2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
Sistem Deteksi Malicious Software Berbasis System Call untuk Klasifikasi Barang Bukti Digital Menggunakan Metode Support Vector Machine 1. 2.
Victor Wahanggara1, Yudi Prayudi2 Fakultas Teknik Industri UII, Sleman Yogyakarta Fakultas Teknik Industri UII, Sleman Yogyakarta
Kontak Person: Victor Wahanggara Griya Permata Kampus A10 Jember, 68121 Telp: 085646866065, E-mail:
[email protected]
Abstrak Saat ini pertumbuhan sistem operasi android di perangkat smartphone berkembang dengan pesat. Dengan demikian platform android menjadi peluang target tindak kejahatan terhadap ancaman keamanan pengguna seperti Malicious Software atau Malware. Forensika Digital merupakan disiplin ilmu yang menerapkan investigasi dan identifikasi dalam menindak kejahatan digital. Salah satu tahapan utama dalam menginvestigasi tindak kejahatan yaitu mengumpulkan barang bukti digital. Menemukan barang bukti digital berupa malware pada sistem operasi android, dibutuhkan sebuah filter yang mendeteksi aktifitas malware yang terjadi dalam sistem. Namun yang menjadi masalah adalah berkembangnya kemampuan malware yang terus meningkat menimbulkan pendeteksian yang komplek. Umumnya solusi yang digunakan untuk mengatasi permasalahan ini yaitu dengan metode berbasis Signature. Namun hal ini dapat dengan mudah dimanfaatkan oleh malware yang mempunyai kemampuan polimorfik. Oleh Karena itu dibutuhkan pendeteksian malware secara dinamis untuk mengatasi masalah tersebut, salah satunya dengan cara mengamati penggunaan System Call. Namun, hal ini akan menjadi tidak efisien apabila pencarian malware diperiksa satu per satu dari banyaknya list aktifitas yang telah terekam. Oleh sebab itu metode Support Vector Machine (SVM) diterapkan untuk mengatasi permasalahan klasifikasi penentuan malware dan non malware. Berdasarkan permasalahan tersebut penelitian ini bertujuan untuk membuktikan bahwa system call dapat mendeteksi tingkah laku malware dan dapat mengklasifikasikan antar aplikasi malware dan non malware menggunakan metode Support Vector Machine pada platform sistem operasi Android. Berdasarkan hasil penelitian didapatkan hasil akurasi 90% untuk kernel polinomial dan kernel RBF 86% serta membuktikan bahwa system call dapat mendeteksi malware yang bersifat polimorfik. Kata kunci: System Call, Malicious Software, Barang Bukti Digital, Forensika Digital, Support Vector Machine
Pendahuluan Meningkatnya permintaan pengguna pada perangkat smartphone berbasis android dikalangan pemerintah, masyarakat dan perusahaan saat ini menjadi celah peluang dan target akan tindakan intruder dalam melakukan aktifitas berbahaya seperti Malicious Software atau disebut Malware. Malware merupakan perangkat lunak yang secara eksplisit didesain untuk melakukan aktifitas berbahaya atau perusak perangkat lunak lainnya, seperti Trojan, Virus, Spyware dan Exploit (Kramer, S., & Bradfield, J. C. 2009). Aktifitas berbahaya yang diakibatkan dari malware akan berdampak sangat merugikan bagi para korbannya ketika informasi pribadi dicuri, sistem dirusak, aktifitas disadap dan diintai. Hal ini merupakan sebuah bukti tindak kejahatan digital yang dilakukan oleh seorang intruder dengan memanfaatkan malware sebagai medianya. Forensika Digital merupakan disiplin ilmu yang menerapkan investigasi dan identifikasi dalam menindak kejahatan digital. Salah satu tahapan utama dalam menginvestigasi tindak kejahatan yaitu mengumpulkan barang bukti digital. Untuk menemukan barang bukti digital pada malware, dibutuhkan sebuah filter yang mendeteksi aktifitas malware yang terjadi dalam sistem. Tujuan pendeteksian ini bermaksud untuk mengklasifikasikan barang bukti digital antara malware dan non malware. Namun yang menjadi masalah adalah berkembangnya kemampuan malware yang terus SENTRA | 1
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
meningkat sehingga menimbulkan pendeteksian yang rumit. Dari pengamatan penelitian sebelumnya, solusi yang digunakan untuk mengatasi permasalahan ini yaitu dengan metode berbasis Signature. Metode berbasis Signature merupakan suatu mekanisme mengenali ciri atau pola unik yang dijadikan penanda keberadaan malware. Namun hal ini dapat dengan mudah dimanfaatkan oleh malware yang mempunyai kemampuan polimorfik, sehingga kode Signature dapat berubah-ubah. Oleh Karena itu dibutuhkan pendeteksian malware secara dinamis untuk mengatasi masalah tersebut, salah satunya dengan cara mengamati penggunaan System Call (Wangsa Setiadipura, Chandra. 2013). System Call merupakan semacam cara bagi program atau perangkat lunak untuk meminta service dari kernel sistem operasi. Setiap perangkat lunak pasti memanggil system call. Oleh karena itu dengan mengamati system call dapat diamati pula tingkah laku dari sebuah perangkat lunak (Kolbitsch et al. 2009). Untuk mengamati system call adalah dengan membuat sebuah file keluaran berisi seluruh system call yang dipanggil oleh aplikasi android. Frekuensi system call dapat digunakan untuk merepresentasikan tingkah laku sebuah aplikasi (Burguera, I., & Zurutuza, U. 2011). Setelah dilakukan perekaman terhadap pemanggilan system call oleh sebuah aplikasi maka dilakukan klasifikasi untuk menentukan apakah perilaku tersebut tergolong malware atau non-malware. Namun, hal ini akan menjadi tidak efisien apabila pencarian malware diperiksa satu per satu dari banyaknya list aktifitas yang telah terekam. Cristianini N, Taylor JS. (2000) mengatakan bahwa Support Vector Machine (SVM) merupakan metode klasifikasi yang memiliki proses pelatihan yang efisien dan dapat dioptimisasi disegala bidang persoalan. Tujuan dari penelitian ini adalah membuktikan System Call dapat mengamati aktifitas malware dan membangun aplikasi yang dapat mengklasifikasikan antara malware dan non malware dengan menggunakan metode Support Vector Machine. Harapannya dari solusi yang sudah diberikan adalah menjadi alternatif mekanisme dalam pendeteksian malware yang sudah ada dan memudahkan para praktisi dalam menemukan barang bukti digital pada malware menggunakan sistem yang aplikatif sehingga dapat memberikan efektifitas dan efisiensi identifikasi proses Forensika Digital.
Metode Penelitian Penjelasan lebih lengkap tentang tahapan-tahapan penelitian akan dipaparkan sebagai berikut : 1. Studi Literatur atau Kepustakaan Melakukan studi pustaka dengan mencari literatur, referensi, dan turorial tentang materi System Call, Support Vector Machine, Android dan Deteksi Malware, Principal Component Analysis. 2. Desain Sistem Pada tahap ini, langkah awal yang dilakukan adalah membuat rancangan sistem secara keseluruhan. Setelah itu setiap item akan diperjelas dengan detail, beserta target yang akan dicapai pada tiap-tiap prosesnya. Subproses desain sistem meliputi proses Akusisi aplikasi, Ekstrasi Aplikasi, dan Support Vector Machine. 3. Implementasi Implementasi yang dilakukan dalam penelitian ini adalah penggunaan tool dan bahasa pemrograman yang digunakan untuk membangun sistem. Beberapa sistem yang akan dibangun yaitu Sistem pengklasifikasi menggunakan Metode Support Vector Machine dan Sistem konversi file CSV. 4. Pengujian Pengujian perangkat lunak dilakukan dengan cara simulasi untuk mengetahui bagaimana cara perangkat lunak tersebut dijalankan, bagaimana perangkat lunak tersebut bekerja apakah sudah sesuai dengan tujuaan atau tidak. 5. Analisa Hasil Analisa hasil merupakan proses identifikasi dan evaluasi dari permasalahan-permasalahan yang ada pada hasil pengujian. Permasalahan yang dimaksud seperti apakah System Call dapa mengamati aktifitas aplikasi yang sedang berjalan di sistem, dan apakah sistem yang dibuat sesuai dengan harapan.
Hasil Penelitian dan Pembahasan Pendeteksian malware menggunakan System Call merupakan alternatif yang dapat digunakan untuk mengetahui segala aktifitas yang dilakukan sebuah perangkat lunak terhadap kernel sistem operasi. Untuk mengetahui pola tingkah laku perangkat lunak yang beraktifitas, frekuensi system call merupakan indikator yang digunakan sebagai representasi dari tingkah laku perangkat lunak. SENTRA | 2
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
Sedangkan metode support vector machine berfungsi sebagai pengolah klasifikasi data hasil konversi dari output yang dihasilkan system call yaitu berupa matrik yang nantinya digunakan sebagai penentu antara malware dan non malware. Sehingga harapannya system call dan metode support vector machine dapat memberikan solusi terhadap metode signature yang tidak dapat mendeteksi malware yang mempunyai sifat yang dinamis. Beberapa langkah-langkah proses sistem deteksi malware berbasis system call untuk klasifikasi barang bukti digital menggunakan metode support vector machine dapat dijelaskan sebagai berikut :
Akusisi Aplikasi Akusisi aplikasi merupakan sebuah proses yang bertanggung jawab sebagai pengunduh aplikasi dari android market dan menyimpannya didalam sebuah penyimpanan yaitu aplikasi repository, yang digunakan nantinya sebagai dataset.
Gambar 1. Alur proses akusisi aplikasi
Aplikasi yang digunakan untuk pengujian berasal dari android market dan beberapa alternative android market. Aplikasi yang diketahui non malware akan diunduh melalui Official android market sedangkan aplikasi yang diketahui malware akan diunduh melalui penyedia malware seperti VirusTotal dan Contagio. Web-crawler tool merupakan aplikasi yang digunakan untuk melakukan pengunduhan aplikasi pada beberapa alternative android market yang berupa file berformat .apk. Hasil pengunduhan aplikasi yang dilakukan dari masing-masing proses kemudian akan diteruskan ke proses VirusTotal Malware Verification System untuk diklasifikasikan antara malware dan non malware secara manual. Aplikasi yang diverifikasi digunakan untuk validitasi yang nantinya digunakan untuk mengenali pola malware antara virus, trojan, spyware dan exploit. Setelah dipastikan bahwa proses verifikasi sesuai dengan klasifikasi maka selanjutnya aplikasi tersebut akan diproses ke proses ekstraksi aplikasi.
Ekstraksi Aplikasi Proses ekstraksi aplikasi merupakan tahapan yang menghasilkan log aktifitas dari aplikasi yang diperoleh dari aplikasi repository.
Gambar 2. Proses Ektraksi Aplikasi Log aktifitas berisi System Call dari kegiatan aplikasi yang berjalan. Aplikasi yang dijalankan kemudian diproses ke virtualisasi, yang mana proses ini bertugas untuk menangani monitoring dan pencatatan aktifitas yang terjadi pada saat akitifitas berjalan. Dari hasil yang didapat oleh proses virtualisasi kemudian akan diproses kembali oleh log parsing dan selanjutnya akan dilanjutkan pada SENTRA | 3
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
proses Support Vector Machine. Virtualisasi merupakan proses aplikasi yang berjalan dengan meminta resource pada kernel space.
Gambar 3. Proses Virtualisasi Aktifitas yang terjadi dalam proses virtualisasi adalah permintaan akan resource pada kernel space melalui user space dengan menggunakan system call sebagai media komunikatornya. Dan selanjutnya perintah yang digunakan untuk menangkap aktifitas yang terjadi oleh aplikasi yang berjalan pada sistem operasi android menggunakan perintah Strace.
Support Vector Machine Hasil yang didapatkan dari proses ekstraksi aplikasi kemudian akan diolah menggunakan SVM, dimana beberapa proses yang dilakukan adalah Data latih, Data Uji, Pelatihan SVM dan Pengujian SVM.
Gambar 4. Proses Support Vector Machine
1. Data latih diperoleh dari hasil matriks aplikasi malware yang telah di ekstraksi aplikasi. Fungsinya digunakan sebagai data training 2. Data Uji diperoleh dari hasil matriks aplikasi non malware yang telah di ekstraksi aplikasi. 3. Pelatihan SVM sebuah proses pelatihan data latih, dimana data matriks yang dihasilkan data latih akan diformulasikan dalam rumus SVM. 4. Pengujian SVM sebuah proses pengujian klasifikasi antara data latih dengan data uji sehingga menghasilkan output berupa analisis. Menurut Byun H, Lee S.( 2003), Rumus fungsi kernel yang umum digunakan pada support vector machine ialah sebagai berikut: a. Kernel Linear ( b. Kernel Polinomial
1) (
2) c. Kernel Radiasi Basis Function (RBF) SENTRA | 4
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
( 3) Dalam hal ini, G, r dan d merupakan parameter, parameter pada kernel polinominal dan G juga merupakan parameter pada RBF.
Implementasi dan Pengujian Akusisi Data Terdapat sebanyak 150 aplikasi yang dikumpulkan dalam penelitian ini. Aplikasi-aplikasi tersebut terdiri dari 100 aplikasi malware dan 50 non malware. Seluruh aplikasi non malware didapatkan dari market android resmi Google play store, sedangkan aplikasi malware didapatkan dari situs dan market android penyedia malware. Untuk menguji kemampuan pengenalan aplikasi malware yang bersifat polimorfik, sebanyak 10 aplikasi malware diubah signaturenya dengan teknik resign. Android mengharuskan setiap aplikasi diberi signature sebelum aplikasi tersebut dapat dipublikasikan dan dijalankan pada perangkat android. Namun, setiap aplikasi android dapat diberi signature berulang kali walaupun bukan olek pembuat aplikasi tersebut. Dengan demikian, cara ini dapat menghindari sistem pendeteksian antivirus yang hanya menigentifikasi malware sesuai dengan signature aslinya (Zheng et al. 2013).
Praproses Data Dari aplikasi yang sudah dikumpulkan selanjutnya akan dilakukan proses eksekusi aplikasi pada sistem operasi android dengan menggunakan perintah strace yang berfungsi untuk menangkap frekuensi dan PID proses yang berjalan. Setelah itu frekuensi tersebut akan disimpan dalam file berformat CSV. Data pada file CSV tersebut kemudian ditransformasikan menjadi matriks untuk diolah pada perangkat lunak matlab. Satu baris matriks merepresentasikan satu buah aplikasi dan satu kolom matriks merepresentasikan sebuah system call android. Terdapat 3 buah matriks berukuran 150 x 401. Masing-masing matriks merepresentasikan pengulangan eksekusi aplikasi android.
Proses PCA Matriks yang sudah melalui proses pembuangan system call yang tidak pernah digunakan oleh seluruh aplikasi selama waktu pengamatan, kemudian dilakukan proses Principal Component Analysis (PCA). Proses PCA bertujuan untuk mengurangi ukuran atau dimensi data tanpa kehilangan banyak informasi yang terkandung (Smith 2002).
Pelatihan SVM Proses identifikasi aplikasi malware menggunakan metode klasifikasi Support Vector Machine (SVM). Data latih yang digunakan untuk pelatihan SVM adalah data hasil eksekusi aplikasi malware yang berjumlah 200. Fungsi kernel SVM yang digunakan pada penelitian ini adalah Radial Basis Function (RBF) dan polinomial. Ada beberapa nilai parameter untuk fungsi kernel RBF dan polinomial yang harus dicari agar hasil klasifikasi SVM optimal. Pada kernel RBF, nilai parameter yang dibutuhkan adalah nilai parameter C (Cost) dan nilai parameter G (Gamma). Nilai parameter C dicari dari 2-5 sampai 215 dan untuk nilai parameter G dicari dari 2-15 sampai 23. Pada kernel polinomial, nilai parameter yang dibutuhkan adalah nilai parameter C (Cost), nilai parameter G (Gamma), nilai parameter d (Degree), dan r (coefficient 0). Nilai parameter C dicari dari 2-5 sampai 215, nilai parameter G dicari dari 2-15 sampai 23, nilai parameter d dicari dari 1 sampai 6, dan nilai parameter r dicari dari 0 sampai 4.
Pengujian SVM Setelah didapatkan nilai parameter untuk setiap kernel dari hasil pelatihan SVM, klasifikasi SVM akan diuji dengan 2 jenis data uji. Data uji yang pertama merupakan data dari gabungan android market yang berjumlah 150 aplikasi, dan data uji yang kedua adalah hasil eksekusi pada data yang berjumlah 150 ditambah dengan 10 aplikasi malware yang sudah diubah signature-nya. Hal ini dilakukan untuk menguji apakah metode ini mampu mengenali perilaku aplikasi malware yang memiliki kemampuan polimorfik atau tidak.
SENTRA | 5
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
Analisis Data Hal yang dilakukan dalam tahap ini yaitu mengevaluasi hasil dari proses pengamatan System Call dan SVM, dimana hasil pelatihan dan pengujian SVM akan didapatkan hasil klasifikasi SVM antara aplikasi malware dan non malware terhadap aplikasi Android. Setelah itu dicari akurasi untuk masingmasing klasifikasi. Rumus yang digunakan untuk menghitung akurasi hasil klasifikasi, yaitu :
Akusisi Data Dengan mengamati sebanyak 150 aplikasi dan setiap aplikasi dieksekusi sebanyak 3 kali, didapatkan file keluaran sebanyak 450 buah. Seluruh file keluaran ini dibagi menjadi 3 bagian, setiap bagian merepresentasikan urutan pengulangan eksekusi. Bagian-bagian tersebut akan ditransformasi menjadi bentuk matriks.
Praproses Data Terdapat 3 buah matriks masing-masing berukuran 150 x 401. Setelah dilakukan praproses data, masing-masing matriks tersebut berukuran 150 x 57. Hal ini berarti dari 3 kali pengamatan terhadap 150 aplikasi Android, hanya 57 system call yang digunakan oleh seluruh aplikasi dalam penelitian ini. Untuk proses selanjutnya matriks hasil eksekusi pertama digabung dengan matriks hasil eksekusi ketiga untuk menjadi data latih dan matriks kedua digunakan sebagai data uji. Dengan demikian ukuran matriks data latih adalah 300 x 57.
Proses PCA Pengaturan proses PCA pada penelitian ini adalah membuang fitur yang ragamnya bernilai 0, sehingga tidak mengurangi informasi awalnya sama sekali. Hasil yang didapat dari proses PCA ini adalah semakin berkurangnya dimensi matriks yang akan diinput kedalam proses klasifikasi SVM. Ukuran matriks data latih sebelum proses PCA adalah 300 x 57, setelah melalui proses PCA ukuran matriks data latih menjadi 300 x 51 dan data uji adalah 150 x 51 dan 10 x 51 matrik yang sudah diubah signaturenya.
Pelatihan SVM Proses SVM untuk kernel RBF dan polinomial membutuhkan beberapa nilai parameter. Nilai parameter tersebut didapat dengan melakukan proses cross-validation dengan nilai fold sebesar 5. Nilai parameter yang dibutuhkan kernel RBF adalah C dan G, sedangkan untuk kernel polinomial adalah C, G, d, dan r.
Pengujian SVM Nilai parameter yang didapatkan dari hasil pelatihan SVM digunakan dalam proses SVM dengan menggunakan data uji. Confusion matrix hasil identifikasi SVM dengan data uji yang pertama menggunakan fungsi kernel RBF dapat dilihat pada Tabel 1 dan confusion matrix hasil identifikasi SVM dengan fungsi kernel polinomial dapat dilihat pada Tabel 2. Tabel 1 Confusion matrix untuk SVM dengan data uji pertama menggunakan kernel RBF Kernel RBF
Prediksi Malware
Non Malware
Malware
85
15
Non-Malware
1
49
Tabel 2 Confusion matrix untuk SVM dengan data uji pertama menggunakan kernel polinomial Kernel RBF
Prediksi Malware
Non Malware
Malware
93
7
Non-Malware
2
48 SENTRA | 6
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
Dengan menggunakan data uji pertama, dari Tabel 1 dapat diketahui bahwa akurasi pendeteksian malware dengan SVM dan menggunakan kernel RBF mencapai 86.25%, dan dari Tabel 2 dapat diketahui bahwa akurasi pendeteksian malware dengan SVM dan kernel polinomial mencapai 90%. Pengujian selanjutnya adalah dengan menggunakan data uji yang di dalamnya terdapat 5 aplikasi malware yang telah diubah signature-nya. Confusion matrix hasil identifikasi SVM dengan data uji yang kedua menggunakan fungsi kernel RBF dapat dilihat pada Tabel 3 dan confusion matrix hasil identifikasi SVM dengan fungsi kernel polinomial dapat dilihat pada Tabel 4. Tabel 3 Confusion matrix untuk SVM dengan data uji kedua menggunakan kernel RBF Kernel RBF
Prediksi Malware
Non Malware
Malware
85
15
Non-Malware
1
49
Tabel 4 Confusion matrix untuk SVM dengan data uji kedua menggunakan kernel polinomial Prediksi
Kernel Polinomial
Malware
Non Malware
Malware
93
7
Non-Malware
2
48
Seluruh aplikasi malware yang diubah signaturenya, dapat diidentifikasi dengan benar sebagai malware. Jika dibandingkan antara Tabel 1 dan Tabel 3 serta Tabel 2 dan Tabel 4, pendeteksian malware dengan signature yang sebelumnya tidak diubah dan pendeteksian malware yang sudah diubah signature-nya hasilnya adalah sama. Dengan demikian, metode ini mampu mengenali aplikasi malware yang memiliki kemampuan polimorfik.
Analisis Pembahasan Burguera (2011) mengatakan bahwa system call access(), chmod(), chown(), kill(), open(), dan read() merupakan system call yang paling umum digunakan oleh malware Android. Namun hasil penelitian ini tidak menunjukkan hal serupa, dapat dilihat pada Gambar 18 bahwa system call access(), chmod(), kill(), open(), dan read() memiliki rata-rata frekuensi pemanggilan yang hampir serupa antara malware dan non-malware, sedangkan system call chown() tidak pernah dipanggil sama sekali oleh satu aplikasipun pada waktu pengamatan.
Gambar 11. Rata-rata frekuensi pemanggilan system call Dari hasil penelitian ini, tidak terlihat system call mana yang dapat membedakan secara signifikan antara malware dan non-malware. Hasil klasifikasi dapat mencapai akurasi cukup tinggi karena data uji yang digunakan merupakan hasil pengamatan dari aplikasi yang sama dengan data latih. Hal tersebut merupakan kelemahan metode ini karena tidak dapat mengidentifikasi aplikasi baru yang belum pernah diamati frekuensi system call-nya dan dilatih dengan klasifikasi SVM.
SENTRA | 7
2015 Seminar Teknologi dan Rekayasa (SENTRA) ISSN:
Berdasarkan hasil pengamatan pemanggilan system call oleh aplikasi Android, ditemukan bahwa hampir seluruh aplikasi pada penelitian ini memanggil system call clone() yang berfungsi untuk menciptakan child process, juga terdapat beberapa aplikasi yang memanggil system call fork() yang berfungsi untuk menduplikasi process. Hal ini berarti pada saat satu buah aplikasi dieksekusi, PID yang dibangkitkan oleh aplikasi tersebut dapat berjumlah lebih dari satu buah, sedangkan dalam penelitian ini pengamatan frekuensi pemanggilan system call oleh satu buah aplikasi hanya diamati dari satu buah PID, yaitu PID yang pertama kali muncul pada saat aplikasi tersebut dijalankan. Oleh karena itu, hal ini juga merupakan kelemahan pada metode penelitian ini, bisa saja perilaku malware dari suatu aplikasi dilakukan oleh proses lain dengan PID yang berbeda.
Kesimpulan Konsep pendeteksian malware Android berbasis system call dapat dengan baik mengidentifikasi malware. Menggunakan klasifikasi SVM dengan fungsi kernel polinomial didapatkan akurasi sebesar 90%. Dari penelitian ini juga didapatkan bahwa belum ditemukan system call yang dengan signifikan dapat mencirikan sebuah malware. Kelemahan dari penelitian ini adalah metode yang digunakan tidak dapat mengidentifikasi aplikasi yang belum pernah dilakukan pengamatannya dan dilatih dengan klasifikasi SVM. Terdapat juga kelemahan lain, yaitu pengamatan frekuensi pemanggilan system call hanya diperoleh dari PID pertama pada saat aplikasi Android tersebut berjalan. Walaupun demikian jika metode penelitian ini dibandingkan dengan metode signature-based, hasil dari metode ini relatif lebih baik karena metode ini mampu mengenali malware yang bersifat polimorfik.
Referensi [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17]
Bergstra JA, Polse A. (2001). Register-machine based processes. Journal of the ACM. 48 (6):1207-1241.doi:10.1145/504794.504799. Burguera, I., & Zurutuza, U. (2011). Crowdroid : Behavior-Based Malware Detection System for Android Categories and Subject Descriptors. Byun H, Lee S. (2003). A Survey On Pattern Applications Of Support Vector Machines. International Journal of Pattern Recognition and Artificial Intelligene 17(3): 459-486. Carrier, B. D. & Spafford, E. H. (2004). An event-based digital forensic investigation framework. In In Proceedings of the 2004 Digital Forensic Research Workshop Cherkassky V, Mulier F. (2007). Learning from Data: Concepts, Theory, and Methods. Ed ke-2. New Jersey (US): John Wiley & Sons. Cristianini N, Taylor JS. (2000). An Introduction to Support Vector Machine and Other Kernel-based Learning Methods. Cambridge (GB): Cambridge University Press. Gary Palmer, M. (2001). A Road Map For Digital Forensic Research. Digital ForensicResearch Workshop, 2001 Utica, New York Gisler H. (2008). An Interactive Painting Based On Image Selection And Voice Input [tesis]. Baden-Wurttemberg (DE): University of Fribourg IBM. 2007. Anatomy of the Linux kernel [Internet]. [diunduh 2013 Nopember 8]. Tersedia pada: http://www.ibm.com/developerworks/linux/library/l-linux-kernel Joliffe IT. (2002). Principle Component Analysis. Berlin (GE): Springer. Kevin Joshua L, Abela, Don Kristopher E, Angeles.(2013). An Automated Malware Detection System for android Using behaviorbased Analisys AMDA, 2(2), 1–11. Kolbitsch, C., Comparetti, P. M., Kruegel, C., Kirda, E., Zhou, X., Wang, X., … Antipolis, S. (n.d.). Effective and Efficient Malware Detection at the End Host. Kramer, S., & Bradfield, J. C. (2009). A general definition of malware. Journal in Computer Virology, 6(2), 105–114. doi:10.1007/s11416-009-0137-1 Smith LI. (2002). A Tutorial on Principal Component Analysis. New York (US): Cornell University. Vacca, J. R. (2005). Computer Forensics: Computer Crime Scene Investigation. Delmar Thomson Learning, second edition. Wang S, Mathew A, Chen Y, Ci L, Ma L, Lee J. (2009). Empirical analysis of support vector machine ensemble classifiers. Expert System with Applications 36: 6466-6476. Warren G. Kruse, Jay Heiser (2002). Computer Forensics: Incident Response Essentials“, Addison-Wesley Longman,. Amsterdam.
SENTRA | 8
