Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
DETEKSI SERANGAN PADA JARINGAN KOMPUTER DENGAN NEAT Eko Sakti1,*), Supeno Djanali 2) dan Handayani Tjandrasa3) Jurusan Teknik Informatika, Fakultas Teknologi Informasi, InstitutTeknologi Sepuluh Nopember Kampus ITS Keputih - Sukolilo Surabaya 60111, Jawa Timur, Indonesia
[email protected],
[email protected],
[email protected] ABSTRAK Maraknya serangan dengan berbagai tujuan pada jaringan komputer perlu diiringi dengan suatu pengembangan pengetahuan yang meliputi metode-metode untuk menangkal bahkan menghasilkan sebuah bukti yang legal untuk proses persidangan. Hal tersebut dikenal dengan network forensic. Sementara ini peralatan atau metode yang sudah ada menampilkan hasil analisa yang sederhana. Dengan trafik jaringan yang besar, proses analisa akan mempersulit seorang Administrator jaringan tanpa pengetahuan yang cukup. Maka perlu suatu sistem analisa pada network forensic. Penelitian ini mengusulkan suatu analisa aktifitas jaringan komputer menggunakan Neuro Evolution of Augmenting Topologies (NEAT), yang merupakan evolusi dari algoritma genetik dan jaringan saraf tiruan. NEAT berkembang dengan merubah bobot koneksi dan topologi dari artificial neural network secara bersamaan dalam mencari keseimbangan fitness dan struktur jaringan untuk mencapai keseimbangan. Hasil yang didapat sistem jaringan forensic dapat mendeteksi serangan yang terdapat di jaringan komputer pada suatu waktu dengan nilai komputasi berfariasi, sesuai dengan besar rekaman jaringan. Rata-rata waktu komputasi dibawah 40 detik. Kata kunci: NEAT, Network forensics
PENDAHULUAN Aktivitas manusia saat ini tidak lepas dari jaringan internet atau intranet, mulai dari bekerja, hiburan, pendidikan, bisnis, dan pemerintahan. Seiring berkembangnya teknologi informasi yang mengandung berbagai data baik rahasia atau bukan, perlu suatu mekanisme untuk mengontrol bahkan mengamankan informasi agar tidak terjadi penyalahgunaan. Berangkat dari masalah tersebut berkembanglah ilmu keamanan jaringan komputer diantaranya: kriptografi, steganografi, dan audit baik pada jaringan atau host. Pada jaringan komputer sering terjadi serangan, baik itu sekala besar atau kecil. Yang berbeda adalah jenis dan dampak dari serangan tergantung dari tujuan serangan tersebut, ada yang berdampak ringan dan sampai menyebabkan jaringan komputer tersebut lumpuh. Penggunaan firewall dan intrution detection system diterapkan untuk melindungi jaringan komputer terhadap berbagai macam serangan, tetapi solusi ini masih terbatas. Mekanisme pertahanan dirasa kurang cukup untuk mengatasi cyber attack, baru-baru ini pengenalan berbagai macam mekanisme untuk memproteksi jaringan terhadap serangan disebut network forensics (Warren, 2001) (Wang, 2007). Bagaimanapun, peralatan network forensics untuk investigasi seperti Safeback (Safeback, 2010) dan Encase (Encase, 2010) menghasilkan rekaman yang berbeda. Metode manual yang dipakai membuat analisa menjadi tidak layak (Ists, 2010). Tahapan-tahapan dari network forensic adalah pengumpulan, pemeriksaan, analisa dan pelaporan. Dengan kata lain tujuan dari network forensic adalah untuk mendapatkan bukti ISBN : 978-602-97491-4-4 C-28-1
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
otentik adanya serangan dan hasil ahirnya sebagai bukti yang layak untuk proses persidangan. Banyak metode- metode yang ditawarkan diantaranya menggunakan neural network (Araceli, 2009), fuzzy logic dan expert system (Niandong, 2009), dan neurofuzzy (Eleazar, 2009). Penelitian ini akan menganalisa serangan-serangan pada jaringan komputer dengan metode NEAT yang merupakan salah satu algoritma evolution computation. Dibandingkan dengan metode-metode pada penelitian sebelumnya NEAT mempunyai kemampuan untuk merubah struktur jaringan dan bobot koneksi, dimana performa neural network untuk klasifikasi berdasarkan jaringan dan bobot koneksinya (Stanley, 2002). Untuk analisa serangan berdasarkan rekaman yang dihasilkan oleh alat perekam aktivitas jaringan komputer seperti TCPDUMP. Dengan tujuan untuk mengenali adanya serangan pada aktifitas jaringan jaringan komputer dalam selang waktu tertentu. Tujuan dari penelitian ini adalah mendeteksi adanya aktifitas yang diduga sebagai ancaman pada jaringan komputer dengan menggunakan metode NEAT. Sehingga tercipta suatu cara untuk menganalisa aktifitas jaringan tanpa perlu suatu pengetahuan khusus untuk membaca rekaman dari jaringan. Penelitian ini juga mengusulkan sebuah arsitektur untuk network forensic. Penulisan ini disusun sebagai berikut, pembahasan metode usulan dalam sistem network forensik berapa pada bagian ke dua. Hasil dan pembahasan serta Uji coba usulan sistem network forensik berada pada bagian ke tiga , dan yang terakhir kesimpulan dari penelitian yang telah dilakukan dan saran untuk tahap selanjutnya. METODE Sistem yang akan diusulkan dimulai dari pengumpulan data, ekstraksi fitur, pembutan pola, proses komputasi pola dengan metode NEAT, dan menganalisa kelauran. Secara umum sistem yang akan dibuat seperti gambar 3.1 Untuk mendapatkan data, digunakan TCPDUMP yang diletakkan pada komputer target(sebuah server yang akan diserang).
Gambar 1 Alur Network Forensik
Data yang didapat dari rekaman aktifitas jaringan komputer dilakukan ekstraksi fitur untuk mendapatkan sebuah pola. Dari pola itu sebagai masukan metode NEAT, untuk menentukan apakah pola tersebut sebagai serangan atau tidak. Pembuatan pola sebuah serangan synflood didasarkan pada 40 baris rekaman dari aktifitas serangan. Pola yang didapat dari 40 baris tersebut bermacam-macam, karena data yang diperoleh sifatnya dinamis. Data yang diperoleh dari TCPDUMP masih dalam format biner, artinya belum dapat digunakan untuk membuat pola, sehingga perlu dirubah ke format teks. Selain itu data yang dihasilkan sifatnya dinamis, artinya mempunyai pola dan ukuran yang berbeda-beda dalam setiap perekaman. Oleh karenanya diperlukan mekanisme ekstraksi fitur seperti pada gambar 1.
ISBN : 978-602-97491-4-4 C-28-2
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
Gambar 2 Alur pengambilan data
Serangan yang digunakan dalam penelitian ini adalah syn flood. perilaku syn flood dilihat dari rekaman aktifitasnya sebagai berikut. 02:16:20.956062 IP 192.168.1.2.radsec > 192.168.1.1.0: Flags [S], seq 637057067, win 512, length 0 02:16:20.956087 IP 192.168.1.1.0 > 192.168.1.2.radsec: Flags [R.], seq 0, ack 637057068, win 0, length 0 02:16:21.956039 IP 192.168.1.2.sunclustergeo > 192.168.1.1.0: Flags [S], seq 2135533489, win 512, length 0 02:16:21.956066 IP 192.168.1.1.0 > 192.168.1.2.sunclustergeo: Flags [R.], seq 0, ack 2135533490, win 0, length 0 Jika dalam aktifitas jaringan terdapat pola tersebut, dipastikan jaringan terkena serangan syn flood. Syn flood adalah sebuah serangan yang dilakukan pada mekanisme three handshake, yaitu proses awal untuk membuat koneksi antar komputer. Terdapat tiga paket yang dikirim yaitu SYN, SYN-ACK, dan ACK seperti gambar 3.3. Pengiriman paket SYN yang berebihan dengan memalsukan alamat pengirim, sehingga paket SYN-ACK tidak sampai tujuan dan salah satu komputer kebanjiran paket SYN melebihi buffer maksimal, disebut dengan syn flood. Tujuan dari serangan ini adalah membuat sistem(server) yang diserang tidak bisa dihubungi oleh pengunjung(client) yang sebenarnya. Pada kondisi normal (gambar 3.2) sesuai dengan three handshake hanya terjadi beberapa kali flags S. sifat aktifitas jaringan ini yang digunakan sebagi pola dalam menentukan sebuah sistem network forensic, untuk mendeteksi adanya serangan atau tidak pada sebuah rekaman aktifitas jaringan.
Gambar 3 Mekanisme three handshake
ISBN : 978-602-97491-4-4 C-28-3
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
Setelah didapat 40 baris dilanjutkan dengan pembobotan fitur. Fitur yang digunakan adalah flags, seq, win, dan length dimana flags adalah penanda sebuah paket. Flags bisa berisi [S], [S.], [R], [R.], [.], [P], [P.] sedangan seq kepanjangan dari sequence menunjukkan nomor urut paket yang dikirim. Win adalah data yang dikirim sebelum paket Syn-Ack diterima dan length menunjukkan panjang fragmen data yang dikirim. Pembobotan yang dipakai antara 0-1 dimana flags S = 1, R = 0, p = 0, . = 0, S.= 0.5, F= 0, seq >1 = 1, seq <100 = 0, win 512 = 1, 0 = 0, Length 0 = 1, > 0 = 0. Serangan yang akan dianalisa adalah syn flood, sebagai contoh diambil beberapa data: 11:56:03.475343 ARP, Request who-has google-public-dns-a.google.com tell 169.254.127.216, length 46 11:56:04.477753 ARP, Request who-has google-public-dns-a.google.com tell 169.254.127.216, length 46 11:56:04.655291 ARP, Request who-has 192.168.1.1 tell 192.168.1.2, length 46 11:56:04.655308 ARP, Reply 192.168.1.1 is-at 10:78:d2:c6:e7:63 (oui Unknown), length 28 11:56:04.655918 IP 192.168.1.2.srp-feedback > 192.168.1.1.0: Flags [S], seq 665030765, win 512, length 0 11:56:04.655941 IP 192.168.1.1.0 > 192.168.1.2.srp-feedback: Flags [R.], seq 0, ack 665030766, win 0, length 0 11:56:05.656144 IP 192.168.1.2.ndl-tcp-ois-gw > 192.168.1.1.0: Flags [S], seq 982332950, win 512, length 0 ….. Setelah diekstraksi fitur akan menjadi, 0000 0000 0000 0000 1111 0001 1111 …. Dari hasil tersebut selanjutnya dilakukan pembobotan sesuai dengan banyaknya angka 1 pada tiap baris. Jika keempatnya bernilai 1 maka akan diberi bobot 1, jika terdapat 0001 maka akan diberi bobot 0.2 yang hasilnya sebagai berikut: 0 0 0 0 1 0.2 1 ….
ISBN : 978-602-97491-4-4 C-28-4
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
Tahap akhir dari ekstraksi fitur adalah merubah deret tersebut kedalam array dua dimensi setiap array berisi 40 bilangan bertipe float dan dinamakan 1 pola. [[0.0, 0.0, 0.0, 0.0, 1.0, 0.2, 1.0 ……………]] Pembangkitan jaringan pada NEAT diawali dengan jaringan yang sederhana dengan beberapa node masukan dan satu node keluaran. Nilai kompabilits jarak δ ditentukan dengan rumus:
c1 E c2 D ̄ δ= + + c3. W N N
……………………................................... (1) variabel c1, c2, c3, dan N dapat disesuaikan berdasarkan besarnya genom, normalnya diberi nilai 1 jika kedua genom kecil, misal terdiri kurang dari 20 gen. Untuk menentukan sampai mana sebuah jaringan berkembang ditentukan dengan fitness sharing. Dimana setiap organisme pada spesies yang sama harus membagikan fitnes kepada niche-nya K.O. Stanley, R. Miikkulainen,(2002). Jadi suatu spesies tidak akan berkembang menjadi besar jika organisme didalamnya mempunyai performa yang baik. Oleh karena itu, salah satu spesies tidak mungkin untuk mengambil alih seluruh populasi, yang sangat penting bagi speciate dalam proses evolusi. Ukuran jarak δ memunkinkan kita untuk melakukan speciate dengan menggunakan nilai ambang δt. Untuk mengatur fitness setiap organisme j dalam populasi:
f 1i =
f 1i
untuk organisme i dihitung berdasarkan δ jarak dari
fi
∑ j= 1 sh(δ(i , j )) …................................................................................... (2) n
Fungsi sharing sh diberi nilai 0 ketika jarak δ(i, j) berada pada threshold δt.
∑ j= 1 sh(δ(i , j )) n
Sebaliknya, (δ(i, j)) diberi nilai 1. kemudian mengurangi jumlah organisme pada spesies yang sama pada organisme i. Spesies kemudian berkembang biak dengan terlebih dahulu menghilangkan anggota yang performanya paling rendah. Kemudian popolasi digantikan oleh offspring yang tersisa pada tiap spesies. Hasil ahir yang ingin dicapai dengan proses ini adalah mencari solusi seefisien mungkin melalui mimalisir dimensi pencarian. Penggunaan metode NEAT pada penelitian ini sebagai pengklasifikasi sebuah pola berupa serangan atau bukan, seperti pada gambar 4.
Gambar 4 Neat dalam sistem network forensic ISBN : 978-602-97491-4-4 C-28-5
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
Sebelum Jaringan NEAT dimasukkan kedalam sistem perlu tahap pelatihan dan Ujicoba. Pelatihan dimulai dari pembutukan jaringan awal, pada penelitian ini terdiri dari 40 node input dan 1 output seperti gambar 5. Pelatihan dilakukan dengan jaringan awal dengan beberapa masukan pola dan keluaran pola untuk mendapatkan jaringan neat yang sempurna. Disini kelebihan dari neat, dia bisa menyesuaikan jaringan dan bobot dengan sendirinya berdasarkan masukan dan keluaran yang diharapkan.
Gambar 5 jaringan awal neat
Jaringan terbaik hasil pelatihan akan digunakan dalam proses testing, yang telah tersimpan dalam berkas raw dan nantinya akan dimasukaan ke dalam kerangka jaringan neat pada sistem forensik. HASIL DAN PEMBAHASAN Untuk menguji metode yang diusulkan, dilakukan ujicoba pada sebuah jaringan LAN seperti gambar 3.8. Dengan spesifikasi server Prosesor Intel Core i5 GHz , Memori 4 GHz, Hard disk 250 GB, Area swap sebesar 4 GB, Sistem operasi Ubuntu 11.10 oneiric dengan versi kernel 3.0. Komputer penyerang Prosesor Inter dual core 1.7 GHz, Hard disk 120 GB, Area swap sebesar 2 GB, Sistem operasi Ubuntu 10.04 lucid lynx dengan versi kernel 2.6.32.
Gambar 6 Topologi ujicoba
Kakas yang digunakan untuk meluncurkan seragan syn flood adalah Hping3 dengan opsi - flood dan –S kemudian IP tujuan, berikut adalah perintahnya. Sudo hping3 –flood –S […ip address… ] Percobaan pertama dengan menggunakan hping3 didapat hasil dalam waktu 13 detik sistem forensik dapat mengenali file tersebut adalah serangan, seperti gambar 7.
ISBN : 978-602-97491-4-4 C-28-6
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
Gambar 7 Percobaan dengan hping3
Percobaan kedua dengan aktifitas download dan browse halaman web pada server. Dalam waktu waktu 20 detik dan dianggap bukan serangan.
Gambar 8 Percobaan dengan aktifitas normal.
Sistem network forensic yang diusulkan dapat mendeteksi adanya serangan atau tidak pada suatu log aktifitas jaringan komputer, dan sistem ini mampu bekerja secara realtime
ISBN : 978-602-97491-4-4 C-28-7
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
KESIMPULAN Dimulai dari tahap studi literatur sampai dengan tahap ujicoba dapat ditarik kesimpulan: 1. Metode yang ditawarkan dapat mendeteksi adanya serangan syn flood pada suatu waktu dijaringan komputer. 2. Pembuatan pola serangan dengan 40 baris merupakan pembeda dari penelitian lainnya, disamping menggukanan metode NEAT dan dilakukan pada lingkungan yang nyata atau bukan hanya simulasi 3. Data yang acak menyulitkan dalam melakukan ujicoba, jika data yang didapat kurang dari 40 maka sistem tidak dapat bekerja. 4. Kecepatan sistem dalam mendeteksi serangan pada lingkungan nyata bisa dianggap real time. 5. Metode NEAT dapat menyesuaikan jaringan sesaui dengan kasus yang ada. SARAN Harapannya kedepan bisa lebih cepat dalam proses komputasi, melalui perbaikan dalam proses pengambilan dan pembacaan data aktifitas jaringan. DAFTAR PUSTAKA Almulhem A. (2009 ), “Network frensics: notion and challenges”, dalam: Proceedings of the ninth IEEE internationl symposium on signal proceeding and information technology, UAE, Desember. Araceli B, Eleazar A, Mariko N, Hector P. (2009), “Neural Network Based Attack Detection Algorithm”, Wseas transactions on Computers, Juni. Berghel H. (2003), “The discipline of internet forensics”. Communications of the ACM, 46(8):15-20. Broucek V, Turner P. (2001), “Forensic computing: developing a conceptual approach for an emerging academic discipline”, dalam :Fifth Australian security Research Symposium, juli. Casey E, Palmer G.(2004), “The investigative process. In: Casey E, editor. Digital evidence and computer crime”. Elsevier Academic Press. D.G. Wang, T.Li, S.J. Liu, J.H. Zhang, C.M. Liu. (2007), “dynamical network forensics based on immune agent”, dalam : third Internasional Conference on Natural Computation, pp. 651656. Eleazar AA, Mariko N, Hector MP, (2009), “Network Forensics with neurofuzzy Techniques”. IEEE. Emmanuel S, R.C joshi, Rajdeep Niyogi,( 2010), “Network Frameworks:Survey and research challenges”. Elsevier Academic Press. Encase, (2010), Diambil dari internet Http://guidancesoftware.com
Garfinkel
ISBN : 978-602-97491-4-4 C-28-8
Prosiding Seminar Nasional Manajemen Teknologi XV Program Studi MMT-ITS, Surabaya 4 Pebruari 2012
S.Network forensics: diambil dari http://oreillynet.com/pub/a/network/2002/04/26/nettap.html
internet
,
G. Clint p. (2010), Digital Forensics For Network, Internet, and Cloud Computing. Elsevier
G.K. Warren, G.H. Jay, (2001), Computer forensics: Incident Response Essential, Addison-Wesley. New York. Ifsts, (Instiute for security http://ists.dartmounth.edu
technology
studies),
(2010),
Diambil
dari
internet
K.O. Stanley, R. Miikkulainen,(2002), “Evolving Neural Networks through Augmenting Topologies”, dalam Evolutionary Computation, vol. 10, pp.99-127. NEAT-PYTHON (2011) diambil dari internet, http://code.google.com/p/neat-python/ Niandong Liao, shegfeng tian, tianhua wang, (2009), “Network forensics based on fuzzy logic and expert system”. Elsevier Academic Press. Ranum M.(2010), Network flight recorder, http://www.ranum.com/ Safeback,(2010), Diambil dari internet, http://forensics-intl.com/safeback.html Skoudis Ed with Liston Tom, (2005), Counter hack reloaded “A Step-by-Step to Computer Attack and Effective Defense”. pearson education.
Yasinsac A, Manzano Y. Honeytraps.(2002), “a network forensics tool”. Dalam : Proceding of the sixth multi-conference on systemics, cybernetics and informatics, Florida, USA.
ISBN : 978-602-97491-4-4 C-28-9
