6 2. Mengelompokkan data ke dalam cluster Setelah data dikelompokkan ke dalam cluster maka akan dihitung jarak antara titik data ke titik centroid dengan menggunakan fungsi jarak yaitu Euclidean Distance. Persamaan 1 merupakan formula Euclidean Distance atau perhitungan jarak yang dipakai dalam mengukur DR pada IDS menggunakan algoritma K-Means sebagai berikut: [7] 1 dengan : = distance = 1 , 2 , 3 , ……, p = 1 , 2 , 3 , ……, p = merepresentasikan nilai atribut � = dimensi data � = objek data - Dalam hal dua dimensi k = 1, 2 menjadi X i maka: X 1i menjadi X i X 1j menjadi X j X 2i menjadi Y i X 2j menjadi Y j X ik = 1 atau X i1 menjadi X i X jk = 1 atau X j1 menjadi X j X ik = 2 atau X i2 menjadi Y i X jk = 2 atau X j2 menjadi Y j Sehingga persamaan 1 dapat disederhanakan menjadi � = − 1 2 + − 1 2

4. Hasil dan Pembahasan

Seperti yang dijelaskan pada metode penelitian dan perancangan Sistem, tentang hasil perhitungan dan pengujian dalam klasifikasi serangan pada intrusion detection system menggunakan algoritma K-Means. Pada tahap ini akan membahas proses perhitungan K-Means. Adapun data serangan yang telah diambil dalam BASE IDS, sehingga dapat dilihat pada Tabel 2 dibawah ini: 7 Tabel 2 Daftar objek yang telah dikelompokan No Atribut X Jumlah IP Atribut Y Port 1 2 80 2 3 80 3 2 80 4 3 80 5 1 80 6 1 80 7 4 80 8 1 80 9 3 80 10 1 128 11 1 80 12 10 80 13 1 80 14 1 80 15 1 80 16 1 80 17 19 53 18 20 53 19 20 53 20 20 53 21 19 53 22 17 53 23 15 53 24 10 53 25 20 53 26 18 53 27 19 53 28 7 53 29 5 53 30 16 53 31 20 53 32 17 161 33 18 161 34 10 161 35 3 161 36 10 161 37 1 161 38 5 705 39 7 705 8 40 2 705 41 2 705 42 2 705 43 14 705 44 20 80 45 20 53 46 1 161 47 1 161 48 10 53 49 10 705 50 11 161 51 4 53 52 16 705 53 1 161 54 1 161 55 2 705 56 18 161 57 20 53 58 8 80 59 11 80 60 1 80 61 5 80 62 3 80 63 1 80 64 6 80 65 4 80 66 4 80 67 1 80 68 9 128 69 2 80 70 3 80 71 6 80 72 3 80 73 4 80 74 4 80 75 1 80 76 2 80 77 5 80 78 5 80 79 2 80 80 2 80 9 81 2 80 82 2 80 83 3 22 84 2 80 85 2 80 86 1 80 87 1 80 88 2 80 89 1 80 90 1 80 91 3 22 92 17 80 Pada Tabel 2 menjelaskan bahwa data serangan telah diambil pada BASE IDS dikelompokan berdasarkan parameter sudah dibuat dalam pengolahan data serangan tersebut, dimana parameter yang adalah IP dan Port. Dalam hal ini daftar dari objek yang telah dikelompokan berdasarkan kategori serangan pada tabel diatas mempunyi IP serangan yang berbeda-beda dan di capture pada BASE IDS. Untuk mendapatkan nilai dari data serangan tersebut dibuatlah parameter baru, dimana parameter yang dibuat adalah IP serangan yang sering kali masuk ke dalam kategori serangan akan diberikan nilai. Contohnya adalah IP serangan 120.169.155.127:80 yang masuk sebayak 2 kali, maka akan diberikan nilai 2 dan IP serangan 10.10.10.2:128 yang masuk sebayak 1 kali maka akan diberikan nilai 1. Setelah mendapatkan nilai dari parameter data serangan tersebut, maka ditentukanlah nilai K, dimana nilai K yang dimasukan adalah dua, sehingga centroid yang ditentukan juga sebanyak dua centroid. Pada penelitian ini dalam menentukan titik centroid dari data serangan yang telah dikelompokkan berdasarkan IP dan Port, maka aplikasi Matlab digunakan sebagai tools untuk membantu dalam menentukan titik centroid dari data serangan. Penamaan objek dalam penggunaan aplikasi matlab harus diubah, dimana jumlah IP menjadi atribut X dan Port menjadi atribut Y sehingga dapat dipahami oleh fungsi yang ada di matlab dalam menentukan titik centroid dari data serangan. Pada penelitian ini jumlah cluster yang dipakai adalah dua cluster, setelah tahapan menentukan nilai K atau jumlah cluster selesai, tahapan berikutnya adalah membuat titik centroid dari data serangan tersebut yang diambil berdasarkan kategori serangan web attack. Aplikasi matlab digunakan sebagai tools untuk mendapatkan titik centroid-nya dan bisa dilihat pada Gambar 4 dibawah ini: Gambar 4 Titik centroid Klasifikasi Alert 10 Pada penjelasan Gambar 4 merupakan hasil dari perhitungan yang dihitung menggunakan fungsi dari matlab sebagai tools untuk membantu dalam mendapatkan titik tersebut. Titik data serangan yang disimbolkan dengan ● dan titik centroid disimbolkan dengan ×, selanjutnya dimana jumlah IP berada di sumbu X dan Port berada di sumbu Y. Contoh dalam mencari titik data serangan dengan IP 10.10.10:128 dengan nilai 1 kali masuk dalam serangan web attack adalah dengan cara membuat garis perpotongan misalnya pada sumbu X terdapat IP serangan 10.10.10.2 dengan masuk sebayak 1 kali dengan port 128 yang terdapat pada garis perpotongan pada sumbu Y. Setelah mendapatkan titik- titik dari posisi data serangan dan titik centroid tersebut, maka titk tersebut akan dihitung kedekatannya antara objek dengan titik centroid menggunakan fungsi jarak yaitu Euclidean Distance. Berikut ini adalah contoh perhitungan jarak antara objek dan centroid, untuk titik centroid data 120.169.255.127:80 dengan titik X c =2,0000 dan Y c =84,3636. - Hasil perhitungan jarak objek nomor satu 120.169.255.127 ke titik × centroid yang disimbolkan dengan D 1 adalah 4,3636 merupakan jarak terpendek ke titik centroid. � = − 1 2 + − 1 2 2 � 1 = 7,45 − 2 2 + 192,65 − 80 2 � 1 = 140,21 Pengujian algotirma K-Means dalam mengklasifikasikan serangan pada sistem IDS, dilakukan dengan cara membandingkan hasil perhitungan dengan menggunakan algorima K-Means, dengan rules yang dipakai didalam sistem IDS Snort seperti Gambar 5. Gambar 5 Rule dalam Snort Gambar 5 merupakan sebuah rule yang akan menghasilkan sebuah alert, jika pada traffic terdeteksi menggunakan protocol UDP dengan port apapun dan menuju jaringan lokal dengan port tujuan 161 akan diklasifikasikan sebagai serangan attempted-dos, seperti pada contoh IP 185.11.147.200 menggunakan protocol UDP menuju jaringan lokal dengan port 161 dan jumlah serangan sebanyak delapan belas kali, dikategorikan di dalam BASE IDS sebagai serangan. Setelah menggunakan K-Means dalam klisifikasi serangan, maka paket tersebut merupakan sebuah serangan yang akurat yang dicockan dengan rules yang ada pada IDS. Pada tahapan ini akan dijelaskan hasil dari perhitungan algoritma K-Means dalam klasifikasi alert pada IDS, dimana klasifikasi alert didefinisikan sebagai presentase dari data serangan tersebut yang diambil berdasarkan dalam kategori serangan yang sudah dikelompokan berdasarkan jenis serangan dan untuk lebih jelas dapat dilihat pada Tabel 3. 11 Tabel 3 Hasil Klasifikasi Alert berdasarkan serangan Attack Jumlah Klasifikasi Alert Klasifikasi Alert Presentase Att Dos 471 67 Web Attack 36 10 Trojan Activity 67 9 Shellcode Detect 62 14 Total Alert 636 Pada Tabel 3 menjelaskan bahwa nilai presentase klasifikasi alert diperoleh dari hasil perhitungan dengan menggunakan Algoritma K-Means dalam mendapatkan nilai presentase dari klasifikasi alert, dimana nilai dari rata-rata serangan diambil dari semua jenis serangan yang dibagi berdasarkan empat jenis serangan kemudian dijumlahkan nilai dari rata-rata jenis serangan tersebut kemudian dikalikan 100. Hasil tersebut mendapatkan nilai klasifikasi serangan dengan serangan web attack 10, trojan activity 9, shellcode detect 14 dan att dos 67 pada IDS seperti pada Gambar 5 dibawah ini. Gambar 6 Presentase Klasifikasi Alert

5. Kesimpulan