Peningkatan Akurasi Klasifikasi Pendeteksian Serangan pada Networked IDS yang terpasang di IDSIRTII dengan Menggunakan Kombinasi Metode SVM-Dempster Safer Ferry Astika S. Akhmad Alimudin

Pendahuluan Intrusi dapat diartikan sebagai aksi yang bisa membahayakan Confidentiality, Integrity, dan Availability pada suatu jaringan Deteksi Intrusi adalah usaha untuk mencari dan mendeteksi intrusi pada suatu jaringan Sistem Deteksi Intrusi merupakan suatu sistem yang dibuat khusus untuk mencari dan mendeteksi adanya suatu intrusi pada jaringan 1. -salah satu upaya untuk melindungi sistem dari pihak yang tidak diinginkan adalah dengan cara membangun sistem deteksi intrusi, baik itu Host Based IDS atau Network Based IDS -Telah banyak software IDS dari yang gratisan hingga yang berbayar 2. -Permasalahan yang sering muncul pada IDS adalah mengatasi masalah false (kesalahan deteksi), baik itu false positif ataupun false negatif -akhirnya network administrator bingung untuk mengambil keputusan

Pendahuluan Tidak ada sistem yang 100% aman/sempurna selama masih buatan manusia Tingkat akurasi yang rendah dan kesalahan signature pada IDS Deteksi dari IDS : True Positive True Negative False Positive False Negative 1. -salah satu upaya untuk melindungi sistem dari pihak yang tidak diinginkan adalah dengan cara membangun sistem deteksi intrusi, baik itu Host Based IDS atau Network Based IDS -Telah banyak software IDS dari yang gratisan hingga yang berbayar 2. -Permasalahan yang sering muncul pada IDS adalah mengatasi masalah false (kesalahan deteksi), baik itu false positif ataupun false negatif -akhirnya network administrator bingung untuk mengambil keputusan

Pendahuluan Perlu dilakukan penelitian untuk mendapatkan akurasi yang lebih tinggi dan mengurangi hasil “False” pada deteksi IDS

Penelitian Sebelumnya Membandingkan 3 metode klasifikasi untuk IDS (Brifcani, 2011) Klasifikasi IDS dengan menggunakan algoritma KNN (Liao, 2002) Pendeteksi Intrusi pada Jaringan dengan menggunakan pendekatan metoda SVM dan Neural Network (Mukkamala, 2002) Kombinasi antara output hasil klasifikasi pada kasus kategorisasi text dengan Dempster- Shafer (Yaxin, 2004) Penelitian tentang klasifikasi IDS telah dilakukan dengan membandingkan 3 metode klasifikasi (Brifcani, 2011) yaitu dengan metode association rules, decision trees, dan neural network dengan menggunakan dataset training KDD CUP 99. Penelitian tentang klasifikasi IDS dengan menggunakan algoritma KNN telah dilakukan pada tahun 2002 dengan menggunakan data DARPA 1998 (Liao, 2002) untuk mengklasifikasikan suatu paket apakah normal atau merupakan suatu bentuk serangan. Pada penelitian tersebut menghasilkan hasil akurasi yang cukup memuaskan yaitu dengan tingkat false positive yang sangat kecil. Untuk mendapatkan hasil yang akurat dari klasifikasi sistem, telah dilakukan penelitian dengan cara mengkombinasikan beberapa output dari klasifikasi dengan menggunakan Dempster-Shafer (Yaxin, 2004) pada kasus kategorisasi text.

Tujuan dan Manfaat Penelitian Mengimplementasikan Dempster-Shafer pada beberapa IDS Sebagai proof of concept, akan dibuat sebuah prototype pada lingkungan terdistribusi Mengimplementasikan DS untuk mengkombinasikan KNN dan SVM untuk mendapatkan hasil yang lebih akurat pada IDS Sebagai proof of concept, akan dibuat sebuah prototype dari global sistem pada lingkungan terdistribusi, untuk mengetahui apakah sistem ini memungkinkan untuk di implementasikan

Beberapa klasifikasi yang digunakan KNN : Merupakan metode klasifikasi yang dilakukan dengan cara mencari sejumlah K tetangga terdekat dari data uji untuk menentukan jarak terdekat SVM : Merupakan metode klasifikasi yang dilakukan dengan cara mengklasifikasikan data dengan menemukan hyperplane sebagai pemisah kelompok data KNN-SVM : Pada penelitian yang dilakukan sebelumnya (Rong Li, 2006), dikatakan KNN mampu meningkatkan akurasi dari SVM dengan mengambil keuntungan dari KNN berdasarkan jumlah fitur Kenapa menggunakan SVM dan KNN? Pada penelitian Rong Li pada tahun 2006, dikatakan “SVM-KNN method improves the SVM algorithm of classification by taking advantage of the KNN algorithm according to the distribution of test samples in a feature space. In our flare forecast study”

Ide Meletakkan beberapa sensor IDS pada jaringan dengan menggunakan metode yang berbeda Menggabungkan hasil dari tiap-tiap pengamatan sensor IDS 1. -Dengan menggunakan beberapa sensor IDS yang berbeda untuk mengamati setiap paket yang melewati jaringan tersebut 2. -Menggabungkan hasil pengamatan dari masing-masing sensor untuk menentukan hasil prediksi yang didapatkan -Dengan adanya kombinasi dari beberapa hasil pengamatan sensor, diharapkan hasil yang didapatkan akan menjadi lebih akurat

Sensor Mendeteksi Paket Normal Ilustrasi Paket Data 1 2 3 4 Paket Data 1 2 3 4 Packet Log Paket Data 1 2 3 4 Sensor 2 Sensor 1 Sensor Mendeteksi Paket Normal Sensor Mendeteksi DOS

Dempster-Shafer Menggabungkan beberapa informasi yang dari sumber berbeda Mampu menangani informasi yang tidak tepat dan tidak pasti Dari permasalahan yang didapatkan pada ilustrasi, ditawarkan solusi dengan menggunakan Dempster Shafer Apa itu DempsterShafer? Merupakan teori of evidence (teori pembuktian) dikembangkan oleh A.P Dempster dan G.Shafer Salah satu kelebihan dari DempsterShafer adalah dapat menerima informasi dari sumber yang berbeda, lalu kemudian mengolahnya sehingga menjadi suatu kesimpulan dari beberapa informasi tersebut

Langkah yang dilakukan? Bagaimana membangun model penggabungan output dari klasifikasi yang berbeda dengan menggunakan teori Dempster-Shafer Bagaimana meningkatkan akurasi dari klasifikasi IDS dengan beberapa model klasifikasi yang berbeda dengan menggunakan teori Dempster- Shafer Bagaimana mengembangkan sistem deteksi intrusi dengan metode diatas secara terdistribusi dalam jaringan

Jenis Serangan DoS (Denial-of-Service) - serangan yang berusaha menggagalkan layanan server), termasuk di dalamnya : Apache2, arppoison, back, Crashiis, dosnuke, Land, Mailbomb, SYN Flood, (Neptune), Ping of Death (POD), Process Table, selfping, Smuff PROBING (berusaha mencari kelemahan sistem yang ada), misal : insidesniffer, Ipsweep, ls_domain, Mscan, NTinfoscan, Nmap, queso, resetscan, Saint, Satan R2L ( Remote To Local - melakukan akses yang tidak bukan haknya dari jarak jauh) , termasuk dalam kategori ini : Dictionary, Ftpwrite, Guest, Httptunnel, Imap, Named, ncftp, netbus, netcat, Phf, ppmacro, Sendmail, sshtrojan, Xlock, Xsnoop U2R (User To Root - melakukan akses yang bukan haknya ke superuser dari jaringan dalam), termasuk dalam kategori ini : anypw, casesen, Eject, Ffbconfig, Fdformat, Loadmodule, ntfsdos, Perl, Ps, sechole, Xterm, yaga

Tahapan penelitian Menyiapkan data Menyiapkan lingkungan kerja terdistribusi Membangun model klasifikasi pada lingkungan terdistribusi Menggabungkan informasi dari masing- masing metode dengan D-S

Persiapan Data Preprocessing data DARPA ‘99 Digunakan data pada minggu ke-4 dan minggu ke-5 Menggunakan Bro-IDS untuk ekstraksi data Digunakan 8 fitur untuk proses klasifikasi (He, 2005) Data yang digunakan pada penelitian kali ini adalah data dari DARPA ‘99, nantinya data akan diproses seperti pada format yang digunakan pada data KDDCUP ’99 yang merupakan data dari DARPA ’98 Pada penelitian ini akan digunakan data pada minggu ke-4 dan minggu ke-5, dikarenakan data pada minggu tersebut memiliki jumlah serangan yang paling banyak jika dibandingkan dengan minggu sebelumnya (minggu1=0, minggu2=xxx, minggu3=0) Lebih memilih Bro-IDS karena lebih cocok dengan kebutuhan yang diperlukan. Pada penelitian sebelumnya, dari 41 fitur pada KDDcup ’99, didapatkan 8 fitur efektif yang baik untuk digunakan

Fitur yang digunakan

Tahapan penelitian Menyiapkan data Menyiapkan lingkungan kerja terdistribusi Membangun model klasifikasi pada lingkungan terdistribusi Menggabungkan informasi dari masing- masing metode dengan D-S

Persiapan Lingkungan Kerja Terdistribusi

Data Center + Dempster Shafer Arsitektur Sistem Data Center + Dempster Shafer Sensor + Classifier Sensor + Classifier Sensor + Classifier

Tahapan penelitian Menyiapkan data Menyiapkan lingkungan kerja terdistribusi Membangun model klasifikasi pada lingkungan terdistribusi Menggabungkan informasi dari masing- masing metode dengan D-S

Sensor dan Classifier Data Training from Gure KDD Probabilistic Data SVM Classifier Data from sensor (tcpdump)

Klasifikasi SVM-DS Menentukan nilai probabilitas dari setiap kelas yang ada dengan SVM Menentukan nilai akurasi masing-masing kelas SVM Menentukan nilai mass function sebagai input dari kombinasi Dempster-Shafer

Tahapan penelitian Menyiapkan data Menyiapkan lingkungan kerja terdistribusi Membangun model klasifikasi pada lingkungan terdistribusi Menggabungkan informasi dari masing- masing metode dengan D-S

Tahapan penelitian Menyiapkan data Menyiapkan lingkungan kerja terdistribusi Membangun model klasifikasi pada lingkungan terdistribusi Menggabungkan informasi dari masing- masing metode dengan D-S

Menggabungkan Probabilistic data Probabilistic data Dempster Shafer

Batasan Masalah