Identifikasi Botnets Melalui Pemantauan Group activity Pada DNS Traffic

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

1

Identifikasi Botnets Melalui Pemantauan Group activity Pada DNS Traffic Septian Geges, Waskitho Wibisono, dan Tohari Ahmad Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia E-mail: [email protected] Abstrak—Saat ini telah bermunculan cara-cara cybercrime seiring bertumbuhnya pengguna internet di dunia. Salah satu motif yang disoroti adalah mendapatkan keuntungan finansial melalui kumpulan besar komputer yang diambil alih aksesnya secara paksa. Komputer yang dikendalikan ini biasa disebut bot. Sekelompok bot, disebut sebagai botnet, dikendalikan dari jarak jauh oleh server dan dapat digunakan untuk mengirim e-mail spam, mencuri informasi pribadi, dan meluncurkan serangan DDoS. Sayangnya perkembangan mekanisme pertahanan yang ada hampir selalu tertinggal dengan kecepatan pertumbuhan teknologi botnet. Para Peneliti sudah memfokuskan penelitian pada deteksi bot traffic menggunakan karakteristik jaringan ketika serangan botnet itu terjadi, namun pendekatan deteksi ini bisa dengan cepat dihindari menggunakan teknik penghindaran yang ditambahkan ke dalam bot. Pada pendekatan lain, diperlukan adanya analisis data yang sangat besar, sehingga sangat tidak efektif untuk jaringan-jaringan dengan kecepatan tinggi. Dalam tugas akhir ini diberikan sebuah mekanisme deteksi botnet dengan memantau lalu lintas DNS untuk mendeteksi botnet, yaitu dengan melakukan pemantauan group activity dalam query DNS dikirim secara bersamaan oleh bot yang terdistribusi dalam jaringan tersebut. Mekanisme yang diberikan dapat mendeteksi botnet dengan efektif ketika bot berusaha terhubung ke server command and control (C&C) botnet tersebut atau bermigrasi ke server C&C lain. Kata Kunci—Bot, Botnet, Group activity, Similarity.

I. PENDAHULUAN

T

EKNOLOGI internet saat ini berkembang dengan pesat, begitu pula dengan jumlah penggunanya yang semakin banyak. Internet tidak lagi hanya digunakan sebagai sarana bertukar informasi, namun mulai digunakan untuk keperluan komersial, misalnya saja sebagai sarana transaksi pembayaran. Hal ini tentu menyebabkan sejumlah besar data berharga semakin banyak beredar melalui jaringan internet. Namun, dari waktu ke waktu semakin banyak celah keamanan internet yang didapat dan disalahgunakan oleh para penjahat elektronik. Lebih spesifik lagi, motif yang melatarbelakangi penyalahgunaan internet belakangan ini sudah berbeda dengan motif tradisional (untuk menyerang server atau perangkat lain dalam jaringan), serangan yang dilakukan saat ini dimaksudkan untuk memperoleh keuntungan finansial. Hal ini tentu menjadi ancaman baru yang membahayakan jutaan orang yang menggunakan internet dalam beraktivitas. Contoh serangan yang dapat dilakukan melalui internet antara lain, pencurian

Gambar 1. Proses penyebaran dan penggandaan bot.

informasi pribadi oleh para penjahat elektronik yang dapat menyebabkan kerugian keuangan yang signifikan, internet digunakan untuk mengirim spam mail, maupun sebagai sarana meluncurkan serangan Distributed Denial of Service (DDoS). Botnet adalah sebuah jaringan dari komputer-komputer yang terkontaminasi oleh aplikasi berbahaya. Botnet dioperasikan oleh pelaku kejahatan untuk melakukan serangan internet (cybercrime) [1]. Grup-grup jaringan yang terinfeksi ini semakin meluas dengan cara menginfeksi komputer (hosts) yang rentan menjadi bots sehingga dapat dikendalikan dari jarak jauh melalui jaringan. Semua komputer yang terinfeksi ini melakukan aktifitas berbahaya tanpa dikatahui oleh pemiliknya. Peneliti sudah memfokuskan penelitian pada deteksi bot traffic menggunakan karakteristik jaringan ketika serangan botnet itu terjadi, namun pendekatan deteksi ini bisa dengan cepat dihindari menggunakan teknik penghindaran yang ditambahkan ke dalam bot. Pada pendekatan lain, diperlukan adanya analisis data yang sangat besar, sehingga sangat tidak efektif untuk jaringan-jaringan dengan kecepatan tinggi [2] [3]. Untuk memberikan alternatif metode deteksi botnet, diusulkanlah suatu metode deteksi yang memanfaatkan fitur

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

2

Tabel 1. Beberapa perbedaan antara query DNS botnet dan query DNS yang normal Alamat IP yang Pola aktivitas Tipe DNS mengakses dan kemunculan domain name DNS Botnet Jumlah tetap Group activity Biasanya dalam grup muncul sesekali DDNS (anggota botnet) (dalam situasi spesifik) DNS Normal Anonim, acak Non-group Biasanya DNS (pengguna yang activity, random, sah) kemunculan secara rutin Bagian vertikal menunjukkan sifat khusus dalam DNS traffic, sedangkan bagian horizontal menunjukkan jenis DNS traffic. Gambar 2. Arsitektur Sistem

yang terdapat pada botnet itu sendiri, yaitu group activity. Group activity merupakan suatu perilaku atau karakteristik yang melekat pada botnet, dimana bot mengakses C&C botnet tersebut secara bersamaan. Karena group activity ini pasti dimiliki botnet yang beroperasi dalam jaringan komputer, hal inilah yang menyebabkan group activity menarik untuk dijadikan parameter deteksi botnet. Ada beberapa kondisi dimana group activity dilakukan. Kondisi group activity yang ditangkap oleh mekanisme deteksi botnet ini adalah ketika botnet berpindah ke server C&C yang baru. Selain itu, untuk menganalisa group activity hanya diperlukan sejumlah kecil data dari lalu lintas DNS sehingga sangat baik digunakan dalam jaringan berskala besar. Mekanisme ini juga dapat melakukan deteksi botnet secara realtime meskipun botnet menggunakan mekanisme komunikasi yang terenkripsi. Makalah ini membahas tentang metode identifikasi botnet dalam suatu jaringan dengan memanfaatkan group activity pada DNS traffic. II. LANDASAN TEORI A. Bot dan Botnet Bot didefinisikan sebagai kode program kecil yang dirancang untuk menjalankan fungsinya secara otomatis. Dalam penggunaannya, bot dapat dapat sangat bermanfaat jika difungsikan dengan benar, misalnya dalam hal indexing/spidering website, mengumpulkan harga-harga produk online untuk dibandingkan, atau menjalankan fungsi tertentu dalam suatu sistem. Di sisi lain, bot bisa menjadi berbahaya apabila digunakan oleh orang-orang yang tidak bertanggung jawab. Contoh penggunaan negatif dari bot ini antara lain: sebagai pusat kontrol jarak jauh aplikasi trojan horse dan aplikasi berbahaya lain, menjalankan fungsi-fungsi tertentu dalam sebuah komputer tanpa sepengetahuan pemilikya, atau lebih buruk lagi di mana bot dapat digunakan untuk mencuri informasi penting yang dimiliki pemilik komputer, misalnya kata sandi transaksi perbankan. Bot ini tidak hanya ditemukan sebagai entitas tunggal namun dapat juga ditemukan dalam bagian jaringan besar, disebut juga

botnet. Perilaku botnet dapat dianalogikan dengan koloni lebah, di mana terdapat sebuah ratu (pusat komando) yang memberi perintah kepada para lebah pekerja (komputer bot). B. Proses Penyebaran dan Pengendalian Bot Bagian ini menggambarkan proses secara bertahap bagaimana penyerang menggunakan bot: melakukan konfigurasi bot sesuai kebutuhan mereka, mengeksploitasi celah keamanan pada komputer korban, menginfeksi komputer dengan bot & mengendalikan bot untuk menyerang target lain atau menggunakannya sebagai zombie. Proses dimulai dengan pengkodean bot. Sesuai dengan kemampuan penyerang, kode bot dibuat berdasarkan bot yang sudah tersedia di situs warez internet maupun menulis sendiri kode program yang mencakup beberapa elemen utama yaitu server IRC tempat bot akan melakukan koneksi ketika telah terpasang pada komputer inang, layanan port TCP IRC untuk melakukan koneksi, nama private channel bergabung ke sistem kendali, serta password atau kunci untuk menjaga keaslian bot yang ingin bergabung ke dalam sistem kendali. Sebagai fungsi tambahan, penyerang juga dapat mengubah lokasi dan nama berkas bot yang ditempatkan di lingkungan komputer korban. Lebih lanjut lagi, penyerang juga dapat menentukan sejumlah channel, ataupun channel dinamis untuk melakukan akses ke botnet yang telah terbentuk. Hal ini dilakukan untuk mengantisipasi apabila bot tersebut diblokir pada server tertentu. Untuk melakukan hal ini, biasanya penyerang mengunakan layanan publik dyndns.com atau no-ip.com untuk mengasosiasikan alamat IP dinamis ke server IRC tempat bot bergabung. Pada Gambar 1 ditunjukkan proses penyebaran dan penggandaan bot yang diulang berkali-kali sehingga terbentuk botnet. Ditunjukkan juga skema pemanfaatan komputer yang sudah terpasang botnet untuk menyerang komputer dengan DOS. Penyerang mencoba untuk menginfeksi mesin korban dengan bot, baik melalui pemanfaatan celah keamanan pada sistem operasi / aplikasi atau mengelabui pengguna komputer untuk mengeksekusi sebuah program inang yang nantinya akan mengakibatakan prosesinstalasi bot berjalan. Cara umum bagi penyerang untuk menginfeksi banyak komputer yang terhubung ke internet adalah dengan menggunakan metode eksploitasi sistem yang terbaru saat ini (a). Metode eksploitasi ini biasanya

Jumlah Domain Name Terdeteksi

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print)

3

Rata-Rata Jumlah Kesalahan Deteksi Domain Name pada Nilai Threshold Similaritas Tertentu 20 15 10 5 0 1

0.9

0.8

0.7 0.6 0.5 0.4 Nilai Threshold Similaritas

Kurang lebih 500 baris DNS Traffic

Gambar 3. Ilustrasi Proses Seleksi Atribut Penting

dibahas dalam forum rahasia hacker. Hacker menggunakannya untuk mendapatkan akses ke mesin korban dan menginstal bot sebagai backdoor untuk menjaga akses ke sistem korban. Proses penyebaran bot ini bisa berlangsung secara otomatis dengan menggunakan worm arahan penyerang untuk memindai jaringan/subnet target untuk menemukan celah, memanfaatkan sebagian besar sistem yang potensialdan menginfeksi mereka dengan bot. Cara lain adalah dengan memanfaatkan aplikasi web yang mengelabui pengguna untuk menjalankan beberapa program berbahaya atau virus yang menyebabkan infeksi bot. Pengguna dapat menginstal klien IRC yang sudah disisipi trojan sehingga ketika ia menggunakan klien IRC, tanpa sadar ia juga telah menginstal bot pada komputernya. Setelah bot terpasang di komputer korban, bot menggandakan dirinya ke direktori instalasi dan memperbaharui nilai registri apabila bot menyerang lingkungan Windows. Pada tahap berikutnya, bot mencoba untuk melakukan koneksi ke server IRC dengan nick name yang dihasilkan secara acak, yaitu nama yang unik atau nama yang mewakili informasi bahwa bot tersebut adalah milik penyerang (b). Bot menggunakan 'kunci', berupa kata sandi otentikasi untuk bergabung ke channel IRC pribadi milik penyerang. Selanjutnya penyerang berkali-kali menggunakan server IRC publik untuk kegiatan penyebaran bot dan hal ini bisa diketahui dan diblokir oleh administrator IRC, hal ini akan sangat merugikan penyerang karena beresiko kehilangan tentara botnet mereka. Untuk menghindari hal ini, penyerang kadangkadang menggunakan penyedia layanan seperti dyndns.com atau no-ip.com untuk memetakan secara dinamis bot mereka dengan beberapa server IRC (c). Setelah bot terpasang pada komputer korban, bot mengerakan komputer untuk bergabung ke channel penyerang dengan nickname yang unik (d). Ketika bot berhasil bergabung ke channel penyerang, komputer inang telah menjadi bagian dari tentara botnet dan siap menunggu instruksi penyerang (e). Biasanya, setelah bot bergabung ke channel IRC, penyerang akan melakukan akses ke bot tersebut menggunakan kata sandi akses yang kompleks dan kadangkadang dienkripsi, memastikan bahwa bot tidak bisa dikontrol oleh orang lain dan membuat lebih sulit bagi seseorang untuk membajak/mengambil alih botnet (f). Setelah akses telah diterima penyerang, ia dapat mengarahkan & mengendalikan dari jarak jauh sejumlah besar zombie yang terinfeksi melalui

0.3

0.2

0.1

Kurang lebih 1000 baris DNS Traffic

Gambar 4. Rata-rata Kesalahan Sistem (false positive)

botnet, untuk melakukan serangan terhadap target lainnya atau menggunakannya untuk kegiatan berbahaya lainnya (g). Proses yang dijelaskan sebelumnya adalah proses penyebaran satu bot, bayangkan saja bila hal ini dilakukan oleh banyak bot ke banyak komputer target, maka suatu botnet yang besar bisa terbentuk. C. Fitur Utama DNS Traffic Botnet Sebagaimana disebutkan pada pembahasan sebelumnya, host yang terinfeksi secara otomatis akan mengakses server C&C dengan nama domainnya. Oleh karena itu, query DNS RR (resource record) digunakan dan query seperti itu juga muncul di beberapa situasi lain. Lima kasus berikut ini menunjukkan situasi di mana query DNS digunakan dalam botnet. 1. Pada prosedur penyebaran: Jika infeksi komputer berhasil, computer yang terinfeksi harus dikumpulkan dalam satu channel, ketika proses inilah query DNS digunakan. 2. Pada fase serangan botnet. Beberapa jenis kegiatan berbahaya seperti serangan DDoS dan spam surat disertai dengan pengiriman query DNS. 3. Pada kegagalan koneksi server C&C: jika jaringan atau koneksi dari C&C server gagal, bot tidak dapat mengakses ke server C&C, setelah beberapa saat (mengalami kegagalan TCP 3-way handshaking), mereka mulai mengirim query DNS ke server DNS. 4. Pada proses migrasi server C&C: botnet dapat bermigrasi dari satu server C&C ke server yang lain. Pada saat itu, permintaan DNS juga digunakan. 5. Pada saat perubahan alamat IP server C&C: jika server C&C menggunakan alamat IP dinamis (DHCP), alamat IP dapat berubah sewaktu-waktu dan bot master juga dapat mengubah alamat IP dari C&C server dengan sengaja. Jika alamat IP server C&C berubah, bot tidak dapat menghubungi alamat IP server yang lama, sehingga mereka mengirimkan query DNS untuk mengakses server C&C yang baru. Query DNS botnet dapat dibedakan dengan Query DNS yang sah, dengan fitur unik dari query DNS botnet. Tabel 1 menunjukkan beberapa perbedaan antara query DNS botnet dan query DNS yang sah. Pertama, hanya anggota botnet mengirimkan query ke domain name server C&C (biasanya dalam jumlah yang tetap), pengguna yang sah tidak pernah melakukan query ke domain name server C&C. Oleh karena

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) Perbandingan Waktu Proses Reduksi Dataset

Perbandingan Waktu Proses Pemilihan Atribut Penting

120

150

Waktu (milisekon)

Waktu (milisekon)

4

100 50 0

100 80 60 40 20 0

1

2

3

4

5 6 Percobaan Ke

Tidak Menggunakan Whitelist

7

8

9

10

Menggunakan Whitelist

Gambar 5. Perbandingan waktu tahap 1 antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan whitelist

itu, jumlah alamat IP unik yang melakukan query ke domain botnet biasanya tetap. Di sisi lain, akses yang sah biasanya memiliki variasi alamat IP yang mengakses suatu domain name tertentu. Kedua, anggota tetap botnet bertindak dan bermigrasi bersama-sama pada waktu yang sama. Kegiatan kelompok/group activity botnet berasal dari sifat-sifat ini. Query DNS dari botnet terjadi secara bersamaan dan sementara/sewaktu-waktu. Sebaliknya, sebagian besar dari query DNS yang sah tidak terjadi secara bersamaan dengan frekuensi akses yang normal. Query botnet muncul pada situasi tertentu yang disebutkan di atas, sehingga hanya muncul sewaktu-waktu. Ketiga, botnet biasanya menggunakan DDNS untuk server C&C, sedangkan akses yang sah umumnya tidak menggunakan DDNS. III. PERANCANGAN SISTEM DETEKSI A. Deskripsi Umum Sistem Pada makalah ini dideskripsikan suatu sistem deteksi botnet berdasarkan analisa group activity dari botnet. Aplikasi ini memantau traffic DNS untuk kemudian dianalisa keberadaan botnet dalam jaringan tersebut. Proses deteksi botnet dimulai dengan tahap pemilihan atribut penting dari traffic DNS. Setelah atribut penting telah didapatkan, maka langkah berikutnya adalah reduksi dataset yang akan dianalisis. Dari hasil reduksi dataset didapatkan elemen utama dalam deteksi botnet, yaitu domain name beserta daftar alamat IP unik yang mengakses domain name tersebut. Setelah melalui tahap analisis, didapatkanlah domain name C&C botnet (jika ada) beserta daftar whitelist domain name yang digunakan untuk tahap reduksi dataset berikutnya. Analisis deteksi domain name C&C botnet dilakukan dengan memanfaatkan karakteristik group activity/aktivitas grup botnet. B. Arsitektur Umum Sistem Berdasarkan perancangan arsitektur sistem pada Gambar 2, data awal yang masuk adalah traffic DNS. Data ini dapat diambil dari jaringan secara langsung, namun untuk dapat memudahkan pemodelan perilaku botnet, maka data traffic jaringan ini dibuat sendiri oleh penulis dengan berpedoman

1

2

3

4

5 6 Percobaan Ke

Tidak Menggunakan Whitelist

7

8

9

10

Menggunakan Whitelist

Gambar 6. Perbandingan waktu tahap 2 antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan whitelist

terhadap query DNS normal dan sifat umum botnet. Sifat umum botnet yang dimaksud adalah jumlah IP unik yang mengakses domain name C&C botnet biasanya berjumlah tetap (fixed), aktivitas dalam DNS dilakukan secara serentak dan berjalan sewaktu-waktu (group activity). Untuk format query DNS, penulis menyesuaikan dengan hasil keluaran monitoring jaringan DNS dari aplikasi Wireshark. Variabel-variabel yang ada dalam satu query DNS berdasarkan hasil monitoring Wireshark antara lain: nomor, waktu, alamat IP asal query, alamat IP tujuan query, protokol yang digunakan, panjang query DNS, dan informasi mengenai query DNS tersebut [2]. Pada bagian informasi ini terdapat domain name tujuan. Perlu diperhatikan bahwa alur 1-4 yaitu tahap seleksi dan reduksi traffic pada interval t dikerjakan terlebih dahulu, setelah itu proses 5-8 yang merupakan tahap seleksi dan reduksi traffic pada interval t+1 dikerjakan. Sistem akan menunggu hingga proses 5-8 selesai baru kemudian melanjutkan proses deteksi karena pada tahap cek similaritas, diperlukan input daftar domain dan IP unik yang mengaksesnya pada interval waktu t dan t+1. C. Alir Aplikasi Sistem Alir setiap proses yang terdapat pada aplikasi digambarkan pada diagram alir, untuk memudahkan pemahaman secara garis besar proses yang ada pada sistem. Alir aplikasi sistem terdiri dari diagram alir seleksi atribut penting traffic DNS, reduksi dataset, dan cek similaritas domain name. Alir Seleksi Atribut Penting Traffic DNS Proses yang pertama kali dilakukan setelah data traffic DNS masuk adalah proses seleksi atribut penting. Pada proses ini terjadi pengambilan data domain name beserta IP unik yang mengakses domain tersebut dari data traffic DNS Wireshark. Data alamat IP unik dikelompokkan berdasarkan domain name yang diakses. Alir Reduksi Dataset Setelah didapatkan atribut penting yang berupa data alamat IP unik yang sudah dikelompokkan berdasarkan domain name yang diaksesnya, proses berikutnya yang dilakukan adalah reduksi dataset. Reduksi yang dilakukan ini adalah reduksi

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) Perbandingan Waktu Total Deteksi Botnet

Perbandingan Proses Cek Similaritas Domain 1400

1000

1200

800

Waktu (milisekon)

Waktu (milisekon)

5

600

400 200

1000 800 600

400 200

0

0

1

2

3

4

5 6 Percobaan Ke

Tidak Menggunakan Whitelist

7

8

9

10

1

Menggunakan Whitelist

2

3

4

5 6 Percobaan Ke

Tidak Menggunakan Whitelist

7

8

9

10

Menggunakan Whitelist

Gambar 7. Perbandingan waktu tahap 3 antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan whitelist

Gambar 8. Perbandingan waktu keseluruhan deteksi botnet antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan fitur whitelist

jumlah dataset yang nantinya akan digunakan dalam tahap selanjutnya. Inti dari proses ini adalah mencegah analisa query DNS yang ganda atau redundan karena sudah dianalisa sebelumnya, juga untuk mengurangi jumlah data yang dianalisa pada tahap selanjutnya. Dalam proses ini, ada dua macam reduksi dataset, yaitu pemangkasan domain name dengan jumlah alamat IP unik yang mengaksesnya kurang dari threshold, reduksi berikutnya adalah pemangkasan domain name yang terdapat dalam whitelist. Nilai threshold yang dimaksud dalam kriteria reduksi pertama adalah jumlah minimal alamat IP unik yang mengakses suatu domain name untuk diuji similaritasnya. Apabila jumlahnya dibawah threshold, maka domain name tersebut dihilangkan dari penampungan domain name. Whitelist yang dimaksud pada kriteria reduksi kedua berisi daftar domain name yang telah diyakini berupa domain name sah. Daftar ini bisa didefinisikan sendiri oleh pengguna atau didapatkan dari hasil analisa similaritas. Dengan dilakukannya reduksi jumlah dataset ini, proses komputasi bisa dikurangi dan meminimalisir penggunaan sumber daya komputer. Proses cek similaritas nantinya juga akan semakin efisien dalam hal waktu komputasi karena jumlah data yang dianalisis menjadi lebih sedikit.

Apabila nilai A=0 atau B=0 maka nilai similaritas didefinisikan sama dengan -1. Apabila nilai similaritas mendekati 0, maka masukkan domain name tersebut ke dalam whitelist. Asumsikan bahwa ada domain name yang diakses oleh beberapa alamat IP pada waktu t tertentu, Proses mengukur berapa kali alamat IP mengakses domain name setelah t dalam masing-masing rentang waktu. Karena sifat dari DNS botnet unik yang telah dijelaskan di bagian landasan teori, dapat dinyatakan bahwa domain name yang memiliki similaritas 1 bisa dikatakan sebagai domain name C&C botnet. Domain name mencurigakan yang hanya muncul satu kali dan kemungkinan dapat muncul lagi sewaktu-waktu akan memiliki nilai similaritas -1. Domain name ini dimasukkan ke dalam blacklist untuk kemudian diamati perkembangannya dalam jaringan oleh user.

Alir Cek Similaritas Domain name Langkah berikutnya setelah proses reduksi dataset adalah cek similaritas dari masing-masing domain name yang sama pada interval waktu t dan t+1 untuk mengetahui apakah dalam dataset tersebut terdapat domain name C&C botnet. Dalam proses ini akan dicoba dilakukan perhitungan untuk memodelkan group activity dari DNS botnet yang disebut juga similaritas. Apabila ada dua daftar alamat IP yang masingmasing berada dalam interval waktu t dan t+1 dan kedua daftar ini memiliki tujuan domain name yang sama, asumsikan masing-masing jumlah daftar alamat IP sebagai A untuk interval waktu t dan B untuk interval waktu t+1. Apabila ada alamat IP yang sama dalam kedua daftar tersebut, asumsikan jumlah alamat IP yang sama tersebut adalah C. Kita dapat menghitung tingkat similaritas S dengan (1).

𝑆=

1 𝐶 𝐶 + ; (𝐴 ≠ 0, 𝐵 ≠ 0) 2 𝐴 𝐵

(1)

IV. HASIL DAN DISKUSI Pengujian sistem dilakukan dengan mempertimbangkan hal sebagai berikut: 1. Pengujian dengan kondisi ideal dengan nilai threshold 1 sampai 0.1  Jumlah traffic botnet pada data t sama dengan t+1  10 kali percobaan 2. Pengujian dengan kondisi tidak ideal dengan nilai threshold 0.8 sampai 0.4  Jumlah traffic botnet pada data t tidak sama dengan t+1  Ketidaksamaan ini diakibatkan karena botnet belum selesai berpindah ketika interval waktu t selesai.  5 kali percobaan 3. Pengujian waktu deteksi botnet  Tanpa menggunakan whitelist  Menggunakan whitelist 4. Masing-masing kondisi diatas diuji dengan dua buah kepadatan data yang berbeda dalam satu log traffic DNS 5. Penjelasan data uji yang digunakan dapat dilihat pada bagian lampiran. Hasil dari pengujian performa sistem akan dijelaskan dalam tabel dan grafik. Dari Gambar 4, dapat dilihat bahwa sistem mulai tidak mampu mendeteksi botnet dengan akurat ketika nilai threshold similaritas bernilai 0.3 ke bawah (0.2, 0.1 dan

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) Tabel 2. Jumlah Domain botnet yang terdeteksi pada kondisi tidak normal dengan nilai threshold similaritas tertentu

Bagian berwarna kuning-oranye menunjukkan bahwa sistem tidak dapat mendeteksi domain name yang berpindah.

seterusnya). Hal ini disebabkan karena threshold terlalu kecil sehingga menyebabkan domain name normal teridentifikasi sebagai domain botnet (false positive). Dari hasil percobaan, rata-rata nilai similaritas dari domain name normal adalah 0.2, kebanyakan domain name normal memiliki nilai similaritas di bawah 0.1. Pengaruh jumlah data tidak memberikan perbedaan yang signifikan pada deteksi domain name botnet, hal ini terlihat pada kesalahan deteksi yang sama-sama dimulai pada nilai threshold similaritas 0.3, baik pada data yang sedikit maupun data yang lebih besar dua kali lipat. Pada Tabel 2, dapat terlihat bahwa kondisi botnet yang belum bergerak sepenuhnya ketika waktu t sudah berlalu akan mempengaruhi ketepatan deteksi botnet oleh sistem. Selain kondisi perpindahan botnet, nilai threshold similaritas juga berpengaruh. Sistem mulai tidak dapat mendeteksi botnet ketika botnet hampir berpindah seluruhnya ketika waktu t selesai (persentasi botnet yang telah bergerak tinggi). Nilai threshold similaritas yang semakin tinggi juga mengurangi tingkat toleransi sistem terhadap perpindahan botnet sehingga semakin tinggi nilai threshold similaritas, maka semakin tinggi kemungkinan botnet yang berpindah DNS tidak terdeteksi. Dalam analisis lebih lanjut, kondisi perpindahan botnet menjadi berpengaruh dalam ketepatan deteksi botnet karena pengurangan traffic DNS botnet pada log traffic t. penambahan data traffic botnet pada log traffic t+1 tidak mempengaruhi deteksi karena sistem hanya menghitung satu alamat IP unik saja (alamat IP tambahan dari log traffic pada waktu t tidak diikutsertakan dalam proses perhitungan). Dari Gambar 5 hingga Gambar 8 dapat terlihat bahwa sistem yang menggunakan whitelist memiliki performa waktu yang lebih baik dibandingkan sistem yang tidak menggunakan whitelist. Hal ini disebabkan karena sistem tidak perlu melakukan pengecekan tingkat similaritas domain name yang sudah masuk ke dalam whitelist.

6

V. KESIMPULAN/RINGKASAN Kesimpulan yang dapat diambil dari hasil percobaan antara lain: 1. Sistem dapat menyeleksi data penting dalam query DNS, mereduksi dataset yang akan diperiksa similaritas domain name-nya, dan mengenali botnet yang terdapat dalam jaringan melalui group activity botnet tersebut. 2. Sistem deteksi botnet memiliki tingkat sensitivity/recall yang tinggi yaitu diatas 70% dalam kasus ideal dan tidak ideal. Sistem juga memiliki performa yang baik dalam hal waktu, akan lebih baik lagi dengan penggunaan fitur whitelist. Optimasi waktu yang didapat mencapai delapan kali lipat 3. Sistem dapat bekerja dengan baik dalam jumlah baris dataset yang bervariasi. 4. Sistem dapat bekerja dengan baik dalam nilai threshold similaritas domain name yang bervariasi, dari hasil percobaan, threshold similaritas yang digunakan disarankan 0.5. UCAPAN TERIMA KASIH Penulis S.G. mengucapkan terima kasih kepada Jurusan Teknik Informatika Fakultas Teknologi Informasi Institut Teknologi Sepuluh Nopember yang telah menyediakan sarana dan prasarana dalam pembuatan tugas akhir ini. DAFTAR PUSTAKA [1]

P. François dan K. H, Cybercrime and Hacktivism, McAfee Security, 2007.

[2]

C. Hyunsang, L. Hanwoo, L. Heejo dan K. Hyogon, “Botnet Detection by monitoring group activities in dns traffic,” Proceedings of the IEEE International Conference on Computer and Information Technology (CIT), 2007.

[3]

C. Hyunsang, L. Heejo dan K. Hyogon, “BotGAD: detecting botnets by capturing group activities in network traffic,” Proceedings of International Conference on COMmunication System softWAre and MiddlewaRE (COMSWARE), 2009.

[4]

C. Hyunsang dan L. Heejo, “Identifying botnets by capturing group activities in DNS traffic,” 2011.