Pengembangan IDS Berbasis J48 Untuk Mendeteksi Serangan DoS Pada Perangkat Middleware IoT
Vol. 2, No. 12, Desember 2018, hlm. 6902-6907 http://j-ptiik.ub.ac.id
Pengembangan IDS Berbasis J48 Untuk Mendeteksi Serangan DoS Pada
1 Perangkat Middleware IoT 2 3 Hilman Nihri , Eko Sakti Pramukantoro , Primantara Hari TrisnawanProgram Studi Teknik Informatika, Fakultas Ilmu Komputer, Universitas Brawijaya 1 2 3 Email: hy.hilmann@gmail.com, eko.sakti@ub.ac.id, prima@ub.ac.id
Abstrak
Perkembangan perangkat IoT menyebabkan perubahan di setiap aspek kehidupan manusia. Oleh karena itu keamanan di perangkat IoT menjadi penting. Salah satu serangan dalam perangkat IoT adalah
exhaustion of resource . Serangan ini dapat dilakukan dengan melakukan serangan denial of
service (DoS). Intrusion Detection System(IDS) dipilih menjadi solusi untuk masalah ini. IDS yang
digunakan harus mampu mengantisipasi serangan DoS di middleware IoT. Machine learning dipilih sebagai pendeteksi dalam IDS ini karena kinerjanya lebih baik dalam mendeteksi anomali dan juga dapat berjalan lebih baik dengan sumber daya terbatas. Algoritma J48 dipilih sebagai algoritma machine
learning karena memiliki akurasi yang lebih tinggi dibandingkan dengan algoritma lain. Penggunaan
sumber daya, akurasi pembelajaran mesin, kemampuan memberikan peringatan, penebangan dan penanganan serangan adalah faktor sukses dalam IDS. Hasilnya menunjukkan bahwa IDS dalam makalah ini adalah solusi yang layak untuk mengantisipasi DoS di middleware IoT.
Kata kunci: Intrusion Detection System, Internet of Thing, Security, Denial of Service, Machine
Learning, Weka
Abstract
The improvement of the IoT cause changes in every aspect of human life. Therefor security in IoT device
is important. One kind of attacks in IoT device is exhaustion of resource. This attack can be done with
denial of service(DoS). Intrusion Detection System(IDS) is chosen to be the solution for this problem.
The IDS used must be capable to overcome DoS attack in IoT middleware. In this research, the
middleware is used to help handle interoperability between each devices in this architecture. Machine
learning is selec ted as detection mechanism in this research because it’s perform better in detectinganomaly and can run better with resource constrained devices. J48 algorithm is selected as algorithm
in machine learning because have higher accuracy compared to another algorithm. Resource usage,
machine learning accuracy, capability of giving alert, logging and handling attack are the success factor
in the IDS. The results show that IDS in this paper is a feasible solution to anticipate DoS in middleware
IoT.
Keywords: Intrusion Detection System, Internet of Thing, Security, Denial of Service, Machine
Learning, Wekaperangkat IoT yang terinfeksi Mirai. (Kolias, 1.
PENDAHULUAN dkk, 2017).
IoT adalah salah satu perangkat baru yang Serangan DoS biasanya terdeteksi setelah dapat mengubah setiap aspek kehidupan layanan jaringan tidak dapat diakses manusia. Meskipun perangkat IoT memiliki (Kasinathan, dkk., 2013). Serangan DoS paling
resource yang terbatas, perangkat ini dapat
sering terjadi karena mereka sangat mudah digunakan di banyak tempat seperti reaktor dilakukan. Namun pendeteksian dan penanganan nuklir, pembangkit listrik dan lingkungan serangan ini sangat sulit karena serangan DoS kesehatan (Cho dan Choi, 2011). Pertumbuhan bervariasi dalam bentuk. IoT yang cepat juga meningkatkan risiko
Metode yang digunakan dalam penelitian keamanannya. Pada bulan September 2016 ini adalah dengan menggunakan IDS. Penelitian serangan Distributed Denial of Service(DDoS) sebelumnya (Sforzin, dkk., 2016) menerapkan terbesar terjadi dengan jumlah lalu lintas Snort sebagai IDS pada IoT. Hasil penelitian mencapai 1,1 Tbps. Serangan itu berasal dari
Fakultas Ilmu Komputer Universitas Brawijaya
6902 tersebut menunjukkan bahwa Snort tidak dapat memproses semua paket dan memiliki jumlah
rules yang terbatas. Hal ini disebabkan karena
Snort tidak dirancang untuk perangkat dengan keterbatasan resource.
IDS yang diajukan oleh penelitian ini adalah IDS yang dapat berjalan dengan batasan pada perangkat IoT. IDS juga tidak mengganggu proses aktivitas dan dapat diandalkan dengan menangani serangan DoS di middleware IoT.
2. DASAR TEORI
untuk membantu komunikasi antar perangkat dengan memproses protokol yang berbeda (Razzaque, dkk, 2016). Perangkat ini mengumpulkan semua data dari sensor dan memprosesnya. Middleware yang digunakan dalam penelitian sebelumnya (Farizi, 2018) menggunakan paradigma event-driven . Paradigma ini mengolah data berdasarkan peristiwa yang terjadi. Middleware ini terdiri dari tiga bagian, yaitu gateway sensor, unit layanan, dan gateway aplikasi. Semua data dari sensor akan dikirim melalui middleware ini.
adalah dengan menggunakan kelemahan protokol seperti SYN flood. Serangan ini menargetkan korban untuk menangani banyak permintaan yang membuat korban tidak dapat memproses yang sebenarnya. Yang terakhir adalah dengan menggunakan kelemahan dalam lapisan aplikasi seperti slowloris.
2.4 Machine Learning
Taksonomi pada IDS dibagi menjadi lima bagian. Setiap bagian tersebut harus diperhitungkan berdasarkan tujuan penggunaannya dan keuntungan kerugiannya. Kelima hal tersebut adalah lokasi, fungsi, penyebarannya, waktu pendeteksiannya dan mekanisme pendeteksiannya (Pharate, dkk., 2015). Gambar 2 menjelaskan tentang taksonomi dari IDS.
2.3.1 Taksonomi IDS Gambar 2. Taksonomi IDS
IDS adalah salah satu sistem yang dikembangkan untuk mendeteksi serangan berdasarkan informasi yang diperoleh dari merekam trafik pada jaringan (J. dan Muthukumar, 2015).
Perkembangan jaringan, kecepatan pertukaran data dan penggunaan internet yang tidak dapat diprediksi dapat menambah masalah yang mengakibatkan kegagalan pada sistem. Banyak pengembangkan sistem untuk mengurangi permasalahan tersebut. Sistem yang reliable, efektif, dapat memonitor serta dapat bertindak secara otomatis tanpa campur tangan manusia adalah sistem yang dikembangkan untuk menyelesaikan permasalahan tersebut.
2.3 IDS
Gambar 1. DoS Taxonomy
packet per second yang tinggi. Yang kedua
Protokol yang digunakan untuk mengirim data dalam middleware ini adalah MQTT dan CoAP. Protokol ini menggunakan paket TCP dan UDP untuk mengirimkan data dari sensor ke
ICMP dengan paket-paket besar dan jumlah
2.1 Middleware IoT Middleware adalah alat yang digunakan
ini berdasarkan penelitian (Gupta dan Badve, 2017) bertujuan untuk menghabiskan sumber daya atau bandwith dari korban. Serangan ini sama seperti serangan DoS hanya berbeda pada skala serangan. Taksonomi DDoS dapat dilihat pada Gambar 1.
Distributed Denial of Service (DDoS). Serangan
Serangan DoS yang dilakukan secara terdistribusi disebut sebagai serangan
2.2 DoS
middleware . Port yang digunakan dalam middleware adalah 1883 dan 5683.
Bentuk pertama dari DoS adalah dengan mengirim banyak paket besar. Serangan ini dapat dilakukan dengan mengirim UDP atau Machine Learning dapat digunakan untuk melakukan penggalian informasi pada data set yang tersedia. Dengan menggunakan perhitungan statistika dan algoritma yang matematis, machine learning dapat mengetahui informasi yang tersembunyi, pola dan hubungan antar atribut dalam sebuah data set. Fungsi ini menjadi sangat berguna untuk mengetahui data yang mencurigakan.
Machine learning juga dapat digunakan untuk mendeteksi serangan pada jaringan (J. dan Muthukumar, 2015). Pengembangan terhadap penggunaan machine learning telah dikembangkan untuk mengetahui algoritma yang terbaik untuk detection engine pada IDS Tabel 1 menunjukkan perbandingan performa antar algoritma yang diimplementasikan pada
Algoritma J48 termasuk dalam metode klasifikasi dengan berbasis divide and conquer. Decision tree digunakan karena semakin sedikit kategori data maka semakin tinggi akurasi pada metode ini (Sahu dan Mehtre, 2015). Berdasarkan pengumpulan data sebelumnya, penelitian ini sesuai dengan metode ini karena jaringan IoT pada penelitian ini tidak memiliki banyak kategori trafik. Decision tree terdiri dari node dan leaf nodes. Node akan melakukan test pada attribute dan leaf adalah kelas dari klasifikasi. Setiap path pada hasil J48 adalah rule akan digunakan pada IDS.
application gateway . Semua data dari sensor akan dikirim kepada sensor gateway.
yang digunakan menghubungkan komputasi dan komunikasi antar perangkat dan membantu pemrosesan perbedaan protokol antar perangkat (Razzaque, dkk., 2016). Middleware yang digunakan pada penelitian sebelumnya (Farizi, 2018), menggunakan paradigma event-driven. Pada middleware ini terdiri dari tiga bagian, yaitu sensor gateway, service unit, dan
3.1 Lingkungan Penelitian Middleware pada IoT adalah perangkat
Implementasi
Gambar 2. Psuedo Code Algoritma J48 3.
Algoritma J48 merupakan algoritma yang mengimplementasikan algoritma C4.5 dalam bahasa java. Algoritma ini diimplementasikan ke dalam aplikasi Weka. Algoritma ini dibuat pada tahun 1993 oleh Quinalan. Psudocode algoritma J48 dapat dilihat pada Tabel 2
2.4.2 J48
IDS .
Pada dasarnya, data yang digunakan dikumpulkan untuk machine learning berukuran sangat besar. Sehingga perlu dilakukan pengurangan pada data untuk mengurangi sumber daya yang dibutuhkan. Pengurangan dapat menggunakan metode filter, clustering atau penyeleksian fitur. (Gul dan Adali, 2017).
2.4.1 Feature Selection
ZeroR 92.2073
Naïve Bayes 90.5504 OneR 94.5741 Random Forest 35.8247 Random Tree 96.2258
Adaboost 92.2073 Hyperpipes 92.2363 J48 96.2574
Tabel 1. Akurasi Algoritma Machine Learning Algoritma Akurasi
Gambar 5 menunjukkan lingkungan sistem pada penelitian ini. Lingkungan penelitian ini terdiri dari sensor, middleware, internet gateway device , webservice dan database . TheMiddleware berfungsi sebagai middleware dan access point. Middleware ini yang akan memberikan pengalamatan IP kepada setiap sensor ataupun middleware lainnya. Setiap data yang dikirim juga akan melalui middleware ini. Sehingga trafik seperti SSH, NTP, EAPOL, DNS, MDNS , ARP dan sebagainya akan diperoleh ketika merekam trafik pada jaringan. Middleware juga berjalan pada MasterB dan RasperryPi28 karena pada arsitektur ini middleware berjalan dengan konsep cluster. Konsep cluster ini akan mengintegrasikan data kepada middleware yang terhubung dengan bantuan Redis Cluster. Peneletian ini menggunakan MasterB sebagai lingukangan pengembangannya. Gambar 4. Lingkungan Penelitian
3.3 Pembuatan Decision Tree
3.2 Pengumpulan Data
10 fitur 99.9116% 15 fitur 99.9269%
1 fitur 79.3269% 2 fitur 91.9182% 3 fitur 91.3680% 5 fitur 99.9116%
Tabel 3. Akurasi Detection Engine Berdasarkan Jumlah Fitur Jumlah Fitur Akurasi
Adapun decision tree yang didapatkan pada dengan memproses 20 fitur tersebut dapat dilihat pada Tabel 4.
Akurasi terbaik didapatkan dengan menggunakan 20 fitur. Tabel 3 menunjukkan akurasi detection engine.
4.1 Akurasi Decision Tree
4. Pengujian
Pada penelitian ini IDS yang digunakan adalah network based karena bisa menanggulangi serangan DoS, terlebih lagi Host based dapat dijadikan target dari serangan DoS itu sendiri sehingga kurang handal dalam menanggulangi serangan DoS. Penelitian ini membutuhkan pendeteksian dan penanggulangan pada jaringan yang akan dilindungi. Selain itu, serangan DoS juga perlu dilakukan secara otomatis. IDS yang digunakan juga berbasis network sehingga mendukung implementasi prevention . Penelitian ini menggunakan single host karena jaringan yang dilindungi pada lingkungan penelitian hanya terdapat node dengan jumlah kecil dan trafik yang masih kecil karena perangkat yang digunakan adalah perangkat IoT. Jaringan IoT yang dilindungi akan melindungi dari serangan DoS, sehingga mekanisme pendeteksian pada penelitian perlu dilakukan secara real time agar dapat dicegah pada saat itu juga.
3.4 Perancangan IDS
Machine learning yang digunakan dalam penelitian ini menggunakan decision tree. Decision tree digunakan karena semakin sedikit kategori data maka semakin tinggi akurasi pada metode ini (Sahu dan Mehtre, 2015). Berdasarkan pengumpulan data sebelumnya, penelitian ini sesuai dengan metode ini karena jaringan IoT pada penelitian ini tidak memiliki banyak kategori trafik.
Survey pada sistem dilakukan untuk melakukan pengumpulan data. Survey meliputi proses penggalian trafik yang berjalan pada
middleware dengan aplikasi yang tepat. Proses
Data trafik serangan dibuat dengan melakukan pengiriman paket kepada
Data trafik normal didapatkan dengan cara merekam semua paket yang masuk dan keluar dari jaringan yang ingin dilindungi. Kemudian data tersebut akan disimpan ke dalam bentuk json. Adapun trafik yang didapatkan pada saat melakukan survey trafik pada penelitian ini adalah SSH, Redis, MQTT, CoAP, NTP, ICMP ICMP. Arp, Eapol, DNS, MDNS, IGMP, DHCP.
IPv6
IPv6 Mengirimkan 10000 trafik UDP Flood pada port 5683 dengan menggunakan
IPv4, UDP FLOOD
IPv4 Mengirimkan 10000 trafik UDP Flood pada port 5683 dengan menggunakan
UDP FLOOD
Flood IPv6 Mengirimkan 10000 trafik TCP SYN Flood pada port 1883 dengan menggunakan IPv6
Mengirimkan 10000 trafik TCP SYN Flood pada port 1883 dengan menggunakan IPv4 TCP SYN
Tabel 3. Skenario Trafik Serangan Trafik Serangan Skenario TCP SYN Flood IPv4
ini akan membantu untuk memperoleh informasi detail dari sebuah protokol. Proses ini juga merupakan salah satu dari proses untuk merancang komponen pendeteksi dari IDS (Denatious dan John, 2012).
middleware. Data yang dikirim dapat dilhat pada Tabel 2.
20 fitur 100%
4.3 Performa IDS Semua Fitur 100%
Hasil pengujian rata-rata waktu yang dibutuhkan untuk mengklasifikasi sebuah paket pada penelitian ini adalah 0,0351 detik.
Gambar 5.Output Weka
4.2 Akurasi IDS
Hasil rata-rata yang diperoleh untuk akurasi paket yang diterima adalah 73,52%. Semakin Gambar 6. Memory banyak paket yang diterima maka semakin tinggi akurasinya. Jumlah paket yang didapat dari IDS dibandingkan dengan tcpdump. Angka ini juga mempengaruhi kinerja mesin pendeteksi dan peringatan pada sistem ini. Hasilnya dapat dilihat pada Tabel 5. Hasil rata-rata untuk pengujian akurasi mesin pendeteksi adalah 100% dan dapat dilihat pada Tabel 6. Hasil rata- rata yang diperoleh untuk menguji akurasi alert adalah 18,05%. Tabel 7 menunjukkan ini.
Gambar 7. CPU
Hasil performa yang didapatkan pada
Tabel 5.Performa Pengambilan Paket IDS IDS
pengujian memory¸ rata-rata peningkatan memory sebesar 50MB. Hasil ini dapat dilihat
Kategori Rata-rata Akurasi NORMAL 96.73% pada Gambar 6. Hasil pengujian CPU dapat SYN FLOOD IPv4 68.02%
dilihat pada Gambar 7. Hasil pengujian ini
SYN FLOOD IPv6 68.26%
menunjukkan rata-rata peningkatan CPU
UDP FLOOD IPv4 64.86% sebesar 16%. UDP FLOOD IPv6 69.74% Rata-rata Total 73.52% 5.
KESIMPULAN Tabel 6.Performa Detection Engine IDS
Berdasarkan hasil pengujian, beberapa
Kategori Rata-rata Akurasi
kesimpulan dapat ditarik. Pembelajaran mesin
NORMAL 100%
dapat digunakan dalam IDS di perangkat IoT
SYN FLOOD IPv4 100% SYN FLOOD IPv6 100%
karena variasi paket pada perangkat IOT sedikit.
UDP FLOOD IPv4 100%
Selain itu, IDS dapat mengklasifikasikan paket
UDP FLOOD IPv6 100%
dengan rata-rata akurasi sebesar 100%. IDS yang
100% Rata-rata Total
dirancang dalam sistem ini tidak secara signifikan mengganggu proses aktivitas sistem ini. IDS ini hanya meningkatkan rata-rata penggunaan CPU sebesar 16% dan memory sebesar 50Mb. Sehingga IDS ini bisa digunakan
Tabel 7.Performa Alert IDS pada sistem ini.
Kategori Rata-rata Akurasi
Namun, karena kemampuan menangkap
SYN FLOOD IPv4 17.20%
paket hanya 73,52%, jumlah peringatan yang
SYN FLOOD IPv6 18.40%
didapat hanya 18,05%. Banyak paket DoS tidak
UDP FLOOD IPv4 19.70%
dapat diambil oleh IDS. Meskipun IDS ini
UDP FLOOD IPv6 16.90% Rata-rata Total 18.05% memiliki kekurangannya, IDS ini masih mampu
mendeteksi dan menangani serangan DoS sehingga IDS ini dapat digunakan sebagai solusi India, IEEE. untuk mengatasi DoS pada perangkat
Razzaque, M. A., Jevric, M. M. & Paladei, A., middleware IoT.
2016. Middleware for Internet of Things: A Survey. IEEE Internet of 6.
DAFTAR PUSTAKA Things Journal, 3(1), pp. 70-95.
Cho, E. J. & Choi, D., 2011. Distributed IDS for Denatious, D. K. & John, A., 2012. 2012 efficient resource management in
International Conference on Computer
wireless sensor network. Taipei, Taiwan
Communication and Informatics : , IEEE. Survey on Data Mining Techniques to Enhance Intrusion. Coimbatore, India,
Farizi, S. A., 2018. PENGEMBANGAN SISTEM IEEE.
DETEKSI KARBON MONOKSIDA BERBASIS IOT. Malang: PROGRAM
Gül, A. & Adalı, E., 2017. International STUDI TEKNIK
INFORMATIKA Conference on Computer Science and FAKULTAS
ILMU KOMPUTER
Engineering : A feature selection UNIVERSITAS BRAWIJAYA. algorithm for IDS. Antalya, Turkey , IEEE.
Kolias, C., Kambourakis, G., Stavrou, A. & Gritzalis, S., 2016. Intrusion Detection in 802.11 Networks: Empirical. IEEE
COMMUNICATION SURVEYS & TUTORIALS, 18(1), pp. 184-208.
Kasinathan, P., Pastrone, C., Spirito, M. A. & Vinkovits, M., 2013. Denial-of-Service
detection in 6LoWPAN based Internet of Things. Lyon, IEEE, pp. 600-607.
Sforzin, A., Conti, M., Mármol, F. . G. & Bohli, J.-M., 2016. RPiDS: Raspberry Pi IDS
A Fruitful Intrusion Detection System for IoT. Toulouse, IEEE.
Gupta, B. B. & Badve, O. P., 2017. Taxonomy of DoS and DDoS attacks and desirable defense mechanism in a Cloud computing environment. Neural
Computing and Applications, 28(12), pp. 3655-3682.
J., J. & Muthukumar, D. B., 2015. Intrusion Detection System (IDS): Anomaly Detection Using Outlier Detection Approach. Procedia Computer Science, Volume 48, pp. 338-346.
Pharate, A., Bhat, H., Shilimkar, V. & Mhetre, N., 2015. Classification of Intrusion Detection System. International Journal of Computer Applications, 118(7), pp.
23-26. Sahu, S. & Mehtre, B. M., 2015. International
Conference on Advances in Computing, Communications and Informatics (ICACCI) : Network intrusion detection system using J48 Decision Tree. Kochi,