BAB II LANDASAN TEORI Bab ini akan menjelaskan kajian kepustakaan yang digunakan sebagai dasar dalam melakukan penelitian dan menjelaskan teori pendukung yang digunakan dalam penelitian. Kajian pustaka dan teori dasar dijelaskan sebagai berikut: 2.1. Kajian Kepustakaan a. Masalah Penelitian Metode deteksi dikelompokan menjadi 3 (tiga) yaitu: a) berbasis signature; b) berbasis abnormal; dan c) Statefull Protocol Analysis (SPA) (H.-J. Liao, Richard Lin, Lin, & Tung, 2012). Keterbatasan deteksi berbasis signature adalah dalam mengenali serangan yang belum diketahui jenisnya. Deteksi abnormal berfungsi dalam menemukan perilaku berbeda dari data (Steinberger, Schehlmann, Abt, & Baier, 2013). Data yang memiliki karakteristik berbeda dengan data pada umumnya disebut abnormal, penggunaan deteksi abnormal telah banyak dimanfaatkan dalam berbagai bidang salah satunya pada bidang deteksi penyusupan (Prasetyo, 2012). Beberapa penelitian deteksi abnormal ditunjukan pada Tabel 2.1. Kajian kepustakaan yang dilakukan sebagai dasar melakukan penelitian ditunjukan pada Tabel 2.2. b. Deteksi Abnormal Penelitian yang melakukan analisis kinerja anomaly-based intrusion detection system (IDS) dalam mendeteksi serangan DoS (denial of services) pada jaringan komputer dengan model statistika digunakan untuk mengenali adanya serangan UDP Flood dengan menggunakan baseline dengan tingkat akurasi 87,5% (Sucipta, Wirawan, & Muliantara, 2012), Tabel 2.1. Masalah Penelitian 1. International 1. (Riadi, Istiyanto, Journal of Ashari, & Subanar, Advanced 2013) Computer Science 2. (Sucipta, Wirawan, & and Muliantara, 2012) Applications(IJAC 3. (Malik & Puspita, SA) 2014) 2. Jurnal Elektronik 4. (Waguih, 2013) Ilmu Komputer 5. (Thakur & Dr. Gireesh 3. Proceeding of Kumar Dixit, 2013) International Conference on Electrical Jurnal Engineering, Computer Science and Informatics 4. IAES International Journal of Artificial Intelligence (IJ- Deteksi AI) Abnormal 5. International Journal of Modern Engineering & Management Research 1. Klasifikasi 1. LVQ 2. Clustering 2. C45 Metode 3. Deskripsi 3. K-Means 4. DBSCAN 5. Mean 1. Statistik 1. UDP Flooding 2. Klasifikasi 2. Flooding Topik 3. Klustering 3. Ping & UDP 4. AI 1. Dataset 1. Distribusi 2. Metode 2. Atribut & Noise Masalah 3. Menentukan parameter 1. Privat 1. Trafik Udayana 2. Publik 2. Trafik Sriwijaya Dataset 3. Trafik Ahmad Dahlan 4. KDD Cup 99 Dataset kemudian serangan Denial of Service (DoS) pada port 80 (HTTP) yang telah dilakukan pada penelitian framework forensik internet berbasis clustering dengan algoritma k-means dapat mendeteksi tingkat bahaya dengan nilai keakurasian 89,02% (Riadi, Istiyanto, Ashari, & Subanar, 2013). sementara penggunaan teknik semi supervisi pada Machine Learning dengan DBSCAN pada sistem pengenal penyusupan (IDS) menjelaskan pengelompokkan serangan pada dataset KDD Cup 99 menggunakan teknik clustering dengan algoritma DBSCAN menunjukan tingkat keakurasian 90,65% (Thakur & Dr. Gireesh Kumar Dixit, 2013). Tabel 2.2. Tinjauan Pustaka Penulis Kajian Pustaka (Riadi et al., 2013) Mengelompokan tingkat bahaya dengan K-means berdasarkan hit dan durasi serangan pada protokol 80 (HTTP) dengan tingkat akurasi 89,02%. (Thakur & Dr. Gireesh Pengelompokkan lalu lintas serangan dengan DBSCAN Kumar Dixit, 2013) dengan tingkat keakurasian 90,65% pada data set KDD Cup 99. (Sucipta et al., 2012) Metode statistik untuk mengenali serangan UDP Flood berdasarkan nilai baseline dengan tingkat akurasi 87,5%. (Malik & Puspita, Klasifikasi serangan PING dan UDP Flood dengan LVQ 2014) berdasarkan rata-rata, panjang, ukuran, sumber serangan dengan tingkat akurasi untuk kondisi normal 90%, untuk PING Flood 100% dan UDP Flood 100% serta rata-rata keberhasilan menemukan pola serangan baru sebesar 90,9%. (Waguih, 2013) Tingkat akurasi metode klasifikasi (C45)dalam mendeteksi Aktifitas Normal atau Aktifitas Anomaly pada TCP/IP dengan tingkat akurasi pada tabel keputusan 99,985%, pohon keputusan 99,97%, berbasis aturan 99,91%. Kemudian pendekatan data mining dalam mengenali adanya serangan Denial of Service menunjukan tingkat akurasi metode klasifikasi (C45) dalam mendeteksi Aktifitas Normal dengan Aktifitas Anomaly pada TCP/IP dengan tingkat akurasi pada: a) tabel keputusan 99,985%; b) pohon keputusan 99,97%; c) berbasis aturan 99,91% (Waguih, 2013), dan pada penelitian yang mengelompokan serangan Denial of Service (DoS) mengggunakan Jaringan Syaraf Tiruan LVQ (Learning Vector Quantization) menunjukan klasifikasi serangan PING dan UDP Flood dengan LVQ berdasarkan rata-rata, panjang, ukuran, sumber serangan dengan tingkat akurasi untuk kondisi normal 90%, untuk PING Flood 100% dan UDP Flood 100% serta rata-rata keberhasilan menemukan pola serangan baru sebesar 90,9%. 2.2. Dasar Teori a. Log Log (record keeping) adalah berkas yang mencatat peristiwa dalam program komputer (Anonymous, 2015), sedangkan secara definisi log adalah catatan aktifitas harian (Webster, 2015), aktifitas yang langsung dicatat disebut transaction log oleh: (Hariyanto, 2012), berkas log dimanfaatkan sebagai dukungan dalam proses forensik cyber untuk mendapatkan bukti digital selama tahap penyelidikan (Saxena, Singh, Thakur, & Kumar, 2012), banyaknya kejadian yang dicatat oleh sistem membuat kendala tersendiri dalam memahami apa yang sebenarnya terjadi, pemanfaatan log bertujuan untuk mengelompokan kejadian- kejadian yang serupa untuk membantu memudahkan pemahaman, dijelaskan oleh (Plass, 2011), pada tingkat tertentu kemampuan log dalam menunjukan hal sebagai berikut: 1) apa; 2) kapan; 3) dimana; 4) bagaimana; dan 5) mengapa (Chuvakin & Peterson, 2010), transaction log berupa data lalu lintas jaringan yang bisa didapatkan dari server, router maupun firewall (Nelson, Phillips, & Steuart, 2010), hasil analisis log dapat digunakan sebagai bukti atas adanya tindakan ilegal pada sistem (Utami Putri & Istiyanto, 2012), teknik yang dapat digunakan dalam melakukan analisis log bermacam-macam, salah satunya pemanfaatan teknik pengelompokkan (clustering) log (Riadi, Istiyanto, Ashari, & Subanar, 2012). b. VSFTPD (FTP Server) (Ubuntu, 2015) File Transfer Protocol (FTP) adalah protkol TCP yang digunakan untuk melakukan aktifitas download suatu berkas antar komputer. Cara kerja FTP berdasarkan arsitektur client-server. FTP Daemon adalah komponen server yang menerima permintaan FTP yang berasal dari client. c. Denial Of Service (DoS) Serangan DoS dapat dilakukan dengan tingkat keterampilan rendah dan tanpa harus memiliki akses pada sistem (Kessler, 2000), Ilustrasi serangan DoS ditunjukan pada gambar 2.1. Pen yerang Pe n y e r a n g K o rban Pen yeran g Peny erang Gambar 2.1. Serangan DoS yang berakibat pada data maupun informasi tidak tersedia, jenis serangan DoS pada umumnya ditujukan untuk: 1) membebani jaringan; 2) menghabiskan CPU; 3) mengurangi kapasitas pemroses; 4) manipulasi waktu; 5) DNS Poisoning; 6) Application Level of Denial of Service; dan 7) Permanent Denial of Service (Phlashing) (Rao, 2011), cara kerja TCP SYN Flooding ditunjukan gambar 2.2. Penyerang akan mengirimkan data secara terus menerus atau memanfaatkan kelemahan sistem dengan memaksa kapasitas pemroses yang berakibat sistem tidak lagi dapat bekerja normal (Tan, Jamdagni, He, Nanda, & Liu, 2014), TCP SYN Flood adalah serangan yang paling mudah dan paling umum ditemukan di internet, cara kerja TCP SYN Flood adalah dengan memanfaatkan sejumlah sumberdaya yang disediakan oleh sistem untuk melakukan operasi Three-Way Handshake, penyerang berusaha untuk membebani (flooding) sistem dengan banyak permintaan hubungan hingga tidak dapat lagi menangani permintaan yang berasal dari pengguna sah (Shea & Liu, 2013). Gambar 2.2. TCP SYN Flooding (Rao, 2011) Penelitian yang dilakukan oleh (Steinberger et al., 2013) dan laporan tahunan (Akamai, 2014; Prolexic, 2014) menyatakan serangan Denial of Service merupakan ancaman yang nyata bagi organisasi. d. Data Mining Langkah dalam proses pencarian pengetahuan (Knowledge Discovery) (Han, 2006), posisi data mining dalam proses pencarian pengetahuan ditunjukan pada gambar 2.3. Gambar 2.3. Proses KDD (Han, 2006) Istilah yang digunakan untuk menguraikan penemuan pengetahuan di dalam basisdata, data mining adalah proses yang menggunakan teknik statistika, matematika, kecerdasan buatan, dan machine learning untuk mengekstraksi dan mengidentifikasi informasi yang bermanfaat dan pengetahuan yang terkait dari berbagai basisdata besar (Kusrini & Luthfi, 2009). Data mining dibagi menjadi dua fungsi yaitu minor dan mayor, fungsi minor contohnya deskripsi, estimasi dan prediksi sedangkan fungsi mayor contohnya klasifikasi, pengelompokkan dan asosiasi (Susanto & Suryadi, 2010). Membantu proses pencarian informasi dari data, metode data mining yaitu: 1) generalisasi; 2) karakterisasi; 3) klasifikasi; 4) klasterisasi; 5) asosiasi; 6) visualisasi data; 7) evolusi; 8) pengenalan pola; dan 9) meta-ruled guided mining (S. H. Liao, Chu, & Hsiao, 2012), jenis data dalam proses mining berupa: 1) sequence data; 2) sequential data; 3) time series; 4) temporal; 5) spasio-temporal; 6) audio signal; 7) video signal dan jenis data lainnya yang membutuhkan algoritma (metode) tertentu dalam analisis, data stream adalah urutan nilai data tak terbatas (PhridviRaj & GuruRao, 2014), data mining digunakan untuk menangani permasalahan-permasalahan karakteristik: a) data besar; b) tersebar; c) komplek dan dinamis (Wu, Zhu, Wu, & Ding, 2014). fungsi data mining dibagi menjadi 4 (empat) yaitu: a) clustering; b) classification; c) regression; d) association (Amanpreet, Gaurav, & Kumar, 2011). Kesamaan bidang data mining dengan bidang statistik adalah sampling, estimasi, pengujian hipotesis, kesamaan pada bidang kecerdasan buatan adalah pengenalan pola, dan kesamaan dalam bidang machine learning adalah algoritma pencarian, teknik permodelan, dan teori pembelajaran (Prasetyo, 2012). e. Clustering Proses clustering adalah aktifitas membagi data dalam suatu himpunan ke dalam kelompok yang kesamaan datanya dalam suatu kelompok lebih besar daripada kesamaan data tersebut dengan data dalam kelompok lain (Kusrini & Luthfi, 2009). Contoh Clustering ditunjukan pada gambar 2.4. (Prasetyo, 2014) menjelaskan bahwa Clustering banyak diterapkan diberbagai bidang, cluster yang bertujuan untuk pemahaman harus menangkap struktur alami data sedangkan cluster yang bertujuan untuk penggunaan digunakan untuk mencari prototipe cluster yang paling representatif atas data. Gambar 2.4. Ilustrasi Clustering (Riadi et al., 2012) Clustering dapat dibedakan menurut: a) struktur cluster; b) keanggotaan dalam cluster; dan c) kekompakan data dalam cluster. Umumnya metode clustering dibagi menjadi: 1. Clustering berdasarkan struktur a. Hirarki Satu data tunggal dapat dianggap sebuah cluster, dua atau lebih cluster kecil dapat bergabung menjadi sebuah cluster. b. Partisi Membagi set data kedalam sejumlah cluster yang tidak bertumpang tindih antara satu cluster dengan cluster yang lain. 2. Clustering berdasarkan keanggotaan dalam cluster a. Ekslusif Data bisa dipastikan hanya menjadi anggota satu cluster dan tidak menjadi anggota di cluster yang lain. b. tumpang-tindih Data dapat menjadi anggota lebih dari satu cluster. 3. Clustering berdasarkan kekompakan data dalam cluster a. Lengkap Data bisa bergabung menjadi satu cluster (konteks partisi). b. Parsial Data yang tidak ikut bergabung dalam cluster mayoritas. Data yang tidak ikut tergabung dalam cluster mayoritas dikatakan data yang mempunyai perilaku menyimpang. Data yang menyimpang ini dikenal dengan sebutan outlier/noise/anomaly/abnormal atau bahkan uninterested back-ground. Algoritma K-means merupakan metode dalam teknik clustering yang memiliki kesesuaian yang ditinjau berdasarkan struktur cluster, keanggotaan dalam cluster dan kekompakan data dalam cluster (Prasetyo, 2012). f. Algoritma K-means K-means merupakan salah satu metode data clustering non hirarki yang berusaha mempartisi data yang ada ke dalam bentuk satu atau lebih cluster. Metode ini mempartisi ke dalam cluster sehingga data yang memiliki karakteristik yang sama dikelompokkan ke dalam satu cluster yang sama dan yang memiliki karakteristik berbeda dikelompokkan cluster lain (Narwati, 2010). Algoritma ini banyak digunakan untuk clustering berbasis partisi, setiap titik dimasukkan pada titik pusat berdasarkan perhitungan jarak yang ditentukan, algoritma k-mean dalam melakukan clustering akan melakukan perulangan hingga titik pusat tidak berubah (Aggarwal & Reddy, 2014). Algoritma k-means ditunjukan pada gambar 2.5. 1. Inisialisasi: Tentukan nilai K sebagai jumlah cluster yang diinginkan. 2. Pilih K data dari dataset sebagai centroid 3. Alokasikan semua data ke centroid terdekat dengan metrik jarak yang telah ditetapkan. 4. Hitung kembali centroid C berdasarkan data yang mengikuti masing-masing cluster. 5. Ulangi langkah 3 dan 4 hingga kondisi konvergen tercapai (tidak ada data yang berpindah). Gambar 2.5 Algoritma K-Means g. Kedekatan (Density) Clustering umumnya menggunakan menggunakan suatu kuantitas yang disebut kedekatan (density), 2 (dua) jenis kedekatan yaitu kemiripan atau ketidakmiripan. Kedekatan diukur berdasarkan jarak antar data dengan centroidnya. Semakin kecil jarak kedua data kemiripannya semakin besar sebaliknya semakin besar jaraknya semakin kecil kemiripannya (Prasetyo, 2014). h. Jarak Untuk mengukur ketidak-miripan dua data dengan beberapa atribut untuk setiap data digunakan kuantitas jarak (distance). Ada banyak model pengukuran jarak, dan yang paling sering digunakan adalah jarak euclidean. Jarak euclidean memberikan jarak lurus antara 2 (dua) buah data dengan N dimensi. Persamaan jarak yang lain adalah manhattan (city block) dan Minkowski (Prasetyo, 2012). Persamaan jarak euclidean, manhattan dan minkowski ditunjukan pada masing-masing persamaan 2.1; persamaan 2.2; dan persamaan 2.3. Persamaan jarak pada ruang jarak Euclidean N D, yy  x y 2 ......................................................... (2.1) 2 j1 D adalah jarak antara data X dan data Y, dan . adalah nilai absolut. N adalah jumlah fitur (dimensi) data. Persamaan jarak pada ruang jarak Manhattan (city block)  N D, yy  x y .............................................................. (2.2) 1 j1 Persamaan jarak pada ruang jarak Minkowsky N  D, yy  x y  ..................................................... (2.3)   j j j1 i. Validasi Cluster Metode unsupervised mengukur tingkat kebagusan struktur cluster tanpa membutuhkan informasi eksternal. Metrik unsupervised pada validitas cluster sering dibagi menjadi 2 (dua) yaitu kohesi (kerapatan/densitas cluster) dan