MAKALAH ALGORITMA GRAF

“ANOMALY DETECTION ON INTRUSION DETECTION SYSTEM USING CLIQUE

PARTITIONING”

Kelompok:

I Wayan Ade Sugisnawan 1107110023

Ahmad Satrio 1107112060

Tiara Nursyahdini 1107112074

Ahmad Farras Syafrin 1107110087

Sherly Isnaeni 1107110088

IK – 35 – Gab

PRODI S1 ILMU KOMPUTASI

UNIVERSITAS TELKOM
BANDUNG
2014
1. Abstrak

Kemajuan teknologi informasi dan networking membuat permintaan terhadap

keamanan jaringan menjadi sangat penting. Gangguan merupakan salah satu masalah
di keamanan jaringan. Untuk mencegah gangguan tersebut, dibutuhkan Intrusion
Detection System (IDS). Salah satu kategori IDS adalah deteksi anomali (gangguan).
Kategori ini mendeteksi gangguan berdasarkan pada profil data. Klustering adalah
salah satu cara untuk mengamati data profil. Ada banyak algoritma klustering yang
dapat digunakan untuk deteksi anomali pada IDS, tapi hampir semua mencari kluster
dalam dimensi data paling tinggi. CLIQUE Partitioning (CP) adalah salah satu
algoritma klustering yang dapat mencari kluster dari data subspace. Percobaan sudah
dilakukan untuk menganalisis performansi sistem berdasarkan pada waktu
komputasinya, keberhasilannya, dan nilai alarm palsu. Algoritma CP menunjukan
performansi yang bagus pada sudut pandang keberhasilan (94,59%) dan nilai alarm
palsu (2,54%). Dari waktu komputasinya, CP menunjukan performansi yang bagus
berdasarkan pada jumlah tuple, tapi performansinya kurang bagus dari sisi jumlah
fitur.

2. Pendahuluan

a. Problem
Banyaknya gangguan pada jaringan komputer tentu sangat menganggu.
Anomali data merupakan salah satu dari gangguan pada jaringan terutama
pada bidang keamanan data. Untuk mengatasi anomali data tersebut,
diperlukan sebuah sistem yang dapat mengenali apakah data tersebut aneh
atau tidak, yaitu Intrusion Detection System (IDS). Banyak sekali
penelitian yang membuat IDS ini dengan berbagai metode yaitu dengan
menggunakan fuzzy subspace, Y-means, Support Vector Machine,
Bayesian Network, dll. Pada permasalahan ini Intrusion Detection System
(IDS) dengan metode CLIQUE Partitioning digunakan untuk
menyelesaikan gangguan pada jaringan.
b. Related Work
Banyak penelitian yang sudah dilakukan untuk menyelesaikan
permasalahan anomaly detection pada IDS, salah satunya adalah
Automated Future Weighting for Network Anomaly Detection [1] yang
menyelesaikan anomaly detection dengan menggunakan fuzzy subspace, Y-
Means Clustering Vs N-CP Clustering With Canopies For Intrusion
Detection [2] yang menyelesaikan anomaly detection dengan
membandingkan metode Y-Means Clustering dan N-CP Clustering untuk
menggambarkan deteksi dan efisiensi false alarm rate, An Enhanced
Support Vector Machine Model for Intrusion Detection [3] menyelesaikan
anomaly detection dengan SVM dan Anomaly Detection pada Intrusion
Detection System dengan menggunakan Bayesian Network [4].
Kebanyakan dari metode-metode yang sudah dilakukan diatas adalah
menggunakan clustering untuk mendeteksi anomaly, tetapi kebanyakan
dari metode tersebut menghasilkan cluster dengan dimensi data yang
tinggi. Pada paper ini menggunakan metode Clique Partitioning (CP) yang
digunakan untuk menghasilkan cluster pada semua kombinasi atribut.

c. Method Paper
Paper ini untuk mendeteksi keanehan pada data yang akan dibuat
program IDS (Intrusion Detectoin system) dengan menggunakan CLIQUE
Partitioning sedangkan untuk melakukan preprocessing pada data mentah
digunakan dua metode yaitu z-score normalization dan Principal
Component Analysis (PCA).
i. Z-score normalization
z-score adalah salah satu cara untuk mem-preprocessing data
yang biasa digunakan. Kelebihan menggunakan z-score adalah
ketika nilai maksimum dan nilai minimum dari data tidak diketahui
dan dapat mengurangi dominasi dari sebuah nilai yang ada di data.
Sebagai contoh diberikan A adalah sebuah atribut dari dataset, nilai
baru dari v (v adalah nilai lama dari nilai di atribut A) dapat
dirumuskan dengan persamaan:
v−Δ
v' =
σA
 Δ=rata−ratanilai atribut A
'
v =nilai baru dari v
σ A=standar deviasi dari atribut A

ii. Principal Component Analysis (PCA)

PCA adalah salah satu cara untuk mereduksi atribut. Kelebihan
PCA adalah PCA mampu mengurangi atribut dari data dengan
tetap mempertahankan banyak variasi dari data asli. PCA
mengurangi atribut dengan menghitung nilai eigen dari setiap
atribut. Ada empat step untuk mencari nilai eigen dari bagian
atribut, yaitu:
1. Hitung rata – rata nilai dari atribut tersebut.
Contoh: [ x 1 , x 2 , x 3 ,.. x n ] adalah nilai dari atribut A dan Ӑ
adalah rata – ratanya, maka Ӑ dapat dihitung dengan

Ӑ= [ ]
∑
1 ≤ i≤ n
n
Xi

2. Kurangi setiap datum dengan nilai rata – rata.

3. Cari matriks kovarian dari A’ dengan pola C=( A ' . A 'T )/n
4. Cari nilai eigen dari setiap atribut.
iii. CLIQUE Partitioning (CP)
Terdapat banyak algoritma clustering yang dapat digunakan
untuk mendeteksi gangguan, tapi kebanyakan algoritma tersebut
mendapatkan cluster pada dimensi data yang tinggi. Alasan
menggunakan CP adalah untuk mendapatkan cluster pada semua
kombinasi atribut. CLIQUE Partitioning terdapat tiga tahap :
1. Indetifikasi kerapatan pada subspace
Tahap pertama yaitu dengan membagi setiap satu dimensi
subspace menjadi beberapa bagian unit berdasarkan input
parameter, jadi rentang dan status dari setiap unit sudah
terdefinisi. Rentang unit didefinisikan sebagai (x,y) dimana
x adalah nilai minimum dari unit, dan y adalah nilai
maksimum dari unit. Status setiap unit adalah rapat atau
renggangya unit berdasarkan data banyak data di setiap
 unit. Jika data memenuhi nilai threshold, maka status dari
unit tersebut adalah rapat, selain itu renggang.
2. Indentifikasi Cluster
Setelah mengetahui kerapatan unit di dalam satu subspace,
maka dilakukan identifikasi kluster. Kluster adalah
kombinasi dari kerapatan unit yang dekat satu sama lain
dalam satu subspace.
3. Generasi Cluster
Dalam tahap ini, setelah dilakukan identifikasi cluster,
maka selanjutnya adalah menyatukan cluster antar
subspace. Hal ini dilakukan dengan aturan mengidentifikasi
ukuran dari sebuah segiempat semaksimal mungkin dan
banyaknya segiempat seminimal mungkin.

3. Rancangan dan Pembahasan

a. Ilustrasi

Kelas cluster

Clique partitioning
1. Data preprocessing
Proses preprocessing meliputi data cleaning, data transformation, dan
data reduction. Hasil dari data cleaning adalah kumpulan data yang unique
(berbeda satu sama lain). Pada proses ini dataset berhasil direduksi sebanyak
3.902.068 tuple yang awalnya 4.894.431 tuple, menjadi 996.363 tuple dengan
menghilangkan data yang kembar.
Transformasi data dilakukan dengan mengkonversi data simbolik
menjadi data numerik, dan normalisasi data. Pada atribut symbolic yang hanya
memiliki 2 kategori, konversi yang dilakukan adalah konversi boolean (0 atau
1). Pada atribut symbolic lainnya, konversi dilakukan dengan cara mencari
banyak kategorinya, kemudian setiap angka dari 1 sampai banyaknya kategori
menggantikan tepat satu kategori symbolic, misalnya A menjadi 1, B menjadi
2, dan seterusnya. Pada proses normalisasi data menggunakan algoritma z-
score normalization. Data reduction yang dipilih adalah pengurangan
banyaknya atribut menggunakan algoritma PCA.

2. Clustering process
Proses clustering dilakukan menggunakan algoritma CP. Data input
adalah data yang sudah melalui proses preprocessing. Langkah pertama, data
dipetakan menjadi subspace satu dimensi, dan dipartisi menjadi beberapa unit.
Unit-unit yang memenuhi kualifikasi kepadatannya, subspace dua dimensi
dihasilkan, dan seterusnya. Outputnya adalah semua cluster yang terdapat
pada semua subspace.

3. Cluster labelling
Untuk menentukan label suatu cluster apakah intrusi atau bukan adalah
dengan menghitung persentasi data jenis mana yang lebih besar pada cluster
berdasarkan banyaknya data tiap jenis secara keseluruhan.

4. Performance measuring
Performansi ditentukan berdasarkan pada tiga aspek, yaitu waktu
komputasi, kelengkapan (CR), dan nilai false alarm (FAR). Waktu komputasi
dapat dilihat dari perbandingan dari waktu eksekusi dengan jumlah data
inputan. Kelengkapan dapat dihitung dari jumlah gangguan yang terdeteksi
oleh sistem dari jumlah gangguan sebenarnya. Nilai false alarm dapat dihitung
dari jumlah data normal yang terdeteksi sebagai gangguan oleh sistem dari
jumlah data sebenarnya.

b. Hubungan Metode
Dalam algoritma graf terdapat graf partitioning. Salah satu cara dari
graf partitioning adalah CLIQUE partitioning. CLIQUE itu adalah sebuah
graf lengkap yang diperoleh dari suatu graf yang terdiri dari tiga atau lebih
simpul. Setiap simpul tersebut saling berdekatan dengan satu sama
 lainnya. Dan untuk penentuan simpul satu terhubung atau tidak dengan
simpul lainnya ditentukan dengan batasan Threshold, sehingga hubungan
antara simpul akan membentuk graf lengkap yang disebut CLIQUE.

4. Analisis
Dibandingkan dengan penelitian lainnya terkait dengan keamanan
jaringan, menggunakan metode PCA dan CP menghasilkan nilai completeness dan
FAR yang lebih baik. Sehingga anomaly detection pada IDS dengan menggunakan
CP akan menghasilkan kinerja yang baik, dikarenakan CP membuat
computational time yang baik. Computational time yang baik dihasilkan dari
pemangkasan yang dilakukan oleh metode CP terhadap tuple dan atribut yang
tidak diperlukan, dengan acuan yang digunakan adalah MDL(Minimal Description
Length). Dengan acuan threshold maka data pada setiap unit dan subspace juga
bisa dipangkas jumlahnya sehingga hal ini juga bisa menghasilkan computational
time yang baik.