Post on 08-Feb-2017
Visualisasi Serangan Remote to Local (R2L) Dengan Clustering K-means
Presented by : Eko Arip Winanto 09121001040
Supervisor : Deris Stiawan. Ph.D
2017
Choi, Lee, Kim, 2009
Intrusion Detection System dengan teknik
deteksi attack signatures tidak bisa mendeteksi
tipe serangan baru yang tidak ada pada database
serangan. Intrusion Detection System yang
menggunakan mekanisme attack anomaly dapat
mendeteksi beberapa variasi serangan baru,
tetapi sering menghasilkan false alarms yang
cukup besar.
Untuk mengatasi kelemahan tersebut salah satu
pendekatan yang dapat digunakan adalah dengan
memvisualisalaikan serangan dengan cara yang
sederhana
atau grafik.
Yanping, Yang 2012
Sistem visualisasi serangan dapat
membantu user untuk mendeteksi pola
serangan dengan lebih cepat, dan
apabila dikombinasikan dengan
teknologi seperti data mining atau
machine learning, sistem
visualisasi akan lebih efektif
dalam mendeteksi pola serangan
Spathoulas, Katsikas,
2013
Menggunkan metode
clustering untuk
mendeteksi serangan pada
dataset.
Latar Belakang
Jeya, Ravichandr
an,2012
Remote to Local adalah serangan
dimana attacker tidak memiliki akses
ke dalam sebuah sistem tetapi mencoba
untuk akses.
Tujuan
Melakukan ekstraksi pada paket header pada dataset DARPA
99.
Menerapkan algoritma k-means untuk mendeteksi paket
serangan remote to local atau normal.
Membuat algoritma untuk visualisasi serangan Remote to
Local (R2L) dalam bentuk grafik.
1
2
3 Melakukan perhitungan terkait akurasi deteksi serangan
Remote to Local dengan algoritma k-means. 4
Metodologi
Feature Extraction
Clustering
Visualisasi
• Membaca
Dataset
• Mengekstrak
header
• Simpan ke
database
• Hitung akurasi
deteksi
• Membaca Data
hasil
clustering
• Plot dalam
grafik
• Mencari Pola
• Normalisasi
Data
• Clusterig Data
• Simpan ke
Databases
Metodologi
Feature Extraction
Hasil
2
nomor paket, timestamp, service, source address,
destination address, port source, port destination,
sequence, acknowledgment, window, flags, ttl, ip length,
ip ceksum, ip id, ip offset, tcp length, dan protocol
Feature
1
Mencari Pola
Title
Memasukkan dataset DARPA 99 untuk dibaca oleh snort sehingga
didapat alert yang berisi informasi paket serangan. 01
Hasil alert snort kemudian dibandingkan dengan dataset apakah paket
tersebut ada dalam dataset (.tcpdump). 02
Untuk mencari atribut-atribut unik maka dapat dicari dari hasil
feature extraction, untuk memastikan bahwa paket tersebut
adalah benar serangan maka dapat divalidasi dengan melihat apakah ada
paket yang sama pada baris berikutnya.
03
Pola Serangan Remote to Local
Clustering K-means
Hasil Clustering
1
Hasil Clustering K-means
Confusion Matrix
No Binary
Classification
Hari Ke - | Hasil Clustering
1 2 3 4 5
1 TP 207 357 392 1374 151
2 FP 0 0 2 1 2
3 TN 1580545 123139 1237432 1557874 1241638
4 FN 0 0 0 0 0
Detection Rate Confusion Matrix
No Binary
Classification
Hari Ke - | Hasil Clustering
1 2 3 4 5
1 TPR 1 1 1 1 1
2 FPR 0 0 1.616248x10-6 6.419x10-7 1.616248x10-6
3 TNR 1 1 0.9999983838 0.9999993581 0.9999983892
4 FNR 0 0 0 0 0
5 Akurasi 1 1 0.9999983843 0.99999935861 0.9999983894
Perbandingan Confusion Matrix
Hasil Visualisasi
Parallel Coordinate
Hasil Visualisasi
RadViz
Perbandingan Hasil Visual
parallel coordinate dan
Hasil Visual RadViz
Ftp_write
Imap
Snmpget
Named
NetBus
RadViz
Kesimpulan
Hasil clustering k-means sangat dipengaruhi dengan penentuan centroid awal, apabila
centroid awal berubah maka hasil clustering juga berubah.
3
Algoritma Clustering K-means dapat diterapkan pada IDS untuk mendeteksi serangan remote
to local.
1 Atribut-atribut unik pada paket header dapat digunakan sebagi pola serangan untuk
mengenali paket serangan remote to local berupa port destination, flags, ip length dan
packet length. 2
Evaluasi deteksi dengan confusion matrix menunjukkan detection rate TPR pada
pengujian clustering mencapai 100% dengan false positive berkisar pada
0.0001616% untuk kesalahan deteksi. Pada TNR berkisar antara 99.999% dengan
false negatif mencapai 100%.
4 4
5
Parallel coordinate dapat memvisualisasikan serangan remote to local,
untuk menutupi kekurangan parallel coordinate dalam membedakan
paket serangan dan normal yang mirip maka dikombinasikan dengan
metode RadViz.
Saran
Penelitian selanjutnya, dapat menerapkan teknik
visualisasi secara real-time.
1 Menerapkan algoritma Clustering yang lain seperti SVM,
K-mean ++ dan lain lain untuk melihat perbandingan mana
yang lebih baik.
2
Sekian Terima Kasih