NPM : 0618101041
Nama : MUHAMAD RILO PAMBUDHI
Konsentrasi : APPLIED NETWORKING
Kelegkapan Informasi
Kesimpulan:
Diterima/ Ditolak/ Diperbaiki
Alasan:
Ulil Surtia Zulpratita, S.T., M.T Ari Purno Wahyu, S.Kom., M.Kom.
1
1. LATAR BELAKANG MASALAH
Dunia maya sangat terancam dengan meningkatnya jumlah serangan siber
tingkat lanjut yang membuat langkah-langkah keamanan siber konvensional
praktis tidak berguna. Hal ini terlihat dari peningkatan sepuluh kali lipat jumlah
pelanggaran data selama 12 tahun terakhir dari sekitar 160 kasus pada tahun 2005
kemudian terus meningkat menjadi 1600 kasus pada tahun 2017 [1]. Selain itu,
Centre for Strategic and International Studies (CSIS) memperkirakan hampir
$600 miliar, (0,8% dari PDB global) hilang akibat kejahatan dunia maya setiap
tahun, yang mengalami peningkatan $100 miliar dari tahun 2014 yang
menempatkan kerugian global sebesar $445 miliar [2]. Data ini menunjukkan
perlunya penerapan langkah-langkah keamanan siber yang gesit oleh organisasi
keamanan [3].
2
merepresentasikan data secara seragam, penulis mempertimbangkan format
standar Structured Threat Information Expression (STIX) [6].
2. RUMUSAN MASALAH
Berdasarkan pada permasalahan yang telah dijelaskan pada bagian latar
belakang masalah, maka dapat dirumuskan permasalahan sebagai berikut :
a. Bagaimana cara mendeteksi ancaman siber?
b. Bagaimana cara mengenali ancaman siber berdasarkan Artificial Neural
Network?
c. Bagaimana mengetahui tingkat akurasi dalam mengenali ancaman siber
yang dihasilkan oleh sistem?
3
3. TUJUAN
Penelitian pada permasalahan yang telah dijelaskan pada bagian latar
belakang masalah, bertujuan sebagai berikut :
a. Untuk mendeteksi ancaman siber.
b. Untuk mengenali ancaman siber berdasarkan Artificial Neural Network.
c. Untuk mengetahui tingkat akurasi dalam mengenali ancaman siber yang
dihasilkan oleh sistem.
4. BATASAN MASALAH
Batasan permasalahan yang ada dalam penelitian ini dibatasi oleh hal-hal
sebagai berikut:
a. Penelitian menggunakan Structured Threat Information Expression (STIX)
sebagai proses pengumpulan data ancaman siber secara otomatis.
b. Penelitian menggunakan Security Information and Event Management
(SIEM) untuk menangani sebagian besar data secara real-time.
c. Penelitian menggunakan metode deteksi berbasis deep learning untuk
meningkatkan kemampuan deteksi ancaman dunia maya.
d. Penelitian menggunakan Artificial Neural Network untuk membedakan
antara peringatan true-positive dan false positive.
e. Penelitian menggunakan honeypot untuk membantu dalam menganalisis
tren pola serangan yang terjadi, dan pada gilirannya membantu artificial
inteligence (AI) untuk membiasakan diri dengan tren saat ini.
f. Penelitian menggunakan Security Orchestration, Automation, and
Response (SOAR) untuk mengotomatisasi berbagai proses keamanan.
g. Penelitian hanya terbatas pada deteksi serangan siber, dan upaya intrusi
untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem dan
jaringan.
5. LANDASAN TEORI
5.1 STIX 2.0
Salah satu tantangan yang dihadapi organisasi dalam berbagi informasi adalah
kemampuan untuk menyusun informasi ancaman dunia maya, namun tidak
kehilangan penilaian dan kontrol manusia yang terlibat dalam berbagi informasi.
4
STIX adalah model informasi dan serialisasi untuk Cyber Threat Intelligence
(CTI) [6]. STIX menstandarisasi data CTI dalam spesifikasi yang dapat dibaca
mesin untuk mendukung analisis ancaman dunia maya dan berbagi informasi [5].
SDO yang cocok untuk mewakili data ancaman mentah disebut data yang
diamati. Terlepas dari tipe data, objek data yang diamati memiliki beberapa
properti umum: type, id, created by ref, created, modified, first observed, last
observed, and number observed. Selain bidang umum ini, data yang diamati berisi
representasi terstruktur dari data ancaman mentah dan propertinya di domain
siber. Untuk tujuan itu, objek data yang diamati berisi satu atau lebih cyber
observable objects (COO). Contoh COO adalah alamat IP, pesan email, data lalu
lintas jaringan, dll [5].
5
ancaman mentah yang dihasilkan mesin. Contoh data ancaman mentah adalah
firewall dan log IDS/IPS, log sistem, email, malware signature, URL yang
mencurigakan, dll. Data ancaman ini secara otomatis dihasilkan sebagai
konsekuensi langsung atau tidak langsung dari suatu peristiwa dan berisi
informasi yang relevan dengan peristiwa tersebut. Selain itu, data ancaman dapat
dikirimkan dalam format yang berbeda termasuk teks biasa, XML, JSON, dll. [5].
6
untuk mengotomatiskan proses pengumpulan intelijen ancaman dengan menjaga
privasi [7].
Arsitektur ini menggunakan tiga jenis data ancaman yang berbeda: email
berbahaya, log firewall, dan kredensial masuk dari serangan brute force. Pertama
mengidentifikasi lokasi modul inti yaitu modul Automated Structured Threat
Information Expression (STIX) dalam suatu sistem. Kemudian mendefinisikan
aliran data untuk membantu STIX dengan integrasi dalam sistem yang ada. Setiap
serangan yang terjadi dianggap sebagai peristiwa. Kemudian peristiwa itu dicatat
dalam modul pengumpulan data. Kemudian dilewatkan melalui modul sub-sistem
analisis dan peringatan untuk analisis lebih lanjut. Ini adalah aliran umum dari
arsitektur ini [7].
7
subsistem peringatan melakukan analisis lebih lanjut pada data ancaman
tergantung pada kebutuhan khusus organisasi [5].
8
pada sistem. Honeypot dan Honeytraps adalah teknologi canggih yang
memberikan keuntungan tambahan pada subnet di segmen yang berbeda. Peretas
selalu mencoba untuk menjebak honeypot, dan digunakan untuk mencari jaringan
menuju keamanan honeypot. Peretas sangat berhati-hati dengan alamat IP yang
tidak digunakan dengan cekatan dan mengetuk nama pengguna dan kata sandi
karyawan melalui gaya dan perilaku yang berbeda [11].
9
Gambar 5. Arsitektur platform data besar untuk SIEM berbasis AI [8]
Berdasarkan platform big data yang di usulkan [14], metode ini dapat
digabungkan dengan SIEM berbasis AI. Dalam karya ini, dengan mengadopsi
teknik AI ke platform, peringatan benar dapat dibedakan dengan lebih baik dari
peringatan palsu di dunia nyata. Sistem Security Information and Event
Management (SIEM) mengurangi beban tim keamanan dengan mengelola
sebagian besar hal yang berulang setiap hari dalam mengatur pekerjaan. Sistem
AI-SIEM tidak hanya menggunakan teknik pembelajaran mendalam tetapi juga
mekanisme pemrosesan data sebelumnya yang memungkinkan penanganan
peristiwa jaringan berskala besar. Secara khusus, tujuan utama AI-SIEM adalah
untuk secara otomatis menganalisis peristiwa keamanan jaringan yang terkait
dengan peringatan sebenarnya untuk mendeteksi ancaman siber, dan menjalankan
beberapa mesin analisis [8].
10
Gambar 6. Alur kerja dan arsitektur sistem SIEM berbasis AI [8]
Gambar 6 menyajikan alur kerja dan arsitektur untuk sistem SIEM berbasis
artificial intelligence (AI) yang dikembangkan. Sistem AI-SIEM terdiri dari tiga
fase utama: Pra-pemrosesan data, mesin pembelajaran berbasis jaringan saraf
tiruan, dan fase deteksi ancaman real-time [8].
Pada tahap kedua, data yang disiapkan pada tahap pertama adalah feed ke
Fully Convolutional Neural Network (FCNN), Convolutional Neural Network
(CNN) dan Long short-term memory (LSTM) yang secara kolektif dikenal sebagai
Evolutionary Programming-Artificial Neural Network (EP-ANN). FCNN adalah
jaringan deep learning yang setiap nodenya terhubung ke setiap node di lapisan
berikutnya, CNN digunakan untuk data spasial dan LSTM digunakan untuk
menyediakan kemampuan penyimpanan untuk dimodelkan [7].
Fase ketiga pada dasarnya adalah penyebaran model terlatih yang sekarang
dalam tahap aktif. Ini mencoba mendeteksi positif benar dan positif palsu secara
real time sekarang [7].
11
ini mempertahankan fitur vital sebagaimana yang disebutkan di atas yaitu dengan
menggunakan teknologi AI pada sistem SOAR [7].
12
Gambar 7. Alur Kerja Sistem SOAR berbasis AI [7]
Langkah selanjutnya yaitu melakukan parsing dan visualisasi log, laporan, dll
dilakukan dengan menggunakan ELK dengan menggunakan metode yang
dijelaskan pada [14]. Selain itu, untuk pengecekan URL menggunakan framework
berdasarkan [15]. Setelah ini, semua Intelijen Ancaman akan dikumpulkan tentang
peringatan dengan bantuan Repositori Intelijen Ancaman. Repositori ini
menyimpan semua informasi tentang ancaman yang diketahui. Sekarang, jika
muncul ancaman baru dan tidak tersedia di repositori, maka data ini akan
dikumpulkan dari intelijen ancaman menggunakan alat open source yang disebut
Spiderfoot. Spiderfoot akan mengumpulkan intelijen ancaman yang diperlukan
untuk analisis peringatan. Kemudian akan diteruskan melalui Terjemahan berbasis
Neuro-linguistic programming (NLP) dari intelijen ancaman multibahasa
berdasarkan [16], hanya jika intelijen ancaman yang dikumpulkan dalam bahasa
yang berbeda (saat ini hanya mendukung bahasa Inggris, Rusia, dan Jerman).
Selanjutnya Mesin Standarisasi dan Pelestarian Privasi Otomatis seperti yang
didasarkan pada [3] dan [5] akan membantu dalam mengonversi data ini dalam
format standar yang tepat dan juga akan menangani masalah terkait privasi
sebelum memasukkannya ke SIEM yang didasarkan pada [8].
13
Selanjutnya semua informasi yang dikumpulkan tentang peringatan ini akan
mendukung AI dalam membuat keputusannya tentang peringatan apakah
peringatan itu positif benar atau positif palsu. Jika positif palsu maka informasi
terkait akan diteruskan ke Threat Intelligence Repository untuk tujuan di masa
mendatang. Tetapi jika peringatan itu positif benar maka Indikator Kompromi
membuat laporan dari bukti tentang serangan, dan tingkat serangan yang terjadi,
dll. informasi tentang serangan itu akan ditampilkan ke analis keamanan.
Selanjutnya, playbook, runbook, dll yang ada untuk ancaman juga akan digunakan
untuk mempercepat proses respons. Jika tidak, hanya informasi tentang ancaman
yang akan ditampilkan kepada analis [7].
Pada akhirnya data terkait ancaman tentang ancaman positif benar akan
mendapatkan umpan di repositori. Ini akan membantu sistem di masa depan untuk
serangan serupa serta dalam menganalisis pola serangan dan profil peristiwa pada
SIEM [8]. Lebih lanjut, dimungkinkan juga untuk membuka sumber data dari
repositori intelijen ancaman karena masalah privasi akan ditangani oleh Mesin
Standarisasi Otomatis dan Pelestarian Privasi [7] yang ada pada [5].
6. METODOLOGI
Metodologi penelitian yang diterapkan dalam penulisan tugas akhir ini
meliputi:
6.1 Identifikasi Masalah
Berdasarkan latar belakang yang telah dijelaskan di atas, penulis memberikan
informasi berikut tentang masalah yang akan digunakan sebagai bahan penelitian:
a. Dunia maya sangat terancam dengan meningkatnya jumlah serangan siber
tingkat lanjut.
b. Tindakan keamanan siber konvensional sangat bergantung pada
pembuatan digital signature dan aturan statis untuk mengidentifikasi dan
memblokir ancaman.
c. Pendekatan baru terhadap keamanan siber sangat penting untuk
menggagalkan serangan siber yang terorganisir secara proaktif, serta
merespon lebih cepat terhadap ancaman siber yang muncul.
6.2 Studi Literatur
14
Melakukan pencarian referensi teori yang relefan, dengan kasus atau
permasalahan yang ditemukan berdasarkan sumber penelitian sebelumnya seperti
paper, jurnal, dan buku-buku untuk menunjang penyusunan laporan tugas akhir.
6.3 Analis dan Perancangan
Dalam Penelitian ini, akan dibuat sistem yang mampu mendeteksi ancaman
siber berdasarkan Artificial Neural Network (ANN) menggunakan Cyber Threat
Intelligence (CTI) yang berupa informasi tentang ancaman, dan pelaku ancaman
siber yang membantu mengurangi peristiwa berbahaya di dunia maya.
Pembahasan akan beralih pada analisis dari rancangan sistem. Diantaranya adalah
kebutuhan yang harus disiapkan, jenis data yang dibutuhkan dalan sistem yang
akan dirancang.
6.4 Implementasi
Berdasarkan analisis dan perancangan maka akan dibuat sistem yang dapat
melakukan deteksi ancaman siber dalam mengamankan sistem dan jaringan,
kemudian akan diterapkan beserta pengujian guna mengetahui presentasi hasil
dari sistem itu sendiri.
6.5 Kesimpulan
Membuat kesimpulan berdasarkan data hasil implementasi.
15
4 Implementasi
5 Pengujian
6 Sidang
Pembuatan
7 Laporan
Tabel 7.1 Jadwal Penelitian Tugas Akhir
8. USULAN PEMBIMBING
- Ulil Surtia Zulpratita, S.T., M.T.
- Helmy Faisal Muttaqin, S.Kom., M.T.
DAFTAR PUSTAKA
[1] J. Johnson, “Annual number of data breaches and exposed records in the
United States from 2005 to 2020,” www.statista.com, 2021.
https://www.statista.com/statistics/273550/data-breaches-recorded-in-the-
united-states-by-number-of-breaches-and-records-exposed/ (accessed Oct.
24, 2021).
[2] J. Lewis, “Economic impact of cybercrime : no slowing down,” Cent.
Strateg. Int. Stud., no. February, pp. 1–28, 2018, [Online]. Available:
https://www.csis.org/analysis/economic-impact-cybercrime.
[3] F. Sadique, K. Bakhshaliyev, J. Springer and S. Sengupta, "A System
Architecture of Cybersecurity Information Exchange with Privacy
(CYBEX-P)," 2019 IEEE 9th Annual Computing and Communication
Workshop and Conference (CCWC), 2019, pp. 0493-0498, doi:
10.1109/CCWC.2019.8666600.
[4] J. P. Farwell and R. Rohozinski, “Stuxnet and the future of cyber war,”
Survival (Lond)., vol. 53, no. 1, pp. 23–40, 2011, doi:
10.1080/00396338.2011.555586.
[5] F. Sadique, S. Cheung, I. Vakilinia, S. Badsha and S. Sengupta,
"Automated Structured Threat Information Expression (STIX) Document
Generation with Privacy Preservation," 2018 9th IEEE Annual Ubiquitous
Computing, Electronics & Mobile Communication Conference
(UEMCON), 2018, pp. 847-853, doi: 10.1109/UEMCON.2018.8796822
16
[6] S. Barnum, “Standardizing cyber threat intelligence information with the
Structured Threat Information eXpression (STIXTM),” MITRE Corp.
July, pp. 1–20, 2014, [Online]. Available:
http://blackberry8520.b277.doihaveamobilestrategy.com/http://stix.mitre.o
rg/about/documents/STIX_Whitepaper_v1.0_(Draft).pdf.
[7] R. Vast, S. Sawant, A. Thorbole and V. Badgujar, "Artificial Intelligence
based Security Orchestration, Automation and Response System," 2021
6th International Conference for Convergence in Technology (I2CT),
2021, pp. 1-5, doi: 10.1109/I2CT51068.2021.9418109.
[8] J. Lee, J. Kim, I. Kim and K. Han, "Cyber Threat Detection Based on
Artificial Neural Networks Using Event Profiles," in IEEE Access, vol. 7,
pp. 165607-165626, 2019, doi: 10.1109/ACCESS.2019.2953095.
[9] STIX™ Version 2.0. Part 2: STIX Objects. Edited by Rich Piazza, John
Wunder, and Bret Jordan. 19 July 2017. OASIS Committee Specification
01. http://docs.oasis-open.org/cti/stix/v2.0/cs01/part2-stix-objects/stix-
v2.0-cs01-part2-stix-objects.htmll. Latest version: http://docs.oasis-
open.org/cti/stix/v2.0/stix-v2.0-part2-stix-objects.html.
[10] D. Fraunholz, M. Zimmermann and H. D. Schotten, "An adaptive
honeypot configuration, deployment and maintenance strategy," 2017 19th
International Conference on Advanced Communication Technology
(ICACT), 2017, pp. 53-57, doi: 10.23919/ICACT.2017.7890056.
[11] K. R. Sekar, V. Gayathri, G. Anisha, K. S. Ravichandran and R.
Manikandan, "Dynamic Honeypot Configuration for Intrusion Detection,"
2018 2nd International Conference on Trends in Electronics and
Informatics (ICOEI), 2018, pp. 1397-1401, doi:
10.1109/ICOEI.2018.8553956.
[12] L. Spitzner, "Honeypots: catching the insider threat," 19th Annual
Computer Security Applications Conference, 2003. Proceedings., 2003,
pp. 170-179, doi: 10.1109/CSAC.2003.1254322.
[13] J. Lee, Y. S. Kim, J. H. Kim, I. K. Kim and K. Han, "Building a big data
platform for large-scale security data analysis," 2017 International
17
Conference on Information and Communication Technology Convergence
(ICTC), 2017, pp. 976-980, doi: 10.1109/ICTC.2017.8190830.
[14] H. Almohannadi, I. Awan, J. Al Hamar, A. Cullen, J. P. Disso and L.
Armitage, "Cyber Threat Intelligence from Honeypot Data Using
Elasticsearch," 2018 IEEE 32nd International Conference on Advanced
Information Networking and Applications (AINA), 2018, pp. 900-906,
doi: 10.1109/AINA.2018.00132.
[15] F. Sadique, R. Kaul, S. Badsha and S. Sengupta, "An Automated
Framework for Real-time Phishing URL Detection," 2020 10th Annual
Computing and Communication Workshop and Conference (CCWC),
2020, pp. 0335-0341, doi: 10.1109/CCWC47524.2020.9031269.
[16] P. Ranade, S. Mittal, A. Joshi and K. Joshi, "Using Deep Neural Networks
to Translate Multi-lingual Threat Intelligence," 2018 IEEE International
Conference on Intelligence and Security Informatics (ISI), 2018, pp. 238-
243, doi: 10.1109/ISI.2018.8587374.
18