BAB I PENDAHULUAN 1.1 Latar Belakang Sistem jaringan komputer memiliki peran yang sangat penting dalam masyarakat modern karena memungkinkan informasi dapat diakses, disimpan dan dimanipulasi secara online. Akan tetapi, timbul ancaman terhadap keamanan informasi tersebut dengan semakin meningkatnya akses dan koneksi ke jaringan yang juga didorong oleh banyaknya informasi tersebut yang bersifat sensitif. Keamanan jaringan akan terancam ketika terjadi intrusi. Teknik-teknik untuk mencegah terjadinya intrusi seperti perlindungan informasi (misalnya enkripsi) sudah diterapkan. Namun, dengan semakin kompleksnya sistem, selalu saja ada kelemahan yang dapat dieksploitasi karena kesalahan desain dan error pada pemrograman atau pendekatan sosial [LEE98]. Oleh karena itu, pendeteksian intrusi dibutuhkan sebagai salah satu bagian dari pertahanan pada sistem jaringan komputer. Penelitian mengenai sistem pendeteksi intrusi / intrusion detection system (IDS) telah dimulai sejak 1980 sampai sekarang antara lain untuk mengetahui metode pendeteksian intrusi yang performansinya lebih baik. Metode tradisional yang banyak diimplementasikan untuk mendeteksi intrusi adalah signature-based technique. Metode ini hanya dapat mendeteksi intrusi yang memiliki signature yang sesuai, sehingga signature database harus direvisi secara manual untuk setiap jenis intrusi yang ditemukan. Karena adanya keterbatasan ini, maka banyak riset yang dilakukan untuk mendeteksi intrusi dengan menggunakan teknik data mining [LAZ03]. Dari hasil penelitian tersebut, banyak yang performansinya mendekati atau lebih baik jika dibandingkan dengan sistem yang tidak menggunakan teknik data mining. Berdasarkan metode yang digunakan, pendeteksian intrusi dengan data mining dapat dibagi menjadi dua kategori yaitu misuse detection dan anomaly detection. Kelebihan utama dari misuse detection adalah mampu mendeteksi intrusi yang sudah diketahui secara akurat, tetapi tidak dapat mendeteksi jenis intrusi yang belum diketahui (belum I-1
I-2 pernah dilihat sebelumnya). Sebaliknya, anomaly detection dapat mendeteksi intrusi jenis baru sebagai deviasi dari data normal [LAZ03]. Akan tetapi, untuk menerapkan dan menggunakan IDS yang menggunakan teknik data mining terdapat 3 kesulitan utama yaitu kecenderungan menghasilkan false positive yang lebih tinggi khususnya metode anomaly detection, memerlukan biaya komputasi yang tinggi (memerlukan dua tahap yaitu pelatihan dan pengujian), dan membutuhkan data pelatihan yang jumlahnya besar [LEE01]. Teknik data mining, baik supervised learning maupun unsupervised learning dapat digunakan untuk mendeteksi intrusi pada jaringan. Pada penelitian [LAS05], dilakukan perbandingan beberapa algoritma yang termasuk dalam pendekatan supervised learning dan pendekatan unsupervised learning. Hasilnya, algoritma dengan pendekatan supervised learning secara umum, mampu mendeteksi intrusi yang jenisnya diketahui, dengan akurasi yang sangat tinggi jika dibandingkan dengan pendekatan unsupervised learning. Hasil terbaik diperoleh oleh C4.5, SVM (Support Vector Machine) nonlinier dan MLP (Multi Layer Perceptron). Namun, ketika algoritma ini diuji pada data yang mengandung jenis intrusi yang tidak diketahui, secara umum performansinya menurun secara drastis. Hasil terbaik diperoleh oleh SVM dengan perbedaan yang signifikan dibandingkan teknik lainnya. Kekurangan dari pendekatan supervised learning dibandingkan dengan unsupervised learning adalah memerlukan pelabelan data yang cukup sulit untuk diperoleh dalam aplikasi yang sebenarnya. Selain itu, sulit untuk memastikan apakah semua label yang telah diberikan mewakili semua jenis intrusi. Hal inilah yang mengakibatkan pendekatan unsupervised learning juga banyak diterapkan untuk mendeteksi intrusi pada jaringan. Penelitian pada [MUK02] menggunakan metode SVM dan Neural Network. Hasilnya, SVM memiliki akurasi yang lebih tinggi dengan waktu pengujian dan pelatihan yang jauh lebih singkat. Penelitian lainnya, [LAZ03,LAS04] menunjukkan bahwa unsupervised SVM (One Class SVM) memiliki akurasi yang tinggi dalam pendeteksian intrusi, tetapi false positive-nya juga sangat tinggi. Jadi, dari hasil penelitian di atas, SVM merupakan teknik yang memiliki akurasi yang tinggi dalam mendeteksi intrusi dan dapat diterapkan dalam bentuk supervised learning maupun
I-3 unsupervised learning. Selain itu, dalam bentuk supervised learning SVM dapat juga diterapkan dalam bentuk multi class SVM [MUK02] atau SVM biner [LAS05]. Walaupun SVM dapat mendeteksi intrusi dengan akurasi yang tinggi, masih terdapat beberapa masalah untuk dapat menerapkan SVM dalam IDS. Dengan menggunakan teknik SVM belum jelas diketahui secara persis bagaimana pengaruh jumlah dan distribusi data pada data pelatihan yang diproses terhadap performansi SVM dalam mendeteksi intrusi pada data yang distribusinya natural. Pada penelitian [MUK02, LAS05] digunakan data yang jumlahnya relatif sedikit, padahal umumnya jumlah data yang harus dimonitor oleh IDS cukup besar. Rendahnya performansi IDS seperti tingkat false positive yang tinggi tentunya akan sangat menganggu. Salah satu fungsi IDS adalah mengirimkan notifikasi kepada administrator ketika mendeteksi adanya intrusi. Jadi, jika tingkat false positive tinggi maka IDS akan mengirimkan banyak notifikasi pada saat tidak terjadi intrusi. Demikian juga jika akurasi pendeteksian intrusi rendah maka mungkin terdapat aktivitas penyusup yang tidak diketahui oleh administrator. Waktu pengujian yang dibutuhkan oleh IDS juga akan menentukan berapa estimasi volume data yang dapat dimonitor IDS dalam rentang waktu tertentu. Selain itu, waktu pelatihan juga penting untuk diketahui karena adakalanya diperlukan pelatihan ulang ketika terdapat intrusi jenis baru yang harus segera dideteksi. Oleh karena itu, untuk menerapkan SVM pada IDS, perlu diketahui bagaimana cara terbaik mengimplementasikan teknik tersebut serta bagaimana performansinya. 1.2 Rumusan Masalah Dalam Tugas Akhir ini akan dilakukan penerapan Support Vector Machine untuk pendeteksian intrusi dengan pendekatan misuse detection dan anomaly detection yang diacu dari penelitian [LAS05, LAS04, MUK02]. Hal ini dilakukan untuk mengetahui: 1. Bagaimana model terbaik dalam mengimplementasikan SVM untuk pendeteksian intrusi pada jaringan. 2. Bagaimana pengaruh variasi dataset terhadap performansi SVM dalam pendeteksian intrusi pada distribusi data yang natural. Variasi yang dimaksud adalah variasi dalam jumlah data pelatihan dan distribusi kelas data intrusi,
I-4 sedangkan performansi yang dimaksud mencakup akurasi, detection rate, false positif rate serta waktu yang dibutuhkan untuk pelatihan dan pengujian. 1.3 Tujuan Tujuan utama Tugas Akhir ini adalah melakukan studi dan implementasi pendeteksian intrusi pada jaringan dengan menerapkan teknik Support Vector Machine baik dengan pendekatan misuse detection maupun anomaly detection yang diacu dari penelitian [LAS04, LAS05, MUK02]. Tujuan tersebut dapat dijabarkan sebagai berikut: 1. Memahami teknik Support Vector Machine. 2. Memahami bagaimana cara menerapkan Support Vector Machine untuk pendeteksian intrusi pada jaringan baik dengan metode misuse detection maupun anomaly detection. 3. Membangun prototipe perangkat lunak untuk mengimplementasikan teknik Support Vector Machine untuk pendeteksian intrusi pada jaringan. 4. Eksplorasi model pendeteksian intrusi menggunakan SVM untuk menemukan model yang memiliki performansi terbaik 5. Menganalisis potensi penerapan SVM dalam IDS. 1.4 Batasan Masalah Adapun batasan masalah pada pelaksanaan tugas akhir ini adalah: 1. Mining dilakukan terhadap data yang diaudit (bukan data stream). Selain itu, untuk dapat mengevaluasi hasil penerapan SVM yang dibangun, digunakan data yang sudah tersedia yaitu data KDDCUP 99 yang merupakan hasil preprocessing dari dari data DARPA 1998 intrusion detection evaluation dan dapat diperoleh di http://kdd.ics.uci.edu/databases/kddcup99. 2. Prototipe perangkat lunak yang dibuat lebih ditujukan sebagai sarana untuk melakukan pengujian terhadap hasil penerapan SVM yang dilakukan. 1.5 Metodologi Dalam penyusunan tugas akhir ini digunakan metodologi sebagai berikut: 1. Eksplorasi awal, dilakukan dengan cara melakukan eksplorasi mengenai pengenalan sistem pendeteksi intrusi dan teknik data mining yang dapat digunakan untuk pendeteksian intrusi.
I-5 2. Studi literatur, dilakukan dengan cara mempelajari literatur-literatur baik yang berupa buku (textbook), jurnal dan artikel ilmiah, maupun website untuk memahami teknik SVM dan pendeteksian intrusi pada jaringan. 3. Analisis penyelesaian masalah, dilakukan dengan menganalisis penggunaan SVM untuk pendeteksian intrusi pada jaringan dan cara yang dapat digunakan untuk mengatasi kelemahannya. 4. Perancangan prototipe perangkat lunak, dilakukan dengan cara membuat desain prototipe perangkat lunak yang dapat mengimplementasikan hasil analisis penyelesaian masalah di atas. 5. Implementasi perangkat lunak, dilakukan berdasarkan hasil perancangan prototipe perangkat lunak 6. Pengujian perangkat lunak, menggunakan dataset KDD Cup 99. Analisis hasil dan penarikan kesimpulan, berdasarkan hasil yang diperoleh. 1.6 Sistematika Pembahasan Sistematika penulisan laporan tugas akhir ini adalah sebagai berikut: 1. Bab I Pendahuluan, berisi penjelasan mengenai latar belakang, rumusan masalah, tujuan, batasan masalah, metodologi, serta sistematika pembahasan yang digunakan untuk menyusun laporan tugas akhir. 2. Bab II Landasan Teori, berisi dasar teori yang digunakan dalam analisis, perancangan, dan implementasi tugas akhir. 3. Bab III Analisi Penyelesaian Masalah, berisi analisis solusi untuk masalah yang dibahas serta perancangan dan implementasi prototipe perangkat lunak yang akan digunakan untuk melakukan eksperimen. 4. Bab IV Eksperimen, berisi tujuan eksperimen, skenario, pelaksanaan dan analisis hasilnya. 5. Bab V Penutup, berisi kesimpulan dan saran yang didapatkan selama pelaksanaan tugas akhir.