klasifikasi alert pada intrusion detection system
TRANSCRIPT
Klasifikasi Alert pada Intrusion Detection System Menggunakan
Algoritma K-Means
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
Frando Christo Wulur (672010195)
Dr. Irwan Sembiring, ST., M. Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Oktober 2015
i
Klasifikasi Alert pada Intrusion Detection System Menggunakan
Algoritma K-Means
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
Frando Christo Wulur (672010195)
Dr. Irwan Sembiring, S.T., M.Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Oktober 2015
ii
iii
iv
v
vi
vii
Klasifikasi Alert pada Intrusion Detection System Menggunakan
Algoritma K-Means
1) Frando Christo Wulur, 2) Irwan Sembiring
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. DIPonegoro 52-60, Salatiga 50771, Indonesia
Email: 1) [email protected], 2) [email protected]
Abstract
Network security is an important thing to note, as many of the kinds of
computer attacks. Intrusion detection system had a big role in securing the
network, ids is a device that had the capability to detect local network attack and
network that connected to the internet. IDS can be used as tools to detect attacks.
In terms to classify attacks using data mining, the proceedings used is clustering
analysis. The algorithms that used in perform the process clustering is algorithm
k-means. K-means is one method data clustering non-hierarchical who can
categorize where data based on the resemblance of the data. The purpose of this
research is to classify the attack on a system IDS. The conclusion of this research
is to be able to classify the attack on a system using K-Means IDS.
Keywords: Intrusion Detection Systems, Classification, Algorithms K-Means.
Abstrak
Keamanan jaringan merupakan hal yang penting untuk diperhatikan,
mengingat banyaknya jenis-jenis serangan komputer. Intrusion Detection System
mempunyai peranan besar dalam mengamankan jaringan. IDS merupakan
perangkat yang mempunyai kemampuan untuk mendeteksi serangan jaringan
lokal maupun jaringan yang terhubung ke internet. IDS dapat digunakan sebagai
tools untuk mendeteksi serangan. Dalam hal untuk mengklasifikasikan serangan
menggunakan metode data mining dimana proses yang digunakan adalah
clustering analysis. Algoritma yang digunakan dalam melakukan proses
clustering adalah algoritma K-Means. K-Means merupakan salah satu metode
data non-hierarchical clustering yang dimana dapat mengelompokkan data
berdasarkan kemiripan dari data. Tujuan dari penelitian ini adalah dapat
mengklasifikasikan serangan pada sistem IDS. Kesimpulan dari penelitian ini
adalah dapat mengklasifikasikan serangan pada sistem IDS menggunakan K-
Means.
Kata Kunci: Intrusion Detection System, Algoritma K-Means, Klasifikasi.
__________________________________________________________________ 1) Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi,
UniversitasKristen Satya Wacana. 2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana.
1
1. Pendahuluan
Pada era digital saat ini, tidak bisa dibayangkan dunia tanpa komunikasi.
Manusia memiliki kepentingan untuk bertukar informasi untuk berbagai tujuan.
Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman
dan serangan yang dilakukan pada keamanan jaringan. Ancaman keamanan
jaringan dikategorikan dalam dua jenis yaitu: leakage (kebocoran) dan vandalism
(pengerusakan), adalah jenis ancaman yang merusak kondisi normal suatu
jaringan, sehingga mengakibatkan malfunction.
Intrusion Detection System (IDS) mempunyai peranan besar dalam
mengamankan jaringan, IDS merupakan perangkat yang mempunyai kemampuan
untuk mendeteksi serangan pada jaringan lokal maupun jaringan yang terhubung
ke internet. Masalah muncul ketika banyaknya serangan yang masuk dan IDS
tidak dapat menanganinya, masalah tersebut mengakibatkan data overload dan
untuk menanganinya yaitu dengan mengumpulkan semua informasi dalam logfile
yang berjumlah besar dan menganalisisnya. Namun, IDS sulit untuk menganalisis
karena jumlah data yang akan dianalisis sangat besar dalam hal klasifikasi
serangan dalam IDS.
Pada penelitian ini digunakan metode data mining dimana proses yang
digunakan adalah clustering analysis [1]. Algoritma yang digunakan dalam
melakukan proses clustering adalah algoritma K-Means. Algoritma K-Means
merupakan salah satu metode data non-hierarchical clustering dimana dapat
mengelompokkan data ke dalam beberapa cluster berdasarkan kemiripan dari data
tersebut. Tujuan dan manfaat dari penelitian ini adalah dapat mengklasifikasikan
serangan, Manfaatnya adalah membantu administrator dalam memeriksa data
yang luas terhadap serangan pada sistem IDS. Batasan masalah dari penelitian ini
adalah menggunakan sistem IDS untuk mengambil data serangan dan dihitung
menggunakan algoritma K-Means.
Dari pembahasan permasalahan diatas, maka dalam penelitian ini memilih
judul “Klasifikasi alert pada Intrusion Detection System (IDS) Menggunakan
Algoritma K-Means”.
2. Tinjauan Pustaka
Penelitian sebelumnya yang berjudul “Implementasi Adaptive Bandwith
Limiter pada Aplikasi Network Traffic Monitoring dengan Metode Based
Detection System” [2], membahas mengenai tools yang dibuat dapat membantu
administrator dalam memantau jaringan komputer untuk mengetahui kondisi
jaringan dengan menggunakan Network Based Intrusion Detection System.
Perbedaannya adalah dalam penelitian tersebut IDS digunakan untuk monitoring
jaringan, sedangkan dalam penelitian ini IDS digunakan hanya untuk mengambil
data serangan guna mengukur tingkat akurasi. Penelitian yang menggunakan
metode network based intrusion detection system tersebut selanjutnya digunakan
sebagai acuan dalam penelitian ini.
Penelitian selanjutnya berjudul “Research of K-Means Algoritm based on
Information Entropy in Anomaly Detection” [3], dimana penelitian tersebut
menggunakan algoritma K-Means unsupervised berdasarkan informasi entropi
untuk membentuk dan mendeteksi aktifitas anomali. Tujuannya dalam penelitian
ini adalah untuk meningkatkan detection rate dan menurunkan false alarm rate.
2
Penelitian tersebut menggunakan KDD CUP 1999 berdasarkan set data untuk
menguji penampilan algoritma KMIE. Pada penelitian ini hanya berfokus dalam
mengukur tingkat akurasi/detection rate serangan pada sistem IDS sehingga
penelitian tersebut digunakan sebagai acuan dalam penelitan ini.
Penelitian selanjutnya berjudul "A K-Means and Naive Bayes learning
approach for better intrusion detection" [4], membahas tentang implementasi
sebuah IDS dengan dua pendekatan pembelajaran, yaitu K-Means dan Naive
Bayes (KMNB). K-Means digunakan untuk mengidentifikasi kelompok sample
data yang memiliki perilaku yang mirip dan tidak mirip. Naive Bayes digunakan
pada tahap kedua untuk mengklasifikasikan semua data ke dalam kategori yang
tepat. Hasil penelitian menunjukkan bahwa K-Means clustering and Naïve Bayes
Classifier (KMNB) secara signifikan meningkatkan akurasi deteksi. Perbedaan
dalam penelitian ini adalah algoritma K-Means digunakan dalam mengukur
tingkat akurasi atau detection rate pada sistem IDS, dimana data serangan tersebut
diambil berdasarkan empat kategori serangan.
Berdasarkan penelitian terdahulu yang berkaitan dengan Intrusion Detection
System (IDS) dan Algoritma K-Means, maka penelitian ini melakukan
pengembangan yang membahas mengenai bagaimana mengklasifikasikan
serangan pada intrusion detection system menggunakan K-Means dalam
menganalisa data.
3. Metode dan Perancangan Sistem
Metode yang digunakan dalam klasifikasi serangan terdiri dari lima tahapan
yaitu, (1) Analisa kebutuhan dan pengumpulan data, (2) Perancangan sistem, (3)
Implementasi sistem, (4) Pengujian dan hasil penelitian, (5) Penulisan laporan.
Gambar 1 Tahapan Penelitian [5]
Tahapan penelitian pada Gambar 1 dapat dijelaskan sebagai berikut. Tahap
pertama : Pada tahap analisa kebutuhan dan pengumpulan data dilakukan
pengumpulan data berupa literatur yang berkaitan dengan keamanan jaringan dan
algoritma K-Means. Tahap kedua : Pada tahap perancangan sitem dilakukan
dengan cara melakukan proses clustering atau pengelompokan data serangan IDS
dan menghitung kedekatan antara objek dengan titik centroid dengan
menggunakan fungsi jarak Euclidean distance. Tahap ketiga : Pada tahap ini
dilakukan pengimplementasian Algoritma K-Means dengan cara melakukan
cluster/pengelompokan data serangan IDS untuk menentukan nilai K/jumlah
3
cluster dan titik centroid dalam klasifikasikan serangan terhadap IDS. Tahap
keempat : Pada tahap ini dilakukan pengujian algoritma K-Means dalam
mengklasifikasikan serangan terhadap IDS. Tahap kelima : Pada tahap ini akan
memaparkan seluruh hasil penelitian yang sudah dilakukan, dan akan ditulis pada
laporan penelitian.
Pada Tahap analisis kebutuhan dilakukan untuk mengumpulkan data dengan
cara mengumpulkan artikel yang berkaitan dengan keamanan jaringan dan
algoritma K-Means. Pada tahap mengimplementasikan system ini, dibutuhkan
beberapa perangkat yang terhubung dalam satu jaringan lokal dan terintegrasi
dengan internet. Adapun perangkat keras dan lunak yang dipakai dalam
membangun sistem terdapat pada Tabel 1.
Tabel 1 kebutuhan sistem
Komponen Fungsi Spesifikasi 1 PC Sebagai IDS server - CPU Dual C ore
- Ram 1GHz
- 1 Lan Port
- Hardisk 160 Gbyte
1 laptop Sebagai network
administrator
Kabel UTP Penghubung antara
router dan router,
router dengan client
- CAT 5
- TJ45
Ubuntu server
12.04
Ssstem operasi pada
IDS server
MYSQL Database
Matlab Sebagai tools dalam
menentukan titik-titik
data serangan dan titik
centroid yang dipakai
dalam algoritma K-
means
Pada tahap perancangan sistem yang dilakukan adalah dengan cara
memperhatikan cara kerja NIDS, alur kerja diagram penelitian serta cara kerja
algoritma K-Means yang digunakan sebagai metode dalam mengklasifikasikan
serangan pada IDS. Adapun tahapan-tahapan perancangan yang dilakukan dalam
penelitian ini yang digambarkan pada alur diagram kerja seperti pada Gambar 2
dibawah ini:
4
Gambar 2 Alur Diagram Cara Kerja NIDS [6]
Gambar 2 menunjukan alur diagram cara kerja Network Instrusion Detection
system (NIDS). Dimulai dari paket data yang memasuki interfaces jaringan yang
sudah dikonfigurasi dalam snort. Paket data tersebut dicocokan dengan signature
yang ada dalam database snort. Kemudian apabila paket data tersebut merupakan
sebuah instrusi akan disimpan ke database, jika bukan paket data akan diteruskan.
Paket data instusi yang disimpan ke database akan diolah dan dianalisa oleh
BASE. BASE merupakan aplikasi berbasis GUI yang dapat menganalisa data
snort. BASE mencari dan memproses kegiatan mencurigakan yang tersimpan
dalam database berdasarkan tools untuk memonitoring jaringan, hasil yang
ditampilkan akan menjadi acuan administrator dalam mengambil tindakan.
Adapun gambaran umum dari cara kerja penelitian yang digambarkan dalam
alur diagram dalam mengukur tingkat akurasi serangan pada IDS, yang
digambarkan pada Gambar 3 seperti dibawah ini:
Gambar 3 Diagram alur kerja penelitian
5
Pada Gambar 3 menunjukan diagram alur kerja yang dilakukan dalam
penelitian ini, dimulai dari pengambilan data pada BASE IDS yang diambil
berdasarkan emapat kategori serangan, yaitu web attack application, trojan
activity, attempted dos dan shellcode detect. Pada tahap selanjutnya akan
dikelompokan berdasarkan parameter yang telah dibuat dalam penelitian ini,
dimana parameter tersebut adalah IP yang sering kali masuk akan diberikan nilai
dan setelah mendapatkan nilai dari parameter tersebut maka akan dicari posisi
atau titik data menggunakan aplikasi matlab sebagai tools untuk mendapatkan
titik-titik data serangan dan juga titik centroid yang diambil pada BASE IDS
berdasarkan kategori serangan, dan setelah mendapatkan posisi atau titik data
serangan dan titik centroid dari data serangan tersebut maka tahap selanjutnya
adalah menghitung jarak dari tiap posisi data ke titik centroid dengan
menggunakan fungsi jarak, yaitu euclidean distance. Jika tahap perhitungan jarak
menggunakan fungsi jarak euclidean distance sudah selesai, maka akan dihitung
nilai rata-rata dari setiap titik data tersebut, guna mendapatkan hasil klasifikasi
serangan pada IDS, setelah mendapatkan hasil dari nilai rata-rata tersebut maka
proses dalam klasifikasi serangan pada IDS menggunakan algoritma K-Means
selesai.
Pada tahap selanjutnya akan dibahas mengenai perancangan algoritma K-
Means dalam klasifikasi serangan pada IDS. Adapun gambaran umum tentang
algoritma K-Means itu sendiri merupakan salah satu metode data clustering non-
hirarki yang mengelompokan data dalam bentuk satu atau lebih
cluster/kelompok. Data-data yang memiliki karakteristik yang sama
dikelompokan dalam satu cluster/kelompok dan data yang memiliki karakteristik
berbeda dikelompokan dengan cluster/kelompok yang lain sehingga data yang
berada dalam satu cluster/kelompok memiliki tingkat variasi yang kecil.
Algoritma K-means merupakan model centroid. Model centroid adalah model
yang menggunakan centroid untuk membuat cluster. Centroid adalah “titik
tengah” suatu cluster. Centroid berupa nilai dan centroid digunakan untuk
menghitung jarak suatu objek data terhadap centroid. Suatu objek data termasuk
dalam suatu cluster jika memiliki jarak terpendek terhadap centroid cluster
tersebut.
Pada tahap selanjutnya akan dibahas mengenai algoritma K-Means secara
keseluruhan meliputi proses pengambilan data serangan pada Base IDS dan
melakukan proses pengelompokan/cluster serangan serta menghitung jarak
centroid.
- Proses Clustering atau Pengelompokkan Pada tahapan ini data tersebut akan dikelompokkan melalui proses clustering.
Proses clustering dilakukan menggunakan Algoritma K-Means. Berikut ini adalah
proses clustering terhadap data serangan yang sudah diambil dalam BASE IDS
sesuai dengan penjelasan mengenai Algoritma K-Means pada bab sebelumnya.
1. Menentukan nilai K atau jumlah cluster dan centroid
Misalkan nilai K yang dimasukkan adalah dua, sehingga centroid yang
ditentukan juga sebanyak dua centroid. Pada kasus penelitian ini, jumlah cluster
dengan hasil clustering tidak ada perubahan dikarenakan jumlah cluster yang
dipakai sejumlah dua cluster, terdiri dari Internet Protocol (IP) dan Port yang
keduanya saling berdekatan.
6
2. Mengelompokkan data ke dalam cluster
Setelah data dikelompokkan ke dalam cluster maka akan dihitung jarak
antara titik data ke titik centroid dengan menggunakan fungsi jarak yaitu
Euclidean Distance.
Persamaan 1 merupakan formula Euclidean Distance atau perhitungan jarak
yang dipakai dalam mengukur DR pada IDS menggunakan algoritma K-Means
sebagai berikut:
[7] (1)
dengan :
𝑑 = distance
𝑖 = 𝑖1, 𝑖2, 𝑖3, ……, 𝑖p
𝑗 = 𝑗1, 𝑗2, 𝑗3, ……, 𝑗p
𝑘 = merepresentasikan nilai atribut
𝑛 = dimensi data
𝑥 = objek data
- Dalam hal dua dimensi (k = 1, 2) menjadi Xi maka:
X1i menjadi Xi
X1j menjadi Xj
X2i menjadi Yi
X2j menjadi Yj
Xik = 1 atau Xi1 menjadi Xi
Xjk = 1 atau Xj1 menjadi Xj
Xik = 2 atau Xi2 menjadi Yi
Xjk = 2 atau Xj2 menjadi Yj
Sehingga persamaan (1) dapat disederhanakan menjadi
𝐷𝑖𝑗 = 𝑋𝑐 − 𝑋1 2 + 𝑌𝑐 − 𝑌1 2
4. Hasil dan Pembahasan
Seperti yang dijelaskan pada metode penelitian dan perancangan Sistem,
tentang hasil perhitungan dan pengujian dalam klasifikasi serangan pada intrusion
detection system menggunakan algoritma K-Means. Pada tahap ini akan
membahas proses perhitungan K-Means. Adapun data serangan yang telah
diambil dalam BASE IDS, sehingga dapat dilihat pada Tabel 2 dibawah ini:
7
Tabel 2 Daftar objek yang telah dikelompokan
No Atribut (X) Jumlah IP Atribut (Y) Port
1 2 80
2 3 80
3 2 80
4 3 80
5 1 80
6 1 80
7 4 80
8 1 80
9 3 80
10 1 128
11 1 80
12 10 80
13 1 80
14 1 80
15 1 80
16 1 80
17 19 53
18 20 53
19 20 53
20 20 53
21 19 53
22 17 53
23 15 53
24 10 53
25 20 53
26 18 53
27 19 53
28 7 53
29 5 53
30 16 53
31 20 53
32 17 161
33 18 161
34 10 161
35 3 161
36 10 161
37 1 161
38 5 705
39 7 705
8
40 2 705
41 2 705
42 2 705
43 14 705
44 20 80
45 20 53
46 1 161
47 1 161
48 10 53
49 10 705
50 11 161
51 4 53
52 16 705
53 1 161
54 1 161
55 2 705
56 18 161
57 20 53
58 8 80
59 11 80
60 1 80
61 5 80
62 3 80
63 1 80
64 6 80
65 4 80
66 4 80
67 1 80
68 9 128
69 2 80
70 3 80
71 6 80
72 3 80
73 4 80
74 4 80
75 1 80
76 2 80
77 5 80
78 5 80
79 2 80
80 2 80
9
81 2 80
82 2 80
83 3 22
84 2 80
85 2 80
86 1 80
87 1 80
88 2 80
89 1 80
90 1 80
91 3 22
92 17 80
Pada Tabel 2 menjelaskan bahwa data serangan telah diambil pada BASE
IDS dikelompokan berdasarkan parameter sudah dibuat dalam pengolahan data
serangan tersebut, dimana parameter yang adalah IP dan Port. Dalam hal ini daftar
dari objek yang telah dikelompokan berdasarkan kategori serangan pada tabel
diatas mempunyi IP serangan yang berbeda-beda dan di capture pada BASE IDS.
Untuk mendapatkan nilai dari data serangan tersebut dibuatlah parameter baru,
dimana parameter yang dibuat adalah IP serangan yang sering kali masuk ke
dalam kategori serangan akan diberikan nilai. Contohnya adalah IP serangan
120.169.155.127:80 yang masuk sebayak 2 kali, maka akan diberikan nilai 2 dan
IP serangan 10.10.10.2:128 yang masuk sebayak 1 kali maka akan diberikan nilai
1.
Setelah mendapatkan nilai dari parameter data serangan tersebut, maka
ditentukanlah nilai K, dimana nilai K yang dimasukan adalah dua, sehingga
centroid yang ditentukan juga sebanyak dua centroid. Pada penelitian ini dalam
menentukan titik centroid dari data serangan yang telah dikelompokkan
berdasarkan IP dan Port, maka aplikasi Matlab digunakan sebagai tools untuk
membantu dalam menentukan titik centroid dari data serangan. Penamaan objek
dalam penggunaan aplikasi matlab harus diubah, dimana jumlah IP menjadi
atribut (X) dan Port menjadi atribut (Y) sehingga dapat dipahami oleh fungsi yang
ada di matlab dalam menentukan titik centroid dari data serangan.
Pada penelitian ini jumlah cluster yang dipakai adalah dua cluster, setelah
tahapan menentukan nilai K atau jumlah cluster selesai, tahapan berikutnya adalah
membuat titik centroid dari data serangan tersebut yang diambil berdasarkan
kategori serangan web attack. Aplikasi matlab digunakan sebagai tools untuk
mendapatkan titik centroid-nya dan bisa dilihat pada Gambar 4 dibawah ini:
Gambar 4Titik centroid Klasifikasi Alert
10
Pada penjelasan Gambar 4 merupakan hasil dari perhitungan yang dihitung
menggunakan fungsi dari matlab sebagai tools untuk membantu dalam
mendapatkan titik tersebut. Titik data serangan yang disimbolkan dengan (●) dan
titik centroid disimbolkan dengan (×), selanjutnya dimana jumlah IP berada di
sumbu (X) dan Port berada di sumbu (Y). Contoh dalam mencari titik data
serangan dengan IP 10.10.10:128 dengan nilai 1 kali masuk dalam serangan web
attack adalah dengan cara membuat garis perpotongan misalnya pada sumbu (X)
terdapat IP serangan 10.10.10.2 dengan masuk sebayak 1 kali dengan port 128
yang terdapat pada garis perpotongan pada sumbu (Y). Setelah mendapatkan titik-
titik dari posisi data serangan dan titik centroid tersebut, maka titk tersebut akan
dihitung kedekatannya antara objek dengan titik centroid menggunakan fungsi
jarak yaitu Euclidean Distance. Berikut ini adalah contoh perhitungan jarak antara
objek dan centroid, untuk titik centroid data 120.169.255.127:80 dengan titik Xc
=2,0000 dan Yc =84,3636.
- Hasil perhitungan jarak objek nomor satu (120.169.255.127) ke titik (×)
centroid yang disimbolkan dengan D1 adalah 4,3636 merupakan jarak
terpendek ke titik centroid.
𝐷𝑖 = 𝑋𝑐 − 𝑋1 2 + 𝑌𝑐 − 𝑌1
2 (2)
𝐷1 = 7,45 − 2 2 + 192,65 − 80 2 𝐷1 = 140,21
Pengujian algotirma K-Means dalam mengklasifikasikan serangan pada
sistem IDS, dilakukan dengan cara membandingkan hasil perhitungan dengan
menggunakan algorima K-Means, dengan rules yang dipakai didalam sistem IDS
(Snort) seperti Gambar 5.
Gambar 5 Rule dalam Snort
Gambar 5 merupakan sebuah rule yang akan menghasilkan sebuah alert, jika
pada traffic terdeteksi menggunakan protocol UDP dengan port apapun dan
menuju jaringan lokal dengan port tujuan 161 akan diklasifikasikan sebagai
serangan attempted-dos, seperti pada contoh IP 185.11.147.200 menggunakan
protocol UDP menuju jaringan lokal dengan port 161 dan jumlah serangan
sebanyak delapan belas kali, dikategorikan di dalam BASE IDS sebagai serangan.
Setelah menggunakan K-Means dalam klisifikasi serangan, maka paket tersebut
merupakan sebuah serangan yang akurat yang dicockan dengan rules yang ada
pada IDS.
Pada tahapan ini akan dijelaskan hasil dari perhitungan algoritma K-Means
dalam klasifikasi alert pada IDS, dimana klasifikasi alert didefinisikan sebagai
presentase dari data serangan tersebut yang diambil berdasarkan dalam kategori
serangan yang sudah dikelompokan berdasarkan jenis serangan dan untuk lebih
jelas dapat dilihat pada Tabel 3.
11
Tabel 3 Hasil Klasifikasi Alert berdasarkan serangan
Attack Jumlah Klasifikasi Alert
Klasifikasi Alert %
(Presentase)
Att Dos 471 67 %
Web Attack 36 10 %
Trojan Activity 67 9 %
Shellcode Detect 62 14 %
Total Alert 636
Pada Tabel 3 menjelaskan bahwa nilai presentase klasifikasi alert diperoleh
dari hasil perhitungan dengan menggunakan Algoritma K-Means dalam
mendapatkan nilai presentase dari klasifikasi alert, dimana nilai dari rata-rata
serangan diambil dari semua jenis serangan yang dibagi berdasarkan empat jenis
serangan kemudian dijumlahkan nilai dari rata-rata jenis serangan tersebut
kemudian dikalikan 100%. Hasil tersebut mendapatkan nilai klasifikasi serangan
dengan serangan web attack 10%, trojan activity 9%, shellcode detect 14% dan att
dos 67% pada IDS seperti pada Gambar 5 dibawah ini.
Gambar 6 Presentase Klasifikasi Alert
5. Kesimpulan
Berdasarkan hasil dan pembahasan dari penelitian yang dilakukan maka
dapat diambil kesimpulan bahwa dalam mengklasifikasikan alert pada sistem IDS
dengan Algoritma K-Means, dimana dari hasil perhitungan tersebut mendapatkan
nilai klasifikasi serangan web attack 10%, trojan activity 9%, shellcode detect
14% dan att dos 67%. Selain itu K-Means mempuyai beberapa kelemahan yaitu (1)
sangat bergantung pada pemilihan nilai awal, (2)
kurangnya kejelasan mengenai
berapa banyak cluster k yang terbaik, (3)
sangat sulit dalam menentukan titik pusat
inisial cluster yang dilakukan secara random.
Sistem yang dibangun masih banyak memiliki kekurangan, saran-saran yang
dapat diberikan dalam pengembangan dari penelitian ini selanjutnya adalah jika
dalam penelitian ini hanya menggunakan empat kategori serangan dalam
klasifikasi serangan maka untuk pengembangan penelitian selanjutnya dapat
Web Appliacation
Attack10%
Attempted Dos67%
Trojan Activity9%
Shellcode Detect
14%
Klasifikasi Alert
12
menggunakan semua kategori serangan dalam klasifikasi alert, sehingga akan
memaksimalkan kinerja dalam sistem IDS.
6. Daftar Pustaka
[1] Kusrini, Luthfi, 2009, Algoritma Data Mining, Yogyakarta: Penerbit Andi.
[2] Lestari, S.Kom, 2010, Implementasi Adaptive Bandwith Limiter pada
Aplikasi Network Traffic Monitoring dengan Metode Based Detection
System, Salatiga.
[3] Han. Li, 2012, Research of K-MEANS Algorithm based on Information
Entropy in Anomaly Detection, China: School of Applied Science Beijing
Information Science and Technology University.
[4] Muda, Z., Yassin, W., Sulaiman, M,N., & Udzir, N, I., 2014, A K-Means
Clustering and Naïve Bayes Classification for Intrusion Detection.
Malaysia: Faculty of Computer Science and Information Technology,
University Putra Malaysia.
[5] Zamrudi. Muhamad, 2009, Analisis Mekanisme Pertahanan DOS dan
DDOS pada Virtual Machine dengan Menggunakan IDS Center. Depok :
Fakultas Teknik – Program Teknik Komputer.
[6] Vikky Aprelia Windarni, 2014. Analisis Cara Kerja NIDS untuk
Mengatasi Serangan Flood. Universitas Kristen Satya Wacana.
[7] Putra, Darma, 2010, Pengolahan Citra Digital, Yogyakarta : Penerbit
Andi.