplikasi monitor jaringan dan keamanan linux ~ m rendi
 
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
Mendiagnosis permasalahan perangkat jaringan berbasis luas (wan)
 
Laporan tugas akhir
Laporan tugas akhirLaporan tugas akhir
Laporan tugas akhir
 
Wide area network
Wide area networkWide area network
Wide area network
 
Slide Jaringan Komputer ITB pertemuan 1
Slide Jaringan Komputer ITB pertemuan 1 Slide Jaringan Komputer ITB pertemuan 1
Slide Jaringan Komputer ITB pertemuan 1
 
09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt
 
Sistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanSistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringan
 
Sistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringanSistem deteksi intrusion berbasis jaringan
Sistem deteksi intrusion berbasis jaringan
 
TUTORIAL DYNAMIC ROUTING OSPF.pptx
TUTORIAL DYNAMIC ROUTING OSPF.pptxTUTORIAL DYNAMIC ROUTING OSPF.pptx
TUTORIAL DYNAMIC ROUTING OSPF.pptx
 
Software Defined Networking (SDN) Controller Network Management
Software Defined Networking (SDN) Controller Network ManagementSoftware Defined Networking (SDN) Controller Network Management
Software Defined Networking (SDN) Controller Network Management
 
Network Monitoring Documentation
Network Monitoring DocumentationNetwork Monitoring Documentation
Network Monitoring Documentation
 
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
JARINGAN KOMPUTER LANJUTAN “NETWORK ADDRESS TRANSLATION (NAT) dan ACCESS CON...
 
Laporan resmi
Laporan resmiLaporan resmi
Laporan resmi
 
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
Charles Lim, Mario Marcello - “Sistem Pemantauan Ancaman Serangan Siber di In...
 

VISUALISASI SERANGAN DOS

  • 1. “Visualisasi Serangan DoS Dengan Clustering Menggunakan Algoritma K-Means Presented by : Napsiah | 09121001065 Supervisor : Dr. Deris Stiawan Sistem Komputer, Ilmu Komputer, Universitas Sriwijaya
  • 2. OverView • LATAR BELAKANG • Denial of Service (DoS) salah satu teknik serangan yang sering dilakukan oleh attacker dalam melumpuhkan sistem. Serangan DoS menghasilkan kerusakan yang sifatnya persisten [1]. Serangan DoS menimbulkan ancaman serius dalam jaringan internet saat ini. Serangan DoS mudah untuk diimplementasikan tetapi sulit untuk mencegah dan melacaknya [2]. [VALUE] [VALUE] [VALUE] [VALUE] [VALUE][VALUE] [VALUE] [VALUE] Denial of Service Brute Force Browser Shellshock SSL Backdoor Botnet Others Gambar 1. Top Network Attack (source : McAfee Labs, 2015) Gambar 2. Trend Data of DoS 2013 (source : SANS Institute, 2015) DNS 20% Web [VALUE] SMTP [VALUE] VoIP [VALUE] TCP-SYN Flood [VALUE] IPv6 [VALUE] ICMP [VALUE] UDP [VALUE] TCP-Other [VALUE] Application 62% Network 38% TCP-Other 3%
  • 3. OverView • RUMUSAN MASALAH ? Bagaimana mengenali pola paket data normal dan paket data Denial of Service (DoS) attack pada dataset ISCX ? ? Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut ? ? Bagaimana menampilkan visualisasi yang menggambarkan paket data normal dan paket data serangan DoS ? • BATASAN MASALAH  Metode yang digunakan untuk memvisualisasikan serangan menggunakan clustering dengan algoritma K-means.  Dataset yang digunakan merupakan data dari ISCX pada tanggal 14 juni 2010.  Parameter serangan yang menjadi acuan : Source dan destination IP address dan port numbers dari jumlah paket yang palsu dan secara acak, ukuran window, sequence number, dan packet length yang tetap selama serangan, flags dalam protocol TCP dan UDP dimanipulasi, roundtrip time diukur dari respon server, routing table dari host atau gateway berubah, membanjiri transaksi ID DNS (reply packet) dan HTTP requests dibanjiri melalui port 80.  Dilakukan perbandingan hasil dari dataset ISCX menggunakan Snort IDS untuk membuktikan bahwa benar adanya serangan DoS pada dataset.  Tidak membahas mengenai pencegahan terhadap serangan yang ada pada jaringan.
  • 4. OverView • TUJUAN →Memvisualisasikan serangan DoS. →Menerapkan algoritma K-Means untuk clustering data normal dan data serangan DoS. →Mengukur akurasi dari clustering menggunakan algoritma k-means. • MANFAAT  Dapat mengetahui fitur apa saja yang menjadi acuan dalam mengenali serangan DoS.  Dapat mengetahui pola penyerangan DoS.  Dapat meng-cluster paket data normal dan paket data serangan.
  • 5. Pengenalan Pola Paket Data • Analisa antara Skenario Dataset ISCX dan Hasil Traceroute • Perhitungan Paket Data Dominan • Pengujian menggunakan Snort Pengelompokan Data dan Visualisasi Serangan • Pengujian Dataset menggunakan Algoritma K-Means Clustering Analisa dan Kesimpulan Gambar 3. Flowchart Kerangka Kerja Penelitian METODOLOGI
  • 6. Bagaimana mengenali pola paket data normal dan paket data Denial of Service (DoS) attack pada dataset ISCX ? RUMUSAN MASALAH 1. Analisa antara Skenario Dataset ISCX dan Hasil Traceroute 2. Perhitungan Paket Data Dominan • Pengenalan Pola Paket Data
  • 7. Analisa antara Skenario Dataset ISCX dan Hasil Traceroute • Dataset Information Security Center of eXcellence (ISCX) dikembangkan oleh Fakultas Ilmu Komputer, Universitas New Brunswick dari tahun 2009 sampai tahun 2011. Kumpulan data simulasi ISCX berdasarkan skenario serangan : 1. Infiltrasi jaringan dari dalam. 2. HTTP Denial of service. 3. Distributed DOS menggunakan IRC Botnet. 4. Brute-force SSH. ISCX DATASET ELEMEN TAHAP PENGUJIAN 1. Reconnanissance. 2. Identifikasi vulnerability. 3. Mempertahankan akses dengan menciptakan backdoors. 4. Kemampuan untuk secara efektif menutupi jalur penyerangan.
  • 8. Hari Tanggal Deskripsi Size (GB) Jum’at 11/06/2010 Aktifitas Normal 16.1 Sabtu 12/06/2010 Aktifitas Normal 4.22 Minggu 13/06/2010 Infiltrating the network from inside dan aktifitas normal 3.95 Senin 14/06/2010 HTTP Denial of service dan aktifitas normal 6.85 Selasa 15/06/2010 DDOS IRC Botnet 23.4 Rabu 16/06/2010 Aktifitas Normal 17.6 Kamis 17/06/2010 Brute Force SSH + aktifitas normal 12.3 TABEL 1 No. Nama Features No. Nama Features 1 appName 11 sourceTCPFlagsDescription 2 totalSourceBytes 12 destinationTCPFlagsDescription 3 totalDestinationBytes 13 source 4 totalDestinationPackets 14 protocolName 5 totalSourcePackets 15 sourcePort 6 sourcePayloadAsBase64 16 destination 7 sourcePayloadAsBaseUTF 17 destinationPort 8 destinationPayloadAsBase64 18 startDateTime 9 destinationPayloadAsUTF 19 stopDateTime 10 direction Evaluasi IDS dataset ISCX 2012 (Normal dan attack) [19] TABEL 2 Daftar Features pada Dataset ISCX
  • 9. Gambar 5. Ilustrasi Skenario HTTP DoS Attack [19], [22] Gambar 4. Arsitektur JaringanTestbed ISCX [19]
  • 10. . Gambar 6. Hasil Traceroute Dataset ISCX 14 Juni Hasil Traceroute Dataset ISCX 14 Juni
  • 11. Gambar 7. flowchart Program Perhitungan Paket Data Dominan Gambar 8. Hasil perhitungan paket data dominan dataset ISCX Perhitungan Paket Data Dominan
  • 12. Bagaimana clustering paket data serangan DoS dan paket data normal pada dataset tersebut serta tingkat akurasi clustering? • Motode clustering digunakan untuk mengidentifikasi kelompok alami dari sebuah kasus yang didasarkan pada sebuah kelompok atribut, serta mengelompokkan data yang memiliki kemiripan atribut. • K-means adalah algoritma clustering berdasarkan prototype yang merupakan salah satu metode data mining yang bersifat tanpa arahan (unsupervised), dan termasuk dalam proses pengelompokan data non-hirarki yang berusaha mempartisi data kedalam cluster (kelompok), sehingga data yang memiliki karakteristik yang sama dikelompokkan kedalam satu cluster yang sama dan data yang karakteristik yang berbeda dikelompokan kedalam kelompok yang lain. K-Means Clustering Mengelompokan objek berdasarkan jarak minimum (sampai menemukan centroid terdekat) Menentukan jarak dari masing-masing objek ke centroid Menentukan koordinat centroid Tentukan nilai k sebagai jumlah klaster yang ingin dibentuk. Bangkitkan k centroid (titik pusat klaster) awal secara random. Algoritma K-Means Clustering Gambar 9. Proses Clustering K-means
  • 13. Hasil Program Clustering K-Means Gambar 10. Paket Dataset ISCX 14 Juni.csv sebelum di Normalisasi Gambar 11. Paket Dataset ISCX 14 Juni.csv setelah di Normalisasi Gambar 12. Hasil Perhitungan Jarak Antar Paket di Dataset ISCX 14 Juni Gambar 13. Hasil clustering paket dataset ISCX 14 juni (attack) Gambar 14. Hasil clustering paket dataset ISCX 14 juni (normal)
  • 14. Total paket cluster attack Total paket cluster normal Iteras i ke- Centroid akhir (normal) Centroid akhir (attack) 1830 1830 171338 171338 0 1 [6139.0, 36110.0, 33.0, 22.0, 1591.0] [260.0, 128.0, 2.0, 3.0, 80.0] Jenis Paket Jumlah Paket Accuracy (%) Detection Rate (%) False Alarm (%) TN 167611 97,83 98,36 0,02FP 30 FN 3727 TP 1800 TABEL 3 Hasil Perhitungan Clustering menggunakan algoritma K-means TABEL 4 Perhitungan Confusion Matrix Permrograman K-means
  • 15. Gamabr 17. Hasil Clustering Dataset ISCX dengan Membuang Atribut Gambar 16. Pengolahan dataset ISCX No. Paket Cluster 0 Cluster 1 31303 16440.84965894412 65355.4034246841 TABEL 5 Jarak Salah Satu Paket Terhadap Cluster Centoid Hasil Pengujian Clustering K-means menggunakan “WEKA” TABEL 6 Perhitungan Confusion Matrix Jenis Paket Jumlah Paket Accuracy (%) Detection Rate (%) False Alarm (%) TN 53907 99,69 99,01 3,70FP 20 FN 151 TP 2010
  • 16. Bagaimana menampilkan visualisasi yang menggambarkan paket data normal dan paket data serangan DoS ? Keuntungan Visualisasi Serangan Lalu lintas jaringan dapat menjadi kompleks Serangan dapat dengan cepat terdeteksi Serangan visualisasi dapat dengan mudah diatasi, sangat heterogen dan noisy data Menyederhanakan masalah dengan menghadirkan situasi lalu lintas jaringan dengan cara yang intuitif ( gambar visual) Berdasarkan hasil dari analisa skenario, traceroute dan program perhitungan paket dominan, maka gambar 12 berikut akan menunjukan visualisasi pola penyerangan DoS [27] di dataset ISCX. : Attack Visualization digunakan untuk mengenali dan memvisualisasikan situasi dari serangan internet yang sering terjadi pada keamanan komputer. Dengan memvisualisasikan serangan, akan lebih mudah mengenali dan menyimpulkan pola dari gambar visual yang kompleks[3]. Gambar 15 Visualisasi Paket Data Attack dan Normal Dataset ISCX 14 Juni
  • 17. Membuktikan Adanya Serangan DoS Pada Dataset ISCX 14 Juni • Snort merupakan Intrusion Detection System open source yang menjadi standar IDS. Snort bekerja pada layer 3 dan layer 4 dengan melibatkan protocol seperti IP,ICMP,TCP dan UDP. Sistem deteksi intrusi memiliki tujuan, salah satunya untuk memaksimalkan tingkat akurasi deteksi alert traffic yang terindikasi sebagai serangan (true-positive). Komponen – komponen Snort IDS meliputi : Rule snort, Snort engine dan Alert . SNORT <rule action> | <protocol> | <src ip> | <src port> | <dest ip> | <dest port> | rule options Gambar 13. Format Rules Gambar 14. Flowchart Reading Pcap Files TABEL 5 Jumlah alert terdeteksi pada pengujian ISCX Dataset (14 Juni 2010) No Klasifikasi alert terdeteksi SID Priority Total 1 Misc activity 1:2925:3 3 18264 2 Generic Protocol Command Decode 1:1748:8 3 7310 3 Attempted Administrator Privilege Gain 1:2546:14 1 3528 4 Attempted Information Leak 1:1201:13 2 770 5 Access to a Potentially Vulnerable Web Application 1:1721:18 2 284 6 Attempted Denial of Service 1:2014384:8 2 42 ……………………………………………………………………………………….
  • 18. Hasil Korelasi dan Ekstraksi SNORT Gambar 15. Ekstrasi dan korelasi data hasil pengujian Snort dataset ISCX
  • 19. KESIMPULAN • Hasil analisa skenario dan traceroute dataset ISCX menunjukan, penyerang memanfaatkan koneksi dari host 192.168.2.112, 192.168.2.113, 192.168.3.115, 192.168.3.117, 192.18.1.101 dan 192.18.2.106 untuk melakukan exploit ke IP server 192.168.5.122. • Serangan Denial of Service di dataset ISCX memiliki pola sebagai berikut : banyaknya IP host yang hanya meng-exploit ke satu IP server, HTTP request dibanjiri melalui port 80, ukuran window dan packet length yang tetap selama serangan, flags dalam protokol TCP dimanipulasi hanya melakukan SYN dan ACK, port numbers secara acak dari jumlah paket palsu. Sedangkan, paket normal membentuk pola yaitu : banyaknya satu source ke banyak destination, banyak source ke satu destination dan satu source ke satu destination. • Persentasi akurasi dari program clustering menggunakan algoritma k-means sebesar 97,83%, untuk detection rate nya sebesar 98,63%, dan hasil perhitungan confusion matrix untuk false alarm dari program sebesar 0,02%. • Nilai persentase akurasi dari clustering menggunakan algoritma k-means dengan tool WEKA yang dihitung menggunakan confusion matrix menghasilkan nilai accuracy 99,69%, detection rate 99,01% dan false alarm sebesar 3,70%, • Hasil deteksi sistem engine di dataset ISCX testbed 14 juni untuk jenis serangan Denial of Service sebanyak 42 alert. KESIMPULAN DAN SARAN SARAN • Pada penelitian lanjutan, ada baiknya mencoba untuk melakukan visualisasi menggunakan dataset dengan topologi sendiri dan secara real-time. • Untuk hasil validasi menggunakan sistem deteksi (IDS) dapat menunjukan hasil yang lebih baik dari pengujian sebelumnya, dengan meng-update rules DoS terbaru.