Pengembangan Mekanisme Korelasi dan Deteksi Aktivitas Botnet Pada Jaringan Komputer

Hostiadi, Dandy Pramana (2022) Pengembangan Mekanisme Korelasi dan Deteksi Aktivitas Botnet Pada Jaringan Komputer. Doctoral thesis, Institut Teknologi Sepuluh Nopember.

[thumbnail of 05111760010003-Disertasi_Buku Disertasi.pdf]
Preview
Text
05111760010003-Disertasi_Buku Disertasi.pdf - Accepted Version

Download (6MB) | Preview

Abstract

Botnet merupakan salah satu ancaman dalam keamanan jaringan komputer. Hal ini disebabkan karena botnet memiliki sifat independent, memiliki kemampuan untuk mereplikasi diri dan bersifat decentralized. Dari sifat yang dimiliki, menyebabkan botnet sulit untuk dideteksi oleh sistem keamanan jaringan seperti sistem deteksi intrusi atau antivirus malware. Kesulitan yang dimaksud adalah sulitnya membedakan aktivitas botnet dengan aktivitas normal, baik pada aktivitas bot tunggal ataupun aktivitas bot group.
Tujuan dari penelitian ini adalah mengembangkan mekanisme korelasi dan deteksi untuk aktivitas bot group. Aktivitas bot group lebih berbahaya dan lebih sulit dikenali pola aktivitasnya dibandingkan dengan aktivitas bot tunggal, sehingga membutuhkan analisis yang lebih dalam untuk dideteksi. Beberapa pendekatan model deteksi telah dilakukan oleh peneliti sebelumnya, dengan fokus deteksi terhadap aktivitas bot tunggal. Selain itu, model deteksi yang dikenalkan pada penelitian sebelumnya, masih berfokus pada deteksi adanya indikasi atau eksistensi dari aktivitas bot, tidak mengarah pada pelaku penyerangan dan tidak menjelaskan hubungan keterkaitan antar aktivitas bot sebagai kumpulan aktivitas bot group. Salah satu bentuk hubungan keterkaitan antar aktivitas bot adalah bentuk hubungan kemiripan dan hubungan kausalitas aktivitas antar bot. Pada penelitian ini, dikembangkan model deteksi aktivitas bot group dengan mengenalkan 4 pendekatan yang berbeda. Setiap model deteksi memiliki tujuan dan keterbaruan penelitian yang berbeda. Secara keseluruhan, keempat model yang dikembangkan menggunakan proses segmentasi data berbasis waktu aktivitas, melakukan ekstraksi fitur dari data traffic aktivitas di jaringan, mengukur kemiripan aktivitas dan mengukur korelasi aktivitas untuk mendapatkan aktivitas bot yang saling memiliki keterkaitan dalam bentuk hubungan kausalitas aktivitas antar bot. Model yang dikembangkan dalam penelitian ini juga menggunakan pendekatan analisis berbasis graf dan network flows based. Analisis graf digunakan untuk menentukan nilai ambang kemiripan dan ambang korelasi. Sedangkan analisis berbasis network flows based digunakan untuk mendapatkan fitur pada proses ekstraksi fitur aktivitas bot.
Hasil penelitian menunjukkan bahwa pengembangan mekanisme korelasi dan deteksi aktivitas botnet khususnya aktivitas bot group berhasil dilakukan. Selain mampu mendeteksi aktivitas bot, hubungan keterkaitan aktivitas antar bot berhasil diiukur melalui pengukuran kemiripan dan pengukuran korelasi untuk mendapatkan kausalitas aktivitas bot. Evaluasi deteksi dari keempat model yang dikembangkan dilakukan dengan pengukuran akurasi, precission dan recall. Hasil deteksi terbaik ditunjukkan pada model keempat melalui proses pengukuran korelasi kausalitas dengan nilai akurasi deteksi sebesar 99,18% pada dataset CTU dan 99,73% pada dataset Net-Centric Computing (NCC). Sedangkan nilai recall terbaik didapatkan sebesar 91,55% pada dataset CTU dan 99,29% pada dataset NCC. Pengukuran nilai precission didapatkan sebesar 42,29% pada dataset CTU, lebih rendah dari nilai precission pada dataset NCC sebesar 75,14%. Keterbaruan penelitian ini adalah model deteksi aktivitas bot yang dapat memberikan informasi keterkaitan aktivitas diantara bot dalam bentuk kemiripan aktivitas, rantai komunikasi bot dan hubungan kausalitas aktivitas bot. Selain itu, pada penelitian ini juga memiliki keterbaruan dalam deteksi skenario aktivitas penyerangan bot dalam bentuk tahapan aktivitas penyerangan dan berhasil dikembangkan menjadi dataset baru yang kumpulan pada jenis aktivitas bot group dengan nama dataset NCC.
======================================================================================================
Botnet is one of the threats to computer network security. This is because botnets are independent, can self-replicate, and are decentralized. Due to their nature, botnets are difficult to detect by network security systems such as intrusion detection systems or malware antivirus. The difficulty is distinguishing botnet activities from normal activities, both for single bot activities or bot group activities.
This study aims to develop a correlation and detection mechanism for bot group activity. Grouped bot activity is more dangerous and more challenging to identify activity patterns than single bot activity, thus requiring deeper analysis to detect. Several detection model approaches have been carried out by previous researchers, focusing on detecting single bot activity. In addition, the detection model introduced in previous research still focuses on detecting any indication or existence of bot activity that does not lead to attackers and does not explain the relationship between bot activities as a collection of bot group activities. One form of the relationship between bot activities is a form of similarity relationship and activity causality between bots. This study developed a bot group activity detection model by introducing four approaches. Each detection model has a different purpose and research novelty. Overall, the four models developed using the activity time-based data segmentation process perform feature extraction from activity traffic data on the network, measure activity similarity, and measure activity correlation to obtain interrelated bot activities in the form of activity causality between bots. The model developed in this study also uses a graph-based and network flows-based analysis approach. Graph analysis is used to get the similarity and correlation threshold. Meanwhile, network flows-based analysis is used to obtain features in the feature extraction process of bot activities.
The results showed that the correlation mechanism's development and botnet activity detection was successfully carried out, especially bot group activity. In addition to detecting bot activity, the relationship between bots was successfully measured through similarity and correlation measurements to determine the causality of bot activity. The four models' detection was carried out by measuring accuracy, precision, and recall. The best detection results are shown in the fourth model, with a detection accuracy value of 99.18% on the CTU dataset and 99.73% on the Net-Centric Computing (NCC) dataset. Besides, the best recall value was obtained at 91.55% in the CTU dataset and 99.29% in the NCC dataset. Measurement of precision value was obtained at 42.29% in the CTU dataset, lower than the precision value in the NCC dataset of 75.14%. .The novelty of this research is a bot activity detection model that can provide information on the activity linkages between bots in the form of similar activities, bot communication chains, and causality relationships between bots. In addition, this study also has an update on the detection of bot attack activity scenarios in the form of attack activity stages. Finally, it has been successfully developed into a new dataset collected on the type of bot group activity with the name NCC dataset.

Item Type: Thesis (Doctoral)
Uncontrolled Keywords: botnet, aktivitas bot group, aktivitas bot tunggal, kemiripan aktivitas, korelasi aktivitas, keamanan jaringan, sistem deteksi intrusi. botnet, bot group activity, single bot activity, activity similarity, activity correlation, network security, intrusion detection system.
Subjects: Q Science > QA Mathematics > QA76.9.A25 Computer security. Digital forensic. Data encryption (Computer science)
Divisions: Faculty of Intelligent Electrical and Informatics Technology (ELECTICS) > Informatics Engineering > 55001-(S3) PhD Thesis (Comp Science)
Depositing User: Dandy Pramana Hostiadi
Date Deposited: 08 Feb 2022 08:12
Last Modified: 12 Nov 2024 05:21
URI: http://repository.its.ac.id/id/eprint/93149

Actions (login required)

View Item View Item