SEMINAR NASIONAL ELECTRICAL, INFORMATICS, AND IT’S EDUCATIONS 2009

Pendeteksian Trafik Anomali pada Jaringan didasarkan pada Analisa Payload Data
Berbasis Metode Support Vector Machines
Isbat Uzzin Nadhori, Moch. Hariadi
Institut Teknologi Sepuluh Nopember Surabaya, Fakultas Teknologi Industi,
Teknik Elektro Bidang Keahlian Jaringan Cerdas Multimedia
{isbat@eepis-its.edu, mochar@ee.its.ac.id}

Abstrak
Intrusi didefinisikan sebagai usaha yang bisa membahayakan integritas, kerahasiaan dan
ketersediaan sumber daya yang ada [1]. Dalam konteks jaringan komputer, intrusi menunjukkan usaha
yang bisa membahayakan integritas, kerahasiaan dan ketersediaan sumber daya yang ada pada
jaringan. Paper ini terkonsentrasi pada usaha untuk melakukan deteksi dan klasifikasi terhadap intrusi
dengan mengamati traffic jaringan.
Paper ini berusaha melakukan pendekatan klasifikasi intrusi menggunakan metode Support
Vector Machines. Ide dasarnya adalah mencatat aktifitas traffic jaringan menggunakan tool tcpdump,
selanjutnya dilakukan ekstraksi fitur dari paket tcpdump khususnya pada payload data berdasarkan
paper [2]. Diambil fitur utama yang paling berpengaruh yaitu : Destination Port, Source Port, Duration,
Flag Packet Length dan Keyword Packet. Berdasarkan fitur tersebut digunakan untuk melakukan
klasifikasi jenis intrusi menggunakan metode Support Vector Machines. Sebagai training, diambil data
yang bebas dari intrusi, dan sebagai testing data diambil data non intrusi dan intrusi untuk melihat
efektifitas metode yang ditawarkan.
Eksperimen ini didasarkan pada data intrusi DARPA’99. Sebagai training data dipakai data
minggu ketiga yang bebas attack, dan sebagai testing data dipakai data minggu kelima. Berdasarkan
percobaan metode ini bisa mendeteksi attack R2L (Remote To Local Attack) yaitu attack yang
berusaha melakukan akses yang bukan haknya dari jarak jauh) dan U2R (User To Root Attack) yaitu
attack yang berusahamelakukan akses yang bukan haknya ke superuser dari jaringan dalam.

Kata Kunci : Deteksi Anomali, Payload Data, SVM

1. Pedahuluan didefinisikan. Data mining telah banyak diterapkan

Tujuan pendeteksian intrusi adalah menemukan
adanya intrusi pada suatu sistem jaringan dengan
mengamati berbagai aktivitas jaringan . Intrusi disini
berarti semua jenis aksi yang mengancam integritas ,
kerahasiaan dan ketersediaan sumber daya yang ada
pada jaringan. Metode yang banyak dimanfaatkan
untuk intrusion detection dapat dikategorikan menjadi
dua, misuse detection / signature analysis dan
anomaly detection. Misuse detection mendeteksi
intrusi dengan melakukan monitoring trafik jaringan
dan mencocokkan pola penyerangan (signature) yang
serupa. Yang termasuk dalam kategori ini adalah
Snort dan Bro [3, 6]. Pendekatan ini disebut juga
ruled-based approach. Kelebihan metode ini adalah
tingkat deteksi yang tinggi dengan ‘false alarm’ yang
rendah. Tetapi metode ini tidak dapat mendeteksi
adanya jenis intrusi baru yang sebelumnya tidak
dikenali. Metode yang kedua adalah anomaly
detection, sistem mendefinisikan pola atau behaviour
jaringan sebelumnya. Semua deviasi dari pola normal
akan dilaporkan sebagai serangan. Deviasi ini tidak
selalu berupa serangan, tetapi mungkin hanya
merupakan behaviour atau pola baru yang perlu
ditambahkan ke profile. Keuntungan utama dari
anomaly based detection adalah kemampuan untuk
mendeteksi serangan yang sebelumnya belum
pada metode ini.
Penelitian ini dititikberatkan pada usaha untuk
melakukan deteksi anomali didasarkan pada Analisa
Payload Data menggunakan metode Support Vector
Machines. Pada awalnya berusaha mencatat aktifitas
data traffic jaringan menggunakan tools tcpdump,
selanjutnya menemukan informasi fitur yang relevan
yang ada di dalamnya dan menggunakan sehimpunan
fitur yang relevan untuk melakukan klasifikasi jenis
intrusi menggunakan metode Support Vector
Machines. Percobaan ini menggunakan data KDD
Cup DARPA 1999 yang diambil dari simulasi
serangan di MIT Lab. Data ini sudah banyak
digunakan untuk penelitian Intrusion Detection. Data
yang digunakan adalah data minggu kedua sebagai
data training yang bebas attack dan data minggu
kelima sebagai data testing yang terdiri dari berbagai
macam attack.
2. Penelitian Yang berkaitan
Cukup banyak penelitian yang telah dilakukan
yang berhubungan dengan Sistem Pendeteksian
Intrusi Pada Jaringan. Baik untuk anomali maupun
misuse. Pada dasarnya ada beberapa tahap yang
harus dilakukan untuk melakukan pendeteksian intrusi
pada jaringan yaitu :

B1-98
SEMINAR NASIONAL ELECTRICAL, INFORMATICS, AND IT’S EDUCATIONS 2009 B1-99
1. Pengambilan traffic data jaringan, bisa dengan Named, ncftp, netbus, netcat, Phf, ppmacro,
menggunakan tools yang sudah ada misalnya Sendmail, sshtrojan, Xlock, Xsnoop
tcpdump dan selanjutnya melakukan • U2R (User To Root Attack- melakukan akses
preprocessing terhadap data dari traffic yang bukan haknya ke superuser dari jaringan
jaringan untuk mendapatkan fitur dalam), termasuk dalam kategori ini : anypw,
2. Nilai fitur dianalisa dengan menggunakan casesen, Eject, Ffbconfig, Fdformat,
metode tertentu untuk mendapatkan Loadmodule, ntfsdos, Perl, Ps, sechole,
kesimpulan apakah terjadi serangan atau Xterm, yaga
tidak. • PROBING, misal : insidesniffer, Ipsweep,
Mattew V. Mahoney dan Philip K. Chan [3] ls_domain, Mscan, NTinfoscan, Nmap, queso,
melakukan penelitian tentang network anomali resetscan, Saint, Satan
Intrusion Detection System yang didasarkan pada
data DARPA 1999 [7]. Mereka berusaha mendeteksi 3 Support Vector Machine
traffic anomali berdasarkan payload data. Hal ini
3.1 Konsep SVM
dilakukan dengan cara melakukan ekstraksi payload
Support Vector Machine (SVM) adalah metode
paket dari file tcpdump dan melakukan korelasi
learning machine yang bekerja atas prinsip Structural
payload di dalamnya untuk mendeteksi intrusi. Like
Risk Minimization (SRM) yaitu mencari nilai resiko
Zhang dan Gregory B. White [1][2], melakukan deteksi
terkecil dalam menentukan vektor tertentu menjadi
intrusi dengan melakukan korelasi port, keyword
bagian dari sebuah kelas dengan tujuan menemukan
(yang diambil dari kata pertama payload) dan panjang
hyperplane terbaik yang memisahkan dua buah class
packet (packet length). Dibahas tentang
pada input space.
preprocessing yang perlu dilalui untuk mendapatkan
Pertama kali diperkenalkan Boser, Guyon dan
model intrusi dan memilih fitur yang paling
Vapnik pada tahun 1992 di Annual Workshop on
berpengaruh dengan PCA. Wenke Lee dkk [6]
Computational Learning Theory. Sebagai salah satu
melakukan pengambilan traffic jaringan menggunakan
metode pattern recognition, usia SVM terbilang masih
tools tcpdump, selanjutnya dilakukan pre-processing
relatif muda. Walaupun demikian, evaluasi
untuk mendapatkan informasi dari connection-level.
kemampuannya dalam berbagai aplikasinya
Lee membatasi koneksi menjadi TCP dan UDP.
menempatkannya sebagai state of the art dalam
Dibangun script untuk menghasilkan informasi
pattern recognition, dan dewasa ini merupakan salah
connection-level. Pada koneksi TCP mulai dari 3-
satu tema yang berkembang dengan pesat.
wayhandshake sampai finalisasi dianggap sabagi satu
Data yang tersedia dinotasikan sebagai
connection-level. Sedangkan pada UDP setiap paket r
dihasilkan satu connection-level. Pada setiap xi ∈ ℜ d , sedangkan label masing-masing
yi = {+ 1,−1} untuk i=1,2,3 …. l. Yang
connection-level akan menghasilkan fitur yang siap
dimodelkan dengan data mining. dinotasikan
Mukkamala [4] melakukan penelitian mana l adalah banyaknya data. Diasumsikan kedua
Pendeteksi Intrusi pada Jaringan dengan class –1 dan +1 dapat terpisah secara sempurna oleh
menggunakan pendekatan metoda SVM dan Neural hyperplane berdimensi d , yang didefinisikan
Network. Berdasarkan kesimpulan Mukkamala SVM r r
mempunyai keunggulan dalam hal akurasi hasilnya. w⋅ x + b = 0
Data yang digunakan pada penelitian Mukkamala r
adalah dataset matang hasil preprocessing yang Pattern w yang termasuk class –1 (sampel
disediakan oleh DARPA diambil dari simulasi negatif) dapat dirumuskan sebagai pattern yang
serangan di MIT Lab. memenuhi pertidaksamaan
Penelitian - penelitian di atas berdasarkan r r
pada dataset DARPA yang menyediakan 4 kategori w ⋅ x + b ≤ −1
attack. Pada DARPA 1999 mensimulasikan attack sbb
: r
• DoS (Denial-of-Service), termasuk di Sedangkan pattern w yang termasuk class +1
dalamnya : Apache2, arppoison, back, (sampel positif)
Crashiis, dosnuke, Land, Mailbomb, SYN r r
Flood, (Neptune), Ping of Death (POD), w ⋅ x + b ≥ +1
Process Table, selfping, Smuff
• R2L ( Remote To Local Attack - melakukan
akses yang tidak bukan haknya dari jarak
jauh) , termasuk dalam kategori ini :
Dictionary, Ftpwrite, Guest, Httptunnel, Imap,
SEMINAR NASIONAL ELECTRICAL, INFORMATICS, AND IT’S EDUCATIONS 2009
Gambar 3.1. SVM berusaha menemukan
hyperplane terbaik yang memisahkan kedua class
–1 dan +1
SVM berusaha menemukan hyperplane terbaik
yang memisahkan kedua class –1 dan +1 dengan
cara menemukan margin terbesar. Margin terbesar
dapat ditemukan dengan memaksimalkan nilai jarak
antara hyperplane dan titik terdekatnya, yaitu
Hal ini dapat dirumuskan sebagai Quadratic
Programming (QP) problem, yaitu mencari titik
minimal persamaan (3.4), dengan memperhatikan
constraint persamaan (3.5)
1 r
τ ( w) =
2
min r 2
w
w (3.4)
yi (xi ⋅ w + b ) − 1 ≥ 0, ∀i
r r
Problem ini dapat dipecahkan dengan
berbagai teknik komputasi, di antaranya Lagrange
Multiplier.
1 r2 l
L(w, b, α ) = w − ∑ α i ( yi ( xi ⋅ w + b) − 1))
r r r
2 i =1
dengan i=1,2,…l
αi adalah Lagrange multipliers, yang bernilai nol
atau positif ( αi≥0 ). Nilai optimal dari persamaan (3.6)
r • TCPdump dijalankan pada gateway
dapat dihitung dengan meminimalkan L terhadap w
dan b, dan memaksimalkan L terhadap αi. Dengan
memperhatikan sifat bahwa pada titik optimal gradient
L =0, persamaan (3.6) dapat dimodifikasi sebagai
maksimalisasi problem yang hanya mengandung saja
αi, sebagaimana persamaan (3.7) di bawah.
l
1 l rr
∑ αi −
i =1
∑
2 i ,i =1
α iα j yi y j xi x j
Subject to
l
α i ≥ 0 (i = 1,2,..., l ) ∑α y i i =0
i =1
Dari hasil dari perhitungan ini diperoleh αi yang
kebanyakan bernilai positif. Data yang berkorelasi
B1-100
dengan αi yang positif inilah yang disebut sebagai
support vector.
Pada dasarnya SVM hanya memisahkan dua
kelas saja (biner), kelas +1 dan kelas -1 dengan cara
mencari garis pemisah dengan dua buah kelompok
yang berbeda. Pencarian tersebut menghasilkan
sebuah pemisah yang nantinya sebagai dasar dari
pengelompokan data. Penelitian ini menggunaan
metode support vector mechine One class yaitu hanya
mentrainingkan data yang satu kelas, dan digunakan
untuk testing kelas +1 dan -1.
4 Desain Sistem
4.1 Preprocessing Data
Metode anomali untuk pendeteksian intrusi yang
kami kerjakan seperti pada gambar 4.1. Pertama-tama
1 data traffic jaringan ditangkap dengan perangkat lunak
r . tcpdump, setelah melalui tahap preprocessing data
w dibagi menjadi dua bagian yaitu data training dan data
testing. Dengan menggunakan SVM data training
diklasifikasikan menjadi non intrusi. Hasil training SVM
digunakan untuk melakukan testing data intrusi dan
non intrusi.
(3.5)
Gambar 4.1 SVM untuk Pendeteksian Intrusi pada
Jaringan
(3.6)
4.1.1 Data Collection
Metode pengambilan data :
untuk mencatat semua aktifitas jaringan
baik yang kedalam maupun yang keluar
• Paket-paket data diekstraksi diambil
header dan payload datanya.
• Hasil ektraksi dilakukan proses
pengambilan fitur yang paling
berpengaruh
Berikut ini adalah contoh keluran dari data
traffic jaringan yang ditangkap
(3.7)Tcpdump dalam mode
baca
10:35:41.5 128.59.23.34.30 > 113.22.14.65.80 : .
512:1024(512) ack 1 win 9216
10:35:41.5 102.20.57.15.20 > 128.59.12.49.3241: .
(3.8)
ack 1073 win 16384
10:35:41.6 128.59.25.14.2623 > 115.35.32.89.21: .
ack 2650 win 16225
Gambar 4.2. Data traffic jaringan dari TCPDump
 SEMINAR NASIONAL ELECTRICAL, INFORMATICS, AND IT’S EDUCATIONS 2009 B1-101
Nama Attack
Data yang digunakan untuk proses uji coba PS
mengandung 5 jenis kategori data yaitu : Guesstelnet
• Normal, data traffic yang tidak Netbus
mengandung jenis intrusi apapun Ntinfoscan
• DoS (Denial of Service) Teardrop
• R2L (Remote to Local Attack) CrashIIS
• U2R (User to Root Attack) Yaga
• PROBING Casesen
Sshtrojan
4.1.2 Data Preprocessing Eject
Hasil ekstraksi header dan payload data Ftpwrite
dilakukan proses lanjutan untuk mendapatkan Back
informasi fitur yang dibutuhkan yang berisi informasi Ffbconfig
tentang : Netcat

Desination Port Fdformat

Source Port Phf

Length Packet Data Satan

Keyword Sechole
2234 80 333 ^@HTTP/1.1 Netcat
80 2234 228 ^@GET Tabel 5.1 Attack terdeteksi
2139 25 335 ^@220
2175 23 303 ^@ Terdapat 19 tipe attack yang bisa terdeteksi dari
25 2235 640 ^@EHLO percobaan, yang kesemuanya merupakan kelompok
2235 25 265 ^@220 attack U2R dan R2L. terdapat total 45 attack yang
25 1100 715 ^@EHLO terdeteksi dengan false positif 0.018. Analisa
1100 25 326 ^@220 berdasarkan payload data tidak bisa mendeteksi
Gambar 4.3. Data traffic setelah pre-processing kelompok attack DoS dan Probbing, karena kedua
kelompok attack tidak mempunyai koneksi tcp yang
final.

6 Kesimpulan dan Saran

4.2 Klasifikasi Intrusi Dengan SVM
SVM digunakan untuk menguji kemampuan
klasifikasi yang memisahkan antara traffic normal dan
deviasinya. Input masukan adalah data hasil ekstraksi
payload data seperti pada gambar 3.3. dengan
menggunakan one class SVM.
5 Analisa dan Evaluasi
Dengan menggunakan metode yang kami
tawarkan dilakukan testing menggunakan dataset
DARPA 1999. Data minggu kedua sebagai data training
yang bebas attack dan data minggu kelima sebagai data
testing. Didasarkan pada analisa payload, metode kami
hanya bisa mendeteksi khusus trafik TCP. Tabel 5.1
dibawah ini adalah attack yang berhasil terdeteksi.
Dari percobaan-percobaan yang dilakukan, dapat
diambil suatu kesimpulan. Deteksi anomali bisa
dilakukan dengan berdasarkan payload data yang
hanya diambil dari keyword pertama dari payload
yang dipetakan ke nilai tertentu.
Pada percobaan ini kita belum tahu jenis attack
yang terdeteksi hanya berupa terdapat deviasi dari
traffik normal. Untuk mengetahui lebih lanjut jenis
attack yang terjadi kita bisa menggunakan multiclass
SVM.
Deteksi anomali hanya bisa mendeteksi jenis
attack kelompok U2R dan R2L, untuk meningkatkan
performansi deteksi, bisa digabungkan antara analisa
berbasis payload dan header paket.
7 Daftar Pustaka
[1] Like Zhang, Gregory B. White, Analysis of
Payload Based Application Level Network
th
Anomaly Detection, The 40 Hawaii
International Conference on System Sciences,
2007
[2] Like Zhang, Gregory B. White, Anomaly
Detection for Application Level Network
Attacks Using Payload Keywords,
Computational Intelegence in Security and
Defense Applications (CISDA), 2007
SEMINAR NASIONAL ELECTRICAL, INFORMATICS, AND IT’S EDUCATIONS 2009
[3] Matthew V. Mahoney and Philip K. Mahoney,
"Learning Nonstationary Models of Normal
Traffic for Detecting Novel Attacks",
Proceeding of the 8th International
Conference on Knowledge Discovery and
Data Mining, pp. 376-385, 2002
[4] Srinivas Mukkamala, Guadalupe, Andrew
Sung, Intrusion Detection Using Neural
Network and Support Vector Machines, IEEE,
Pebruari 2002
[5] Shinya Katagiri, Shigeo Abe , Incremental
training of support vector machines using
hyperspheres, Pattern Recognition Letters,
Volume 27 , Issue 13 (October 2006)
B1-102
[6] Wenke Lee, Sal Stolfo, and Kuik Mok., "A
Data Mining Framework for Building Intrusion
Detection Models", Proceedings of the 1999
IEEE Symposium on Security and Privacy,
Oakland, CA, May 1999
[7] http://www.ll.mit.edu/mission/communications/i
st/corpora/ideval/data/data_index.html
[8] Rafeeq Ur Rehman, Intrusion Detection
Systems with Snort, Prentice Hall PTR, 2003
[9] Vern Paxson, Jim Rothfuss, Brian Tierney,
Bro Quick Start Guide
www.bro-ids.org/Bro-quick-start.pd