1
BAB I PENDAHULUAN
1.1. Latar Belakang Perkembangan internet saat ini sebagai suatu media informasi sangatlah pesat. Setiap orang dapat memanfaatkannya untuk berbagai kepentingan atau aspek kehidupan, sehingga kian hari trafik internet menjadi semakin tinggi. Intensitas trafik dapat berubah menjadi jauh lebih tinggi daripada keadaan normal, biasanya terjadi karena dua hal yaitu fenomena flashcrowd atau serangan flooding trafik. Flashcrowd adalah kejadian yang tidak dapat diprediksi tetapi sah/legal yaitu peningkatan akses oleh user yang sah/legal secara dramatis/tinggi ke suatu server karena suatu kejadian seperti bencana alam, peluncuran produk, breaking news, dll., sedangkan salah satu serangan flooding trafik yang menyebabkan kerusakan paling parah adalah Denial of Service (DOS) dan Disributed Denial of Service (DDoS) yang merupakan suatu bentuk serangan flooding sistematis yang berusaha menghabiskan sumberdaya suatu host atau service dan membuatnya menjadi tak dapat diakses oleh user yang berhak (intended/legitimate user) yang biasanya dilakukan suatu pihak untuk merugikan pihak lain. Berdasarkan jumlah penyerang, DoS dibagi menjadi dua kategori umum yaitu yang berasal dari satu penyerang dan dari banyak penyerang yang terkoordinasi bersama-sama. Hal ini kemudian dikenal sebagai DDoS. Serangan DDoS dapat menurunkan availability korbannya yang dapat berupa host, router, atau bahkan seluruh jaringan. Mereka memaksa korban untuk melakukan proses komputasi secara intensif dengan mengeksploitasi kerentanan sistem korban dengan cepat atau membanjiri korban dengan volume trafik yang sangat besar berisi paket-paket yang tidak berguna sehingga dengan sengaja mengganggu layanan jaringan. DDoS pada awal serangan biasanya dilakukan untuk membuat server crash/down sehingga melakukan reboot sistem yang biasanya menjadi awal serangan yang lain. Hal ini dikarenakan ketika reboot, tidak semua server
2
melakukan auto-reconfiguration seperti konfigurasi sebelum diserang tetapi kembali ke konfigurasi default. Keadaan tersebut dimanfaatkan oleh penyerang untuk melakukan jenis serangan lain dan bila target tidak mempan diserang dengan serangan DDoS lain, sebagai akhir serangan biasanya server diserang sisi availability-nya. Dikarenakan sifatnya yang terdistribusi, DDoS sangat sulit untuk dideteksi atau ditelusuri asal penyerangnya dan sulit juga dibedakan dari trafik normal user yang sah. Oleh karena itu dibutuhkan suatu sistem atau mekanisme yang dapat mendeteksi dan mengenali serangan pada suatu jaringan, salah satunya dapat dilakukan dengan metode deteksi anomali dengan pendekatan statistik. 1.2. Rumusan Masalah Berdasarkan latar belakang yang telah diuraikan, suatu serangan dapat dideteksi dan dikenali dengan metode deteksi anomaly traffic yang memanfaatkan pendekatan statistik. Pendekatan statistik dimanfaatkan sebagai dasar dari semua pola atau cara deteksi, karena dapat menjadi dasar pada penentuan pola perilaku dari suatu trafik, namun metode anomaly traffic memiliki tingkat kesalahan deteksi yang tinggi apabila tidak dibuat dengan baik. Dalam penelitian [1] dilakukan analisis anomaly traffic menggunakan pendekatan Multivariate Correlation Analysis (MCA) untuk mendeskripsikan hubungan antar setiap fitur trafik. Proses MCA dipercepat dengan bantuan Triangle-Area-Map (TAM) dalam menghitung jarak satu buah nilai fitur terhadap nilai fitur yang lain untuk setiap fitur, dengan begitu sistem dapat menganalisis perbedaan antara trafik normal yang jadi acuan dengan trafik yang diobservasi menggunakan Mahalanobis Distance. Metode tersebut kemudian membandingkan keadaan trafik yang sedang diobservasi dengan trafik saat normal untuk mengenali keadaan trafik berdasarkan threshold yang telah ditentukan, apabila keadaan trafik berada di luar threshold maka dapat dikatakan bahwa trafik yang diobservasi sedang mengalami anomali. Pembandingan trafik yang dilakukan berdasarkan data fitur dari masing-masing trafik normal dan trafik yang sedang diobservasi. Namun sayangnya metode tersebut hanya dapat membedakan trafik menjadi normal atau anomali dan
3
belum bisa memastikan suatu paket yang berada diluar threshold adalah trafik normal, flashcrowd atau DDoS. Oleh karena itu untuk meningkatkan kemampuan dan keakuratan metode sebelumnya, dalam penelitian ini algoritma statistic berbasis MCA tersebut dikembangkan agar dapat mengenali trafik yang diobservasi, terutama trafik normal, flashcrowd, dan DDoS berdasarkan besar jarak yang terjadi akibat perubahan nilai-nilai fitur dari trafik yang diobservasi, sehingga rumusan masalah dalam penelitian ini mencakup tentang bagaimana algoritma berbasis MCA dapat digunakan dalam sistem deteksi dan klasifikasi, kemudian dapat menentukan threshold deteksi untuk data observasi hasil analisis MD. Setelah mengetahui hal tersebut ditentukanlah metode untuk menghitung kesamaan atau perbedaan antara trafik yang diobservasi dengan trafik acuan dalam klasifikasi trafik selain itu, akan dilakukan pula pengukuran kemampuan dan keakuratan metode klasifikasi berdasarkan hasil klasifikasi sistem yang telah dibuat sebelumnya. 1.3. Tujuan Tujuan dari perancangan tugas akhir ini adalah: 1. Membuat sistem deteksi yang dapat mengenali tipe anomaly traffic dengan menggunakan algoritma statistic berbasis MCA (Multivariate Correlation Analysis) untuk mengekstrak dan mendeskripsikan hubungan antar data yang digunakan. 2. Menggunakan three-sigma rule untuk dasar penentuan threshold deteksi terhadap hasil analisis Mahalanobis Distance data keluaran MCA. 3. Menggunakan metode pengukuran jarak Mahalanobis Distance dan Cosine Distance untuk melakukan klasifikasi anomaly traffic. 4. Mengukur keakuratan dan kemampuan algoritma dengan menganalisis hasil keluaran sistem berdasarkan parameter Detection Rate (DR), False Positive Rate (FPR) dan Accuracy(ACC).
4
1.4. Batasan Masalah Batasan masalah dalam tugas akhir ini adalah : 1. Menggunakan data capture realtime yang bersifat offline yang digunakan untuk pengujian sistem, diantaranya yaitu dataset KDD Cup 1999 [2] untuk serangan DDoS, World Cup 1998 [3] untuk flashcrowd, dan keduanya untuk trafik normal. 2. Algorima deteksi anomaly traffic ini terfokus pada tiga keadaan jaringan yaitu normal, flashcrowd, dan serangan DDoS. 3. Sistem yang dibuat merupakan Intrusion Detection System untuk mendeteksi anomaly traffic dengan pendekatan statistik. 4. Tidak menggunakan pendekatan statistik lain, selain Multivariate Correlation Analysis dalam mengolah data masukan sistem. 5. Pembuatan program sistem deteksi anomaly traffic dan ekstraksi fitur menggunakan tools yaitu MATLAB. 1.5. Metodologi Penelitian Metodologi yang digunakan dalam penelitian ini adalah sebagai berikut: 1. Studi Literatur Studi literatur yang dilakukan dengan cara mempelajari dan memahami mengenai anomaly traffic, deteksi anomaly traffic, algoritma statistik, DdoS, flashcrowd serta metode yang dapat digunakan dalam penelitian ini dari berbagai referensi buku, artikel, jurnal, atau referensi dari internet. 2. Pengumpulan Data Pengumpulan data yang dilakukan adalah dengan mengumpulkan berbagai teori pendukung juga dataset yang berisi rekaman realtime-traffic untuk pengujian sistem seperti World Cup 1998 dan KDD Cup 1999, kemudian dianalisis dan data di-preprocessing agar dapat digunakan sesuai kebutuhan sistem.
5
3. Perancangan Sistem Merancangan sistem deteksi anomali dan memodifikasi algoritma dengan MCA berbasis TAM untuk analisis data, deteksi berbasis threshold, dan klasifikasi berbasis jarak. 4. Pengujian dan Analisis Sistem Pengujian sistem dilakukan dengan dataset yang telah disiapkan kemudian menganalisis hasil pengujian dengan parameter-parameter yang telah ditentukan untuk mengetahui kemampuan algoritma dan faktor-faktor yang mempengaruhi hasil yang didapat. 5. Pembuatan Laporan Tugas Akhir Pembuatan laporan dari hasil yang didapat dan proses yang dilakukan dalam penelitian. 1.6. Sistematika Penulisan Adapun sistematika penulisan pada Tugas Akhir ini adalah : BAB I
PENDAHULUAN
Berisi tentang latar belakang penelitian, rumusan masalah, batasan masalah, tujuan penelitian, metodologi penelitian, dan sistematika penelitian. BAB II
DASAR TEORI
Berisi tentang penjelasan mengenai teori-teori dan metode yang digunakan dalam penelitian ini. BAB III
PERANCANGAN SISTEM
Berisi tentang perancangan sistem yang akan dibangun. BAB IV
PENGUJIAN DAN ANALISIS
Berisi tentang pengujian performansi dan analisis hasil penelitian. BAB V
KESIMPULAN DAN SARAN
Berisi kesimpulan dari hasil penelitain yang dilakukan dan rekomendasi untuk penelitian berikutnya.
