Visualisasi serangan remote to local dengan clustering k means
Transcript of Visualisasi serangan remote to local dengan clustering k means
![Page 1: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/1.jpg)
Visualisasi Serangan Remote to Local (R2L) Dengan Clustering K-means
Presented by : Eko Arip Winanto 09121001040
Supervisor : Deris Stiawan. Ph.D
2017
![Page 2: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/2.jpg)
Choi, Lee, Kim, 2009
Intrusion Detection System dengan teknik
deteksi attack signatures tidak bisa mendeteksi
tipe serangan baru yang tidak ada pada database
serangan. Intrusion Detection System yang
menggunakan mekanisme attack anomaly dapat
mendeteksi beberapa variasi serangan baru,
tetapi sering menghasilkan false alarms yang
cukup besar.
Untuk mengatasi kelemahan tersebut salah satu
pendekatan yang dapat digunakan adalah dengan
memvisualisalaikan serangan dengan cara yang
sederhana
atau grafik.
Yanping, Yang 2012
Sistem visualisasi serangan dapat
membantu user untuk mendeteksi pola
serangan dengan lebih cepat, dan
apabila dikombinasikan dengan
teknologi seperti data mining atau
machine learning, sistem
visualisasi akan lebih efektif
dalam mendeteksi pola serangan
Spathoulas, Katsikas,
2013
Menggunkan metode
clustering untuk
mendeteksi serangan pada
dataset.
Latar Belakang
Jeya, Ravichandr
an,2012
Remote to Local adalah serangan
dimana attacker tidak memiliki akses
ke dalam sebuah sistem tetapi mencoba
untuk akses.
![Page 3: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/3.jpg)
Tujuan
Melakukan ekstraksi pada paket header pada dataset DARPA
99.
Menerapkan algoritma k-means untuk mendeteksi paket
serangan remote to local atau normal.
Membuat algoritma untuk visualisasi serangan Remote to
Local (R2L) dalam bentuk grafik.
1
2
3 Melakukan perhitungan terkait akurasi deteksi serangan
Remote to Local dengan algoritma k-means. 4
![Page 4: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/4.jpg)
Metodologi
Feature Extraction
Clustering
Visualisasi
• Membaca
Dataset
• Mengekstrak
header
• Simpan ke
database
• Hitung akurasi
deteksi
• Membaca Data
hasil
clustering
• Plot dalam
grafik
• Mencari Pola
• Normalisasi
Data
• Clusterig Data
• Simpan ke
Databases
Metodologi
![Page 5: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/5.jpg)
Feature Extraction
Hasil
2
nomor paket, timestamp, service, source address,
destination address, port source, port destination,
sequence, acknowledgment, window, flags, ttl, ip length,
ip ceksum, ip id, ip offset, tcp length, dan protocol
Feature
1
![Page 6: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/6.jpg)
Mencari Pola
Title
Memasukkan dataset DARPA 99 untuk dibaca oleh snort sehingga
didapat alert yang berisi informasi paket serangan. 01
Hasil alert snort kemudian dibandingkan dengan dataset apakah paket
tersebut ada dalam dataset (.tcpdump). 02
Untuk mencari atribut-atribut unik maka dapat dicari dari hasil
feature extraction, untuk memastikan bahwa paket tersebut
adalah benar serangan maka dapat divalidasi dengan melihat apakah ada
paket yang sama pada baris berikutnya.
03
![Page 7: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/7.jpg)
Pola Serangan Remote to Local
![Page 8: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/8.jpg)
Clustering K-means
Hasil Clustering
1
![Page 9: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/9.jpg)
Hasil Clustering K-means
![Page 10: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/10.jpg)
Confusion Matrix
No Binary
Classification
Hari Ke - | Hasil Clustering
1 2 3 4 5
1 TP 207 357 392 1374 151
2 FP 0 0 2 1 2
3 TN 1580545 123139 1237432 1557874 1241638
4 FN 0 0 0 0 0
Detection Rate Confusion Matrix
No Binary
Classification
Hari Ke - | Hasil Clustering
1 2 3 4 5
1 TPR 1 1 1 1 1
2 FPR 0 0 1.616248x10-6 6.419x10-7 1.616248x10-6
3 TNR 1 1 0.9999983838 0.9999993581 0.9999983892
4 FNR 0 0 0 0 0
5 Akurasi 1 1 0.9999983843 0.99999935861 0.9999983894
![Page 11: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/11.jpg)
Perbandingan Confusion Matrix
![Page 12: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/12.jpg)
Hasil Visualisasi
Parallel Coordinate
![Page 13: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/13.jpg)
Hasil Visualisasi
RadViz
![Page 14: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/14.jpg)
Perbandingan Hasil Visual
parallel coordinate dan
Hasil Visual RadViz
![Page 15: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/15.jpg)
Ftp_write
![Page 16: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/16.jpg)
Imap
![Page 17: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/17.jpg)
Snmpget
![Page 18: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/18.jpg)
Named
![Page 19: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/19.jpg)
NetBus
![Page 20: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/20.jpg)
RadViz
![Page 21: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/21.jpg)
Kesimpulan
Hasil clustering k-means sangat dipengaruhi dengan penentuan centroid awal, apabila
centroid awal berubah maka hasil clustering juga berubah.
3
Algoritma Clustering K-means dapat diterapkan pada IDS untuk mendeteksi serangan remote
to local.
1 Atribut-atribut unik pada paket header dapat digunakan sebagi pola serangan untuk
mengenali paket serangan remote to local berupa port destination, flags, ip length dan
packet length. 2
Evaluasi deteksi dengan confusion matrix menunjukkan detection rate TPR pada
pengujian clustering mencapai 100% dengan false positive berkisar pada
0.0001616% untuk kesalahan deteksi. Pada TNR berkisar antara 99.999% dengan
false negatif mencapai 100%.
4 4
5
Parallel coordinate dapat memvisualisasikan serangan remote to local,
untuk menutupi kekurangan parallel coordinate dalam membedakan
paket serangan dan normal yang mirip maka dikombinasikan dengan
metode RadViz.
![Page 22: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/22.jpg)
Saran
Penelitian selanjutnya, dapat menerapkan teknik
visualisasi secara real-time.
1 Menerapkan algoritma Clustering yang lain seperti SVM,
K-mean ++ dan lain lain untuk melihat perbandingan mana
yang lebih baik.
2
![Page 23: Visualisasi serangan remote to local dengan clustering k means](https://reader030.fdocument.pub/reader030/viewer/2022020203/589a69f01a28ab0b788b47b5/html5/thumbnails/23.jpg)
Sekian Terima Kasih