Identifikasi Botnets Melalui Pemantauan Group activity Pada DNS Traffic

dokumen-dokumen yang mirip
Masalah Keamanan Pada Sistem Mobile

I. PENDAHULUAN. jaringan dan aplikasi yang dibuat khusus untuk jaringan. Akibatnya, interaksi

Mengenal Berbagai Jenis Malware dan Pencegahannya

Analisa dan Implementasi Sistem Keamanan Jaringan Komputer dengan Iptables sebagai Firewall Menggunakan Metode Port Knocking

PERTANYAAN YANG SERING DIAJUKAN TENTANG RUANG LINGKUP TUGAS ID-SIRTII

Protokol Kriptografi Secure P2P

Denial of Service Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

PENDETEKSIAN SERANGAN DDOS (DISTRIBUTED DENIAL OF SERVICE) MENGGUNAKAN IDS (INTRUSION DETECTION SYSTEM)

Jenis-jenis Firewall. Firewall terbagi menjadi dua jenis, yakni sebagai berikut

BAB I PENDAHULUAN. Gambar 1.1. Grafik jumlah pengguna internet di Indonesia tahun versi APJII

Tugas Bahasa Indonesia

Pengaturan OpenDNS. OpenDNS untuk meningkatkan waktu respon Web navigasi

INFRASTRUCTURE SECURITY

Analisis dan Perancangan Perangkat Lunak Media Sosial untuk Berbagi Informasi Diskon

Keamanan Jaringan (Network Security)

Network Security: Malware

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB I PENDAHULUAN 1.1 Latar Belakang

DETEKSI MALWARE DALAM JARINGAN MENGGUNAKAN DIONAEA. (Malware Detection in the Network Using Dionaea)

BAB 3 ANALISIS DAN PERANCANGAN SISTEM

LAPISAN APLIKASI DNS DAN TELNET. Budhi Irawan, S.Si, M.T

USER MANUAL. TREND MICRO Internet Security Pro. Masalah pada Aktivasi dan Instalasi TIS Pro. By: PT. Amandjaja Multifortuna Perkasa

Pemrograman Web Teknik Informatika Fakultas Teknologi Industri

1. Denial of service adalah jenis serangan yang tujuannya adalah mencegah pengguna yang sesungguhnya menikmati layanan

BAB I PENDAHULUAN 1.1. Latar Belakang

Lebih kompatibel dengan Windows karena memang IIS adalah keluaran Microsoft.

BAB 1 PENDAHULUAN 1.1 Latar Belakang

Penerapan Congestion Participation Rate (CPR) untuk Pendeteksian Serangan Low-Rate DDoS

BAB IV HASIL DAN PEMBAHASAN

BAB I PENDAHULUAN UKDW

KEAMANAN/SECURITY. Permasalahan Keamanan Auttentikasi Ancaman Program Ancaman Sistem Sistem Keamanan Deteksi Gangguan Enkripsi Windows NT

LAMPIRAN C PEDOMAN PRAKTIKUM TOPIK 3 PENGUJIAN JARINGAN IPSEC DENGAN JENIS SERANGAN DENIAL OF SERVICE MENGGUNAKAN SOFTWARE LOIC

ATTACK TOOLS. Oleh: M. RUDYANTO ARIEF 1

Titik Lemah Jaringan Komputer

KOMPUTER DAN MASYARAKAT. Mia Fitriawati S.Kom

SYARAT DAN KETENTUAN LAYANAN MEGA INTERNET

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB I PENDAHULUAN 1.1 LATAR BELAKANG

Perancangan Web Application Honeypot untuk Menggali Informasi Peretas

BAB 1 PENDAHULUAN 1.1 Latar Belakang

BAB 1. PENDAHULUAN. Ancaman keamanan terhadap penyedia layanan web semakin meningkat

Laporan Dwi Bulanan II 2017

Laporan Dwi Bulanan I 2017

Laporan Dwi Bulanan III 2017

BAB 5 SIMPULAN DAN SARAN. yang telah dilakukan dapat memberikan beberapa simpulan : monitoring lalu lintas data, dan monitoring client.

Computer Science, University of Brawijaya. Putra Pandu Adikara, S.Kom. Keamanan Komputer. Kompetensi Aplikasi Komputer

4. SISTEM OPERASI TERDISTRIBUSI

PENGGUNAAN SPOOFING DAN SSH FORWARDING UNTUK KEAMANAN SERTA FILTRASI DATA PADA JARINGAN

BAB 1 PENDAHULUAN. Hal itu bisa dirasakan dengan semakin banyaknya ditemukan sistem yang berbasiskan

BAB I PENDAHULUAN 1.1 Latar Belakang

ABSTRAK. Kata kunci :SSL, RSA, MD5, Autentikasi, Kriptografi. Universitas Kristen Maranatha

BAB I PENDAHULUAN. 1.1 Latar Belakang

PERANCANGAN SISTEM PENCEGAHAN FLOODING DATA PADA JARINGAN KOMPUTER

APPLICATION LAYER. Oleh : Reza Chandra

FRAMEWORK UNTUK MENDETEKSI BOTNET KRAKEN DAN CONFICKER PADA JARINGAN KOMPUTER

BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

Peningkatan Keamanan Kunci Enkripsi Menggunakan Perubahan Kunci Berkala dan Akses Ganda

Laporan Dwi Bulanan IV 2016

KEAMANAN JARINGAN FIREWALL DI HOST DAN SERVER KEAMANAN JARINGAN

BOTNET DETECTION SURVEY

Laporan Dwi Bulanan V 2015

Jenis ancaman jaringan Dan Cara mengatasinya

BAB 2 LANDASAN TEORI. ribuan bahkan jutaan komponen yang dapat saling bekerja sama, serta membentuk sebuah

Browser Hijacker Trojan Horse Spyware

BAB I PENDAHULUAN 1.1 Latar Belakang

F-Secure Mobile Security for S60

Automatisasi Penanganan Insiden dan Deteksi Phishing

APLIKASI IRC BOT SEBAGAI ALAT BANTU SYSTEM ADMINISTRATOR BERBASIS BAHASA PEMROGRAMAN PERL

Pencari Celah Keamanan pada Aplikasi Web

APLIKASI UNTUK PEMANTAUAN LAN PADA STUDI KASUS DI UNIVERSITAS BUNDA MULIA. Abstract

FIREWALL,INSTRUSION DETECTION SYSTEM DAN HONEYPOT

Investigasi Serangan Malware Njrat Pada PC

WIRELESS SECURITY. Oleh: M. RUDYANTO ARIEF 1

JURNAL SISTEM KEAMANAN HONEYPOT PADA JARINGAN NIRKABEL (HOTSPOT) DI UNIVERSITAS NUSANTARA PGRI KEDIRI

Kelompok 1. Anggota : BOBBY KURNIAWAN NIA FITRIANA ARI FEBRYANSYAH DIAN ULUMIA ORIN HARITSA YASSER

ADOPSI ENKRIPSI JEFFERSON WHEEL PADA PROTOKOL ONE-TIME PASSWORD AUTHENTICATION UNTUK PENCEGAHAN SNIFFING PADA PASSWORD

Application Layer Protocol and Services DNS Service and Protocol WWW dan HTTP

BAB I PENDAHULUAN. 1.1 Latar Belakang

ANALISA SERANGAN DDOS (DISTRIBUTED DENIAL OF SERVICE) TCP FLOOD DAN UDP FLOOD PADA HONEYD SKRIPSI. Oleh : GENTA PAMBUDI PUTRA WIDYASTORO

Mengapa menggunakan web proxy yang terintegrasi dengan AntiVirus???

3. apa yang anda ketahui tentang firewall? A. Pengertian Firewall

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Network Attacks. Bayu Krisna, Jim Geovedi 1 Pendahuluan. 1.1 Tujuan Network Attacks

Bab I Pendahuluan BAB I PENDAHULUAN 1.1 LATAR BELAKANG

PANDUAN UJI KOMPETENSI

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB 1 Arsitektur Layanan

PENERAPAN SMS GATEWAY DAN PACKET FILTER PADA PENGEMBANGAN SECURITY ALERT SYSTEM JARINGAN KOMPUTER

PEMANTAUAN LAN PADA UNIVERSITAS BUNDA MULIA DENGAN APLIKASI MONITORING. Halim Agung Tekhnik Informatika Universitas Bunda Mulia

A I S Y A T U L K A R I M A

ID-CERT Pendahuluan 1. Daftar isi 1/6. Laporan Dwi Bulan III [Type the document title] Mei - Juni Ringkasan

BAB III METODOLOGI 3.1 Analisis Kebutuhan Sistem Kebutuhan Perangkat Keras

BAB I PENDAHULUAN 1.1 Latar Belakang

Transkripsi:

JURNAL TEKNIK POMITS Vol. 2, No. 1, (213) ISSN: 2337-3539 (231-9271 Print) 1 Identifikasi Botnets Melalui Pemantauan Group activity Pada DNS Traffic Septian Geges, Waskitho Wibisono, dan Tohari Ahmad Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 6111 Indonesia E-mail: waswib@if.its.ac.id Abstrak Saat ini telah bermunculan cara-cara cybercrime seiring bertumbuhnya pengguna internet di dunia. Salah satu motif yang disoroti adalah mendapatkan keuntungan finansial melalui kumpulan besar komputer yang diambil alih aksesnya secara paksa. Komputer yang dikendalikan ini biasa disebut bot. Sekelompok bot, disebut sebagai botnet, dikendalikan dari jarak jauh oleh server dan dapat digunakan untuk mengirim e-mail spam, mencuri informasi pribadi, dan meluncurkan serangan DDoS. Sayangnya perkembangan mekanisme pertahanan yang ada hampir selalu tertinggal dengan kecepatan pertumbuhan teknologi botnet. Para Peneliti sudah memfokuskan penelitian pada deteksi bot traffic menggunakan karakteristik jaringan ketika serangan botnet itu terjadi, namun pendekatan deteksi ini bisa dengan cepat dihindari menggunakan teknik penghindaran yang ditambahkan ke dalam bot. Pada pendekatan lain, diperlukan adanya analisis data yang sangat besar, sehingga sangat tidak efektif untuk jaringan-jaringan dengan kecepatan tinggi. Dalam tugas akhir ini diberikan sebuah mekanisme deteksi botnet dengan memantau lalu lintas DNS untuk mendeteksi botnet, yaitu dengan melakukan pemantauan group activity dalam query DNS dikirim secara bersamaan oleh bot yang terdistribusi dalam jaringan tersebut. Mekanisme yang diberikan dapat mendeteksi botnet dengan efektif ketika bot berusaha terhubung ke server command and control (C&C) botnet tersebut atau bermigrasi ke server C&C lain. T Kata Kunci Bot, Botnet, Group activity, Similarity. I. PENDAHULUAN EKNOLOGI internet saat ini berkembang dengan pesat, begitu pula dengan jumlah penggunanya yang semakin banyak. Internet tidak lagi hanya digunakan sebagai sarana bertukar informasi, namun mulai digunakan untuk keperluan komersial, misalnya saja sebagai sarana transaksi pembayaran. Hal ini tentu menyebabkan sejumlah besar data berharga semakin banyak beredar melalui jaringan internet. Namun, dari waktu ke waktu semakin banyak celah keamanan internet yang didapat dan disalahgunakan oleh para penjahat elektronik. Lebih spesifik lagi, motif yang melatarbelakangi penyalahgunaan internet belakangan ini sudah berbeda dengan motif tradisional (untuk menyerang server atau perangkat lain dalam jaringan), serangan yang dilakukan saat ini dimaksudkan untuk memperoleh keuntungan finansial. Hal ini tentu menjadi ancaman baru yang membahayakan jutaan orang yang menggunakan internet dalam beraktivitas. Contoh serangan yang dapat dilakukan melalui internet antara lain, pencurian Gambar 1. Proses penyebaran dan penggandaan bot. informasi pribadi oleh para penjahat elektronik yang dapat menyebabkan kerugian keuangan yang signifikan, internet digunakan untuk mengirim spam mail, maupun sebagai sarana meluncurkan serangan Distributed Denial of Service (DDoS). Botnet adalah sebuah jaringan dari komputer-komputer yang terkontaminasi oleh aplikasi berbahaya. Botnet dioperasikan oleh pelaku kejahatan untuk melakukan serangan internet (cybercrime) [1]. Grup-grup jaringan yang terinfeksi ini semakin meluas dengan cara menginfeksi komputer (hosts) yang rentan menjadi bots sehingga dapat dikendalikan dari jarak jauh melalui jaringan. Semua komputer yang terinfeksi ini melakukan aktifitas berbahaya tanpa dikatahui oleh pemiliknya. Peneliti sudah memfokuskan penelitian pada deteksi bot traffic menggunakan karakteristik jaringan ketika serangan botnet itu terjadi, namun pendekatan deteksi ini bisa dengan cepat dihindari menggunakan teknik penghindaran yang ditambahkan ke dalam bot. Pada pendekatan lain, diperlukan adanya analisis data yang sangat besar, sehingga sangat tidak efektif untuk jaringan-jaringan dengan kecepatan tinggi [2] [3]. Untuk memberikan alternatif metode deteksi botnet, diusulkanlah suatu metode deteksi yang memanfaatkan fitur

JURNAL TEKNIK POMITS Vol. 2, No. 1, (213) ISSN: 2337-3539 (231-9271 Print) 2 Tabel 1. Beberapa perbedaan antara query DNS botnet dan query DNS yang normal Alamat IP yang mengakses domain name Pola aktivitas dan kemunculan Tipe DNS DNS Botnet Jumlah tetap Group activity Biasanya dalam grup muncul sesekali DDNS (anggota botnet) (dalam situasi spesifik) DNS Normal Anonim, acak (pengguna yang sah) Non-group activity, random, kemunculan secara rutin Biasanya DNS Bagian vertikal menunjukkan sifat khusus dalam DNS traffic, sedangkan bagian horizontal menunjukkan jenis DNS traffic. Gambar 2. Arsitektur Sistem yang terdapat pada botnet itu sendiri, yaitu group activity. Group activity merupakan suatu perilaku atau karakteristik yang melekat pada botnet, dimana bot mengakses C&C botnet tersebut secara bersamaan. Karena group activity ini pasti dimiliki botnet yang beroperasi dalam jaringan komputer, hal inilah yang menyebabkan group activity menarik untuk dijadikan parameter deteksi botnet. Ada beberapa kondisi dimana group activity dilakukan. Kondisi group activity yang ditangkap oleh mekanisme deteksi botnet ini adalah ketika botnet berpindah ke server C&C yang baru. Selain itu, untuk menganalisa group activity hanya diperlukan sejumlah kecil data dari lalu lintas DNS sehingga sangat baik digunakan dalam jaringan berskala besar. Mekanisme ini juga dapat melakukan deteksi botnet secara realtime meskipun botnet menggunakan mekanisme komunikasi yang terenkripsi. Makalah ini membahas tentang metode identifikasi botnet dalam suatu jaringan dengan memanfaatkan group activity pada DNS traffic. A. Bot dan Botnet II. LANDASAN TEORI Bot didefinisikan sebagai kode program kecil yang dirancang untuk menjalankan fungsinya secara otomatis. Dalam penggunaannya, bot dapat dapat sangat bermanfaat jika difungsikan dengan benar, misalnya dalam hal indexing/spidering website, mengumpulkan harga-harga produk online untuk dibandingkan, atau menjalankan fungsi tertentu dalam suatu sistem. Di sisi lain, bot bisa menjadi berbahaya apabila digunakan oleh orang-orang yang tidak bertanggung jawab. Contoh penggunaan negatif dari bot ini antara lain: sebagai pusat kontrol jarak jauh aplikasi trojan horse dan aplikasi berbahaya lain, menjalankan fungsi-fungsi tertentu dalam sebuah komputer tanpa sepengetahuan pemilikya, atau lebih buruk lagi di mana bot dapat digunakan untuk mencuri informasi penting yang dimiliki pemilik komputer, misalnya kata sandi transaksi perbankan. Bot ini tidak hanya ditemukan sebagai entitas tunggal namun dapat juga ditemukan dalam bagian jaringan besar, disebut juga botnet. Perilaku botnet dapat dianalogikan dengan koloni lebah, di mana terdapat sebuah ratu (pusat komando) yang memberi perintah kepada para lebah pekerja (komputer bot). B. Proses Penyebaran dan Pengendalian Bot Bagian ini menggambarkan proses secara bertahap bagaimana penyerang menggunakan bot: melakukan konfigurasi bot sesuai kebutuhan mereka, mengeksploitasi celah keamanan pada komputer korban, menginfeksi komputer dengan bot & mengendalikan bot untuk menyerang target lain atau menggunakannya sebagai zombie. Proses dimulai dengan pengkodean bot. Sesuai dengan kemampuan penyerang, kode bot dibuat berdasarkan bot yang sudah tersedia di situs warez internet maupun menulis sendiri kode program yang mencakup beberapa elemen utama yaitu server IRC tempat bot akan melakukan koneksi ketika telah terpasang pada komputer inang, layanan port TCP IRC untuk melakukan koneksi, nama private channel bergabung ke sistem kendali, serta password atau kunci untuk menjaga keaslian bot yang ingin bergabung ke dalam sistem kendali. Sebagai fungsi tambahan, penyerang juga dapat mengubah lokasi dan nama berkas bot yang ditempatkan di lingkungan komputer korban. Lebih lanjut lagi, penyerang juga dapat menentukan sejumlah channel, ataupun channel dinamis untuk melakukan akses ke botnet yang telah terbentuk. Hal ini dilakukan untuk mengantisipasi apabila bot tersebut diblokir pada server tertentu. Untuk melakukan hal ini, biasanya penyerang mengunakan layanan publik dyndns.com atau no-ip.com untuk mengasosiasikan alamat IP dinamis ke server IRC tempat bot bergabung. Pada Gambar 1 ditunjukkan proses penyebaran dan penggandaan bot yang diulang berkali-kali sehingga terbentuk botnet. Ditunjukkan juga skema pemanfaatan komputer yang sudah terpasang botnet untuk menyerang komputer dengan DOS. Penyerang mencoba untuk menginfeksi mesin korban dengan bot, baik melalui pemanfaatan celah keamanan pada sistem operasi / aplikasi atau mengelabui pengguna komputer untuk mengeksekusi sebuah program inang yang nantinya akan mengakibatakan prosesinstalasi bot berjalan. Cara umum bagi penyerang untuk menginfeksi banyak komputer yang terhubung ke internet adalah dengan menggunakan metode eksploitasi sistem yang terbaru saat ini (a). Metode eksploitasi ini biasanya

JURNAL TEKNIK POMITS Vol. 2, No. 1, (213) ISSN: 2337-3539 (231-9271 Print) 3 Jumlah Domain Name Terdeteksi 2 15 1 5 Rata-Rata Jumlah Kesalahan Deteksi Domain Name pada Nilai Threshold Similaritas Tertentu 1.9.8.7.6.5.4.3.2.1 Nilai Threshold Similaritas Gambar 3. Ilustrasi Proses Seleksi Atribut Penting dibahas dalam forum rahasia hacker. Hacker menggunakannya untuk mendapatkan akses ke mesin korban dan menginstal bot sebagai backdoor untuk menjaga akses ke sistem korban. Proses penyebaran bot ini bisa berlangsung secara otomatis dengan menggunakan worm arahan penyerang untuk memindai jaringan/subnet target untuk menemukan celah, memanfaatkan sebagian besar sistem yang potensialdan menginfeksi mereka dengan bot. Cara lain adalah dengan memanfaatkan aplikasi web yang mengelabui pengguna untuk menjalankan beberapa program berbahaya atau virus yang menyebabkan infeksi bot. Pengguna dapat menginstal klien IRC yang sudah disisipi trojan sehingga ketika ia menggunakan klien IRC, tanpa sadar ia juga telah menginstal bot pada komputernya. Setelah bot terpasang di komputer korban, bot menggandakan dirinya ke direktori instalasi dan memperbaharui nilai registri apabila bot menyerang lingkungan Windows. Pada tahap berikutnya, bot mencoba untuk melakukan koneksi ke server IRC dengan nick name yang dihasilkan secara acak, yaitu nama yang unik atau nama yang mewakili informasi bahwa bot tersebut adalah milik penyerang (b). Bot menggunakan 'kunci', berupa kata sandi otentikasi untuk bergabung ke channel IRC pribadi milik penyerang. Selanjutnya penyerang berkali-kali menggunakan server IRC publik untuk kegiatan penyebaran bot dan hal ini bisa diketahui dan diblokir oleh administrator IRC, hal ini akan sangat merugikan penyerang karena beresiko kehilangan tentara botnet mereka. Untuk menghindari hal ini, penyerang kadangkadang menggunakan penyedia layanan seperti dyndns.com atau no-ip.com untuk memetakan secara dinamis bot mereka dengan beberapa server IRC (c). Setelah bot terpasang pada komputer korban, bot mengerakan komputer untuk bergabung ke channel penyerang dengan nickname yang unik (d). Ketika bot berhasil bergabung ke channel penyerang, komputer inang telah menjadi bagian dari tentara botnet dan siap menunggu instruksi penyerang (e). Biasanya, setelah bot bergabung ke channel IRC, penyerang akan melakukan akses ke bot tersebut menggunakan kata sandi akses yang kompleks dan kadangkadang dienkripsi, memastikan bahwa bot tidak bisa dikontrol oleh orang lain dan membuat lebih sulit bagi seseorang untuk membajak/mengambil alih botnet (f). Setelah akses telah diterima penyerang, ia dapat mengarahkan & mengendalikan dari jarak jauh sejumlah besar zombie yang terinfeksi melalui Kurang lebih 5 baris DNS Traffic Gambar 4. Rata-rata Kesalahan Sistem (false positive) botnet, untuk melakukan serangan terhadap target lainnya atau menggunakannya untuk kegiatan berbahaya lainnya (g). Proses yang dijelaskan sebelumnya adalah proses penyebaran satu bot, bayangkan saja bila hal ini dilakukan oleh banyak bot ke banyak komputer target, maka suatu botnet yang besar bisa terbentuk. C. Fitur Utama DNS Traffic Botnet Kurang lebih 1 baris DNS Traffic Sebagaimana disebutkan pada pembahasan sebelumnya, host yang terinfeksi secara otomatis akan mengakses server C&C dengan nama domainnya. Oleh karena itu, query DNS RR (resource record) digunakan dan query seperti itu juga muncul di beberapa situasi lain. Lima kasus berikut ini menunjukkan situasi di mana query DNS digunakan dalam botnet. 1. Pada prosedur penyebaran: Jika infeksi komputer berhasil, computer yang terinfeksi harus dikumpulkan dalam satu channel, ketika proses inilah query DNS digunakan. 2. Pada fase serangan botnet. Beberapa jenis kegiatan berbahaya seperti serangan DDoS dan spam surat disertai dengan pengiriman query DNS. 3. Pada kegagalan koneksi server C&C: jika jaringan atau koneksi dari C&C server gagal, bot tidak dapat mengakses ke server C&C, setelah beberapa saat (mengalami kegagalan TCP 3-way handshaking), mereka mulai mengirim query DNS ke server DNS. 4. Pada proses migrasi server C&C: botnet dapat bermigrasi dari satu server C&C ke server yang lain. Pada saat itu, permintaan DNS juga digunakan. 5. Pada saat perubahan alamat IP server C&C: jika server C&C menggunakan alamat IP dinamis (DHCP), alamat IP dapat berubah sewaktu-waktu dan bot master juga dapat mengubah alamat IP dari C&C server dengan sengaja. Jika alamat IP server C&C berubah, bot tidak dapat menghubungi alamat IP server yang lama, sehingga mereka mengirimkan query DNS untuk mengakses server C&C yang baru. Query DNS botnet dapat dibedakan dengan Query DNS yang sah, dengan fitur unik dari query DNS botnet. Tabel 1 menunjukkan beberapa perbedaan antara query DNS botnet dan query DNS yang sah. Pertama, hanya anggota botnet mengirimkan query ke domain name server C&C (biasanya dalam jumlah yang tetap), pengguna yang sah tidak pernah melakukan query ke domain name server C&C. Oleh karena

JURNAL TEKNIK POMITS Vol. 2, No. 1, (213) ISSN: 2337-3539 (231-9271 Print) 4 Perbandingan Waktu Proses Pemilihan Atribut Penting 12 Perbandingan Waktu Proses Reduksi Dataset 15 1 5 1 2 3 4 5 6 7 8 9 1 1 8 6 4 2 1 2 3 4 5 6 7 8 9 1 Tidak Tidak Gambar 5. Perbandingan waktu tahap 1 antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan whitelist Gambar 6. Perbandingan waktu tahap 2 antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan whitelist itu, jumlah alamat IP unik yang melakukan query ke domain botnet biasanya tetap. Di sisi lain, akses yang sah biasanya memiliki variasi alamat IP yang mengakses suatu domain name tertentu. Kedua, anggota tetap botnet bertindak dan bermigrasi bersama-sama pada waktu yang sama. Kegiatan kelompok/group activity botnet berasal dari sifat-sifat ini. Query DNS dari botnet terjadi secara bersamaan dan sementara/sewaktu-waktu. Sebaliknya, sebagian besar dari query DNS yang sah tidak terjadi secara bersamaan dengan frekuensi akses yang normal. Query botnet muncul pada situasi tertentu yang disebutkan di atas, sehingga hanya muncul sewaktu-waktu. Ketiga, botnet biasanya menggunakan DDNS untuk server C&C, sedangkan akses yang sah umumnya tidak menggunakan DDNS. III. PERANCANGAN SISTEM DETEKSI A. Deskripsi Umum Sistem Pada makalah ini dideskripsikan suatu sistem deteksi botnet berdasarkan analisa group activity dari botnet. Aplikasi ini memantau traffic DNS untuk kemudian dianalisa keberadaan botnet dalam jaringan tersebut. Proses deteksi botnet dimulai dengan tahap pemilihan atribut penting dari traffic DNS. Setelah atribut penting telah didapatkan, maka langkah berikutnya adalah reduksi dataset yang akan dianalisis. Dari hasil reduksi dataset didapatkan elemen utama dalam deteksi botnet, yaitu domain name beserta daftar alamat IP unik yang mengakses domain name tersebut. Setelah melalui tahap analisis, didapatkanlah domain name C&C botnet (jika ada) beserta daftar whitelist domain name yang digunakan untuk tahap reduksi dataset berikutnya. Analisis deteksi domain name C&C botnet dilakukan dengan memanfaatkan karakteristik group activity/aktivitas grup botnet. B. Arsitektur Umum Sistem Berdasarkan perancangan arsitektur sistem pada Gambar 2, data awal yang masuk adalah traffic DNS. Data ini dapat diambil dari jaringan secara langsung, namun untuk dapat memudahkan pemodelan perilaku botnet, maka data traffic jaringan ini dibuat sendiri oleh penulis dengan berpedoman terhadap query DNS normal dan sifat umum botnet. Sifat umum botnet yang dimaksud adalah jumlah IP unik yang mengakses domain name C&C botnet biasanya berjumlah tetap (fixed), aktivitas dalam DNS dilakukan secara serentak dan berjalan sewaktu-waktu (group activity). Untuk format query DNS, penulis menyesuaikan dengan hasil keluaran monitoring jaringan DNS dari aplikasi Wireshark. Variabel-variabel yang ada dalam satu query DNS berdasarkan hasil monitoring Wireshark antara lain: nomor, waktu, alamat IP asal query, alamat IP tujuan query, protokol yang digunakan, panjang query DNS, dan informasi mengenai query DNS tersebut [2]. Pada bagian informasi ini terdapat domain name tujuan. Perlu diperhatikan bahwa alur 1-4 yaitu tahap seleksi dan reduksi traffic pada interval t dikerjakan terlebih dahulu, setelah itu proses 5-8 yang merupakan tahap seleksi dan reduksi traffic pada interval t+1 dikerjakan. Sistem akan menunggu hingga proses 5-8 selesai baru kemudian melanjutkan proses deteksi karena pada tahap cek similaritas, diperlukan input daftar domain dan IP unik yang mengaksesnya pada interval waktu t dan t+1. C. Alir Aplikasi Sistem Alir setiap proses yang terdapat pada aplikasi digambarkan pada diagram alir, untuk memudahkan pemahaman secara garis besar proses yang ada pada sistem. Alir aplikasi sistem terdiri dari diagram alir seleksi atribut penting traffic DNS, reduksi dataset, dan cek similaritas domain name. Alir Seleksi Atribut Penting Traffic DNS Proses yang pertama kali dilakukan setelah data traffic DNS masuk adalah proses seleksi atribut penting. Pada proses ini terjadi pengambilan data domain name beserta IP unik yang mengakses domain tersebut dari data traffic DNS Wireshark. Data alamat IP unik dikelompokkan berdasarkan domain name yang diakses. Alir Reduksi Dataset Setelah didapatkan atribut penting yang berupa data alamat IP unik yang sudah dikelompokkan berdasarkan domain name yang diaksesnya, proses berikutnya yang dilakukan adalah reduksi dataset. Reduksi yang dilakukan ini adalah reduksi

JURNAL TEKNIK POMITS Vol. 2, No. 1, (213) ISSN: 2337-3539 (231-9271 Print) 5 1 8 6 4 2 Perbandingan Proses Cek Similaritas Domain 1 2 3 4 5 6 7 8 9 1 Tidak Gambar 7. Perbandingan waktu tahap 3 antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan whitelist 14 12 1 8 6 4 2 Perbandingan Waktu Total Deteksi Botnet 1 2 3 4 5 6 7 8 9 1 Tidak Gambar 8. Perbandingan waktu keseluruhan deteksi botnet antara sistem yang menggunakan fitur whitelist dan yang tidak menggunakan fitur whitelist jumlah dataset yang nantinya akan digunakan dalam tahap selanjutnya. Inti dari proses ini adalah mencegah analisa query DNS yang ganda atau redundan karena sudah dianalisa sebelumnya, juga untuk mengurangi jumlah data yang dianalisa pada tahap selanjutnya. Dalam proses ini, ada dua macam reduksi dataset, yaitu pemangkasan domain name dengan jumlah alamat IP unik yang mengaksesnya kurang dari threshold, reduksi berikutnya adalah pemangkasan domain name yang terdapat dalam whitelist. Nilai threshold yang dimaksud dalam kriteria reduksi pertama adalah jumlah minimal alamat IP unik yang mengakses suatu domain name untuk diuji similaritasnya. Apabila jumlahnya dibawah threshold, maka domain name tersebut dihilangkan dari penampungan domain name. Whitelist yang dimaksud pada kriteria reduksi kedua berisi daftar domain name yang telah diyakini berupa domain name sah. Daftar ini bisa didefinisikan sendiri oleh pengguna atau didapatkan dari hasil analisa similaritas. Dengan dilakukannya reduksi jumlah dataset ini, proses komputasi bisa dikurangi dan meminimalisir penggunaan sumber daya komputer. Proses cek similaritas nantinya juga akan semakin efisien dalam hal waktu komputasi karena jumlah data yang dianalisis menjadi lebih sedikit. Alir Cek Similaritas Domain name Langkah berikutnya setelah proses reduksi dataset adalah cek similaritas dari masing-masing domain name yang sama pada interval waktu t dan t+1 untuk mengetahui apakah dalam dataset tersebut terdapat domain name C&C botnet. Dalam proses ini akan dicoba dilakukan perhitungan untuk memodelkan group activity dari DNS botnet yang disebut juga similaritas. Apabila ada dua daftar alamat IP yang masingmasing berada dalam interval waktu t dan t+1 dan kedua daftar ini memiliki tujuan domain name yang sama, asumsikan masing-masing jumlah daftar alamat IP sebagai A untuk interval waktu t dan B untuk interval waktu t+1. Apabila ada alamat IP yang sama dalam kedua daftar tersebut, asumsikan jumlah alamat IP yang sama tersebut adalah C. Kita dapat menghitung tingkat similaritas S dengan (1). S = 1 2 C A + C B ; (A, B ) (1) Apabila nilai A= atau B= maka nilai similaritas didefinisikan sama dengan -1. Apabila nilai similaritas mendekati, maka masukkan domain name tersebut ke dalam whitelist. Asumsikan bahwa ada domain name yang diakses oleh beberapa alamat IP pada waktu t tertentu, Proses mengukur berapa kali alamat IP mengakses domain name setelah t dalam masing-masing rentang waktu. Karena sifat dari DNS botnet unik yang telah dijelaskan di bagian landasan teori, dapat dinyatakan bahwa domain name yang memiliki similaritas 1 bisa dikatakan sebagai domain name C&C botnet. Domain name mencurigakan yang hanya muncul satu kali dan kemungkinan dapat muncul lagi sewaktu-waktu akan memiliki nilai similaritas -1. Domain name ini dimasukkan ke dalam blacklist untuk kemudian diamati perkembangannya dalam jaringan oleh user. IV. HASIL DAN DISKUSI Pengujian sistem dilakukan dengan mempertimbangkan hal sebagai berikut: 1. Pengujian dengan kondisi ideal dengan nilai threshold 1 sampai.1 Jumlah traffic botnet pada data t sama dengan t+1 1 kali percobaan 2. Pengujian dengan kondisi tidak ideal dengan nilai threshold.8 sampai.4 Jumlah traffic botnet pada data t tidak sama dengan t+1 Ketidaksamaan ini diakibatkan karena botnet belum selesai berpindah ketika interval waktu t selesai. 5 kali percobaan 3. Pengujian waktu deteksi botnet Tanpa menggunakan whitelist Menggunakan whitelist 4. Masing-masing kondisi diatas diuji dengan dua buah kepadatan data yang berbeda dalam satu log traffic DNS 5. Penjelasan data uji yang digunakan dapat dilihat pada bagian lampiran. Hasil dari pengujian performa sistem akan dijelaskan dalam tabel dan grafik. Dari Gambar 4, dapat dilihat bahwa sistem mulai tidak mampu mendeteksi botnet dengan akurat ketika nilai threshold similaritas bernilai.3 ke bawah (.2,.1 dan

JURNAL TEKNIK POMITS Vol. 2, No. 1, (213) ISSN: 2337-3539 (231-9271 Print) 6 Tabel 2. Jumlah Domain botnet yang terdeteksi pada kondisi tidak normal dengan nilai threshold similaritas tertentu Bagian berwarna kuning-oranye menunjukkan bahwa sistem tidak dapat mendeteksi domain name yang berpindah. seterusnya). Hal ini disebabkan karena threshold terlalu kecil sehingga menyebabkan domain name normal teridentifikasi sebagai domain botnet (false positive). Dari hasil percobaan, rata-rata nilai similaritas dari domain name normal adalah.2, kebanyakan domain name normal memiliki nilai similaritas di bawah.1. Pengaruh jumlah data tidak memberikan perbedaan yang signifikan pada deteksi domain name botnet, hal ini terlihat pada kesalahan deteksi yang sama-sama dimulai pada nilai threshold similaritas.3, baik pada data yang sedikit maupun data yang lebih besar dua kali lipat. Pada Tabel 2, dapat terlihat bahwa kondisi botnet yang belum bergerak sepenuhnya ketika waktu t sudah berlalu akan mempengaruhi ketepatan deteksi botnet oleh sistem. Selain kondisi perpindahan botnet, nilai threshold similaritas juga berpengaruh. Sistem mulai tidak dapat mendeteksi botnet ketika botnet hampir berpindah seluruhnya ketika waktu t selesai (persentasi botnet yang telah bergerak tinggi). Nilai threshold similaritas yang semakin tinggi juga mengurangi tingkat toleransi sistem terhadap perpindahan botnet sehingga semakin tinggi nilai threshold similaritas, maka semakin tinggi kemungkinan botnet yang berpindah DNS tidak terdeteksi. Dalam analisis lebih lanjut, kondisi perpindahan botnet menjadi berpengaruh dalam ketepatan deteksi botnet karena pengurangan traffic DNS botnet pada log traffic t. penambahan data traffic botnet pada log traffic t+1 tidak mempengaruhi deteksi karena sistem hanya menghitung satu alamat IP unik saja (alamat IP tambahan dari log traffic pada waktu t tidak diikutsertakan dalam proses perhitungan). Dari Gambar 5 hingga Gambar 8 dapat terlihat bahwa sistem yang menggunakan whitelist memiliki performa waktu yang lebih baik dibandingkan sistem yang tidak menggunakan whitelist. Hal ini disebabkan karena sistem tidak perlu melakukan pengecekan tingkat similaritas domain name yang sudah masuk ke dalam whitelist. V. KESIMPULAN/RINGKASAN Kesimpulan yang dapat diambil dari hasil percobaan antara lain: 1. Sistem dapat menyeleksi data penting dalam query DNS, mereduksi dataset yang akan diperiksa similaritas domain name-nya, dan mengenali botnet yang terdapat dalam jaringan melalui group activity botnet tersebut. 2. Sistem deteksi botnet memiliki tingkat sensitivity/recall yang tinggi yaitu diatas 7% dalam kasus ideal dan tidak ideal. Sistem juga memiliki performa yang baik dalam hal waktu, akan lebih baik lagi dengan penggunaan fitur whitelist. Optimasi waktu yang didapat mencapai delapan kali lipat 3. Sistem dapat bekerja dengan baik dalam jumlah baris dataset yang bervariasi. 4. Sistem dapat bekerja dengan baik dalam nilai threshold similaritas domain name yang bervariasi, dari hasil percobaan, threshold similaritas yang digunakan disarankan.5. UCAPAN TERIMA KASIH Penulis S.G. mengucapkan terima kasih kepada Jurusan Teknik Informatika Fakultas Teknologi Informasi Institut Teknologi Sepuluh Nopember yang telah menyediakan sarana dan prasarana dalam pembuatan tugas akhir ini. DAFTAR PUSTAKA [1] P. François dan K. H, Cybercrime and Hacktivism, McAfee Security, 27. [2] C. Hyunsang, L. Hanwoo, L. Heejo dan K. Hyogon, Botnet Detection by monitoring group activities in dns traffic, Proceedings of the IEEE International Conference on Computer and Information Technology (CIT), 27. [3] C. Hyunsang, L. Heejo dan K. Hyogon, BotGAD: detecting botnets by capturing group activities in network traffic, Proceedings of International Conference on COMmunication System software and MiddlewaRE (COMSWARE), 29. [4] C. Hyunsang dan L. Heejo, Identifying botnets by capturing group activities in DNS traffic, 211.

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan