identifikasi botnets melalui pemantauan group...
TRANSCRIPT
![Page 1: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/1.jpg)
Septian Geges5109100179
IDENTIFIKASI BOTNETS MELALUI
PEMANTAUAN GROUP ACTIVITIES PADA
DNS TRAFFIC
Your Logo
![Page 2: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/2.jpg)
Pengenalan BotnetAgenda
Your Logo
Latar Belakang dan Permasalahan
Botnet lebih dalam: Agobot
Bot dan botnet
Mekanisme serangan botnet
Penyebaran Agobot dan manajemen Agobot6
5
4
3
2
1
Penyebaran botnet dan manajemen botnet
4
![Page 3: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/3.jpg)
• Kejahatan melalui dunia maya/cybercrime semakin marak dengan motif yang semakinberaneka ragam.
• Salah satu “tools” dalam menjalankan aksinyaadalah dengan menggunakan bot dan botnet.
• Belum ada metode deteksi bot dan botnet yang mampu mendeteksi dengan cepat dan efisien
Mengapa topik ini diangkat?Latar Belakang
![Page 4: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/4.jpg)
“Rata-rata dari 800.000 hingga 900.000 komputer personal pada suatu waktu adalahzombies dan sudah terpasang bot dengantipe tertentu”
Alfred Hungarpenyelidikan yang dilaksanakan oleh CSI/FBI
Mengapa topik ini diangkat?Latar Belakang
![Page 5: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/5.jpg)
“Rata-rata jumlah bot bertambah lima belaskali lipat selama separuh waktu tahun 2004”
D. TurnerSymantec Internet Security Threat Report Trends for January 1, 2004 – June 30, 2004
Mengapa topik ini diangkat?Latar Belakang
![Page 6: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/6.jpg)
“Pada tahun 2004, di dalam enam bulanpertama saja DDoS sudah mengakibatkankerugian lebih dari 26 juta dolar, jumlah inimenempatkan DDoS ke peringkat keduadari kerugian yang disebabkan olehpenyebaran virus komputer”
L. GarberSymantec Internet Security Threat Report Trends for January 1, 2004 – June 30, 2004
Mengapa topik ini diangkat?Latar Belakang
![Page 7: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/7.jpg)
• Bagaimana melakukan deteksi botnet dengan memantau aktivitas kelompokbotnet pada DNS traffic?
Mengapa topik ini diangkat?Permasalahan
![Page 8: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/8.jpg)
• Kode program kecil yang dirancang untukmelakukan fungsinya secara otomatis.– Penggunaan yang baik: indexing/spidering
website– Penggunaan yang buruk: digunakan sebagai
backdoor untuk mendapatkan akses ilegal kecomputer korban
Bot dan botnetDefinisi bot
![Page 9: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/9.jpg)
• Kumpulan dari sejumlah bot yang tergabung dalam jaringan (Jaringan bot).
• Botnet memudahkan koordinasi antar bot.
Bot dan botnetDefinisi botnet
![Page 10: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/10.jpg)
Bot dan botnetGambaran bot dan botnet
………………
BOT
BOT
BOT
BOT
Server IRC Penyerang
KorbanInang
Channel Pribadi Penyerang Botnet
![Page 11: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/11.jpg)
• Serangan Distributed Denial of Service• Secondary local infection• Penjualan bandwidth• Backdoor• “menitipkan” data illegal.
Bot dan botnetPenyalahgunaan bot dan botnet
![Page 12: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/12.jpg)
“dalam enam bulan pertama pada tahun2004, varian dari Gaobot menyumbang tidakkurang dari 67.000 sampel pengujian yang diterima oleh Symantec”
Symantec Internet Security Threat, 2004
Bot dan botnetAnalisa bot: Agobot, varian dari Gaobot
![Page 13: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/13.jpg)
• Agobot berupa Trojan creation kit, yang memungkinkan pengembangan Trojan buatan berdasarkan kebutuhan spesifikpengguna.
• Penyerang dapat memodifikasi sifat botnet dari jarak jauh.
Bot dan botnetAnalisa bot: Agobot, varian dari Gaobot
![Page 14: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/14.jpg)
• Setiap komputer yang terinfeksi oleh Agobotakan menghubungkan diri ke channel IRC spesifik yang didefinisikan pada botconfiguration file. – Ketika koneksi gagal, bot akan memasuki mode sleep
selama 30 detik untuk kemudian menghubungichannel IRC lain yang tersedia pada bot configuration file.
• Hierarchical botnet
Analisa bot: AgobotBotnet Agobot
![Page 15: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/15.jpg)
• Ketika koneksi dengan server sudah terhubung, makabot memasuki tahap infinite loop, menunggu perintahdari pusat komando.
• Komando ini berupa teks dengan format penulisantertentu yang dipisahkan dengan tanda “.” contohnya: “.bot.uptime”
• Tiap perintah akan diproses oleh command parser yang terdapat pada bot untuk kemudian diteruskan kecommand handler sesuai dengan kategorinya.
Analisa bot: AgobotAksekusi Perintah Agobot
![Page 16: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/16.jpg)
Sistem Deteksi BotnetAgenda
Sifat botnet: Group Activity
Tahap 1: Seleksi Atribut Penting
Tahap 3: Uji Similaritas Domain
Gambaran Umum Sistem Deteksi
Tahap 2: Reduksi Dataset
5
4
3
2
1
![Page 17: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/17.jpg)
• host yang terinfeksi secara otomatis akanmengakses server C&C dengan nama domainnya
• Pada saat ini query DNS RR (resource
record) digunakan.
Sistem deteksi botnetKarakteristik botnet: group activity
![Page 18: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/18.jpg)
• Lima kasus berikut ini menunjukkan situasidi mana query DNS digunakan dalam botnet. – Pada prosedur penyebaran– Pada fase serangan botnet– Pada kegagalan koneksi server C&C– Pada proses migrasi server C&C– Pada saat perubahan alamat IP server C&C
Sistem deteksi botnetKarakteristik botnet: group activity
![Page 19: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/19.jpg)
Alamat IP yang
mengakses
domain name
Pola aktivitas
dan kemunculan
Tipe DNS
DNS Botnet Jumlah tetap
dalam grup
(anggota botnet)
Group activity
muncul sesekali
(dalam situasi
spesifik)
Biasanya DDNS
DNS Normal Anonim, acak
(pengguna yang
sah)
Non-group
activity, random,
kemunculan
secara rutin
Biasanya DNS
Sistem deteksi botnetPerbedaan DNS Normal dan DNS Botnet
![Page 20: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/20.jpg)
Seleksi atributpenting
• Input: DNS Traffic saatwaktu t
• Output: domain name danalamat IP unik
Reduksidataset
• Input: domain name dan alamatIP unik
• Output: domain name danalamat IP unik tereduksi
Ceksimilaritas
domain name
• Input: domain name danalamat IP unik tereduksi
• Output: domain name dan whitelist
Sistem deteksi botnetGambaran umum system deteksi botnet
![Page 21: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/21.jpg)
Sistem deteksi botnetGambaran umum system deteksi botnet
Traffic DNS saat t
Traffic DNS saat t+1
Tahap Seleksi Atribut Penting
Atribut Penting Traffic DNS saat t
Atribut Penting Traffic DNS saat
t+1
1
5
2
6
Tahap Reduksi Dataset
3
7
Daftar domain name dan ip unik
yang mengaksesnya
pada saat t
Daftar domain name dan ip unik
yang mengaksesnya pada saat t+1
8
4
Tahap cek Similaritas domain
name
9
9
Daftar domain name C&C Botnet
Daftar whitelist domain name
10
10
![Page 22: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/22.jpg)
Sistem deteksi botnetTahap seleksi atribut penting
![Page 23: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/23.jpg)
Sistem deteksi botnetTahap seleksi atribut penting
Mulai
Domain Name Baru dan alamat
IP yang mengaksesnya
Apakah Domain Name ada dalam
Daftar
Masukkan Domain Name baru ke dalam
daftar domain
Buat list Alamat IP yang mengakses domain baru
Masukkan Alamat IP yang mengakses
Selesai
Tambahkan Alamat IP yang mengakses domain name
tersebut ke dalam listTidak
Ya
• Pada tahap ini dilakukan pemilahandan pengelompokan domain name danalamat IP unik yang mengakses domain tersebut
![Page 24: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/24.jpg)
Sistem deteksi botnetTahap Reduksi dataset
Mulai
Data Domain Name beserta Alamat IP unik
yang mengaksesnya DAN daftar Wihitelist
Apakah Domain Name Terdapat dalam Whitelist
ATAUApakah jumlah Alamat IP yang
mengaksesnya < Threshold
Selesai
Hapus Domain Name dan Alamat IP yang
mengaksesnya dari dataset
Tidak
Ya
• Pada tahap ini dilakukanpengurangan dataset apabiladomain name tersebut sudah adapada whitelist ataupun kurang darithreshold reduksi
![Page 25: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/25.jpg)
Sistem deteksi botnetTahap cek similaritas domain name
• Pada tahap iniakan dilakukancek similaritasdomain name beserta tindaklanjutnya
![Page 26: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/26.jpg)
Pengujian Metode DeteksiAgenda
Pengujian Fungsionalitas
Pengujian Performa2
1
![Page 27: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/27.jpg)
• Pengujian ini bertujuan untuk menguji kinerja sistemdeteksi botnet yang telah dibuat, apakah sudah dapatmenjalankan fungsinya dengan baik.
• Fungsi yang akan diuji antara lain: fungsi seleksi elemenpenting dari traffic jaringan, fungsi reduksi dataset, danfungsi cek similaritas.
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
![Page 28: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/28.jpg)
• Fungsi seleksi elemen penting dari trafficDNS jaringan.
• Input:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
![Page 29: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/29.jpg)
• Running
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
![Page 30: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/30.jpg)
• Output Lengkap
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
[105.0.3.6.0.rst15.r.skype.net, [10.151.43.173]],
[crl.microsoft.com, [10.151.43.174, 10.151.43.179]],
[supertracker.flashget.com, [10.151.43.178]],
[proxy.its.ac.id, [10.151.43.172]],
[router.flashget.com, [10.151.43.176, 10.151.43.175]],
[router.utorrent.com, [10.151.43.177]],
[drive.google.com, [10.151.43.175]],
[host1.dns.id, [10.151.43.173]],
[books.google.com, [10.151.43.174]],
[corestat.flashget.com, [10.151.43.178]],
[ssl.gstatic.com, [10.151.43.179]],
[dns.msftncsi.com, [10.151.43.172]],
[www.google.com, [10.151.43.176]],
[apis.google.com, [10.151.43.177]],
[lh3.googleusercontent.com, [10.151.43.175]],
[talk.google.com, [10.151.43.173]],
[fbcdn-profile-a.akamaihd.net, [10.151.43.174]],
[fbexternal-a.akamaihd.net, [10.151.43.178]],
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173,
10.151.43.174, 10.151.43.175, 10.151.43.176, 10.151.43.177,
10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185,
10.151.43.186, 10.151.43.187, 10.151.43.188, 10.151.43.189,
10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197,
10.151.43.198, 10.151.43.199, 10.151.43.200]]
![Page 31: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/31.jpg)
• Fungsi Reduksi dataset.• Input:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175, 10.151.43.176, 10.151.43.177, 10.151.43.178,
10.151.43.179, 10.151.43.180, 10.151.43.181, 10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186,
10.151.43.187, 10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193, 10.151.43.194,
10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199, 10.151.43.200]]
![Page 32: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/32.jpg)
• PerbandinganOutput:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
Sebelum ada whitelist[[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]],
[cc.wl.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]]
sesudah ada whitelist[[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]]
![Page 33: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/33.jpg)
• Penambahan whitelist
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
![Page 34: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/34.jpg)
• Fungsi cek similaritas domain name.• Input:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173,
10.151.43.174, 10.151.43.175, 10.151.43.176,
10.151.43.177, 10.151.43.178, 10.151.43.179,
10.151.43.180, 10.151.43.181, 10.151.43.182,
10.151.43.183, 10.151.43.184, 10.151.43.185,
10.151.43.186, 10.151.43.187, 10.151.43.188,
10.151.43.189, 10.151.43.190, 10.151.43.191,
10.151.43.192, 10.151.43.193, 10.151.43.194,
10.151.43.195, 10.151.43.196, 10.151.43.197,
10.151.43.198, 10.151.43.199, 10.151.43.200]]
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173,
10.151.43.174, 10.151.43.175, 10.151.43.176,
10.151.43.177, 10.151.43.178, 10.151.43.179,
10.151.43.180, 10.151.43.181, 10.151.43.182,
10.151.43.183, 10.151.43.184, 10.151.43.185,
10.151.43.186, 10.151.43.187, 10.151.43.188,
10.151.43.189, 10.151.43.190, 10.151.43.191,
10.151.43.192, 10.151.43.193, 10.151.43.194,
10.151.43.195, 10.151.43.196, 10.151.43.197,
10.151.43.198, 10.151.43.199, 10.151.43.200]]
T T+1
![Page 35: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/35.jpg)
• Proses:
• Output:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
![Page 36: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/36.jpg)
• Pengujian dengan kondisi ideal dengan nilai threshold 1 sampai 0.1– Jumlah traffic botnet pada data t sama dengan t+1– 10 kali percobaan
• Pengujian dengan kondisi tidak ideal dengan nilaithreshold 0.8 sampai 0.4– Jumlah traffic botnet pada data t tidak sama dengan t+1– Ketidaksamaan ini diakibatkan karena botnet belum selesai
berpindah ketika interval waktu t selesai.– 6 kali percobaan
Pengujian metode deteksi botnetPengujian performa sistem (Sensitifitas dan Presisi)
![Page 37: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/37.jpg)
• Pengujian waktu deteksi botnet– Tanpa menggunakan whitelist– Menggunakan whitelist
• Masing-masing kondisi diatas diuji dengan dua buahkepadatan data yang berbeda dalam satu log traffic DNS
Pengujian metode deteksi botnetPengujian performa sistem (Sensitifitas dan Presisi)
![Page 38: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/38.jpg)
Dari table ext1 dan ext 3 bisa didapatkan hasil rata-rata kesalahan deteksi botnet
Pengujian metode deteksi botnetPengujian performa sistem pada kondisi ideal
Jumlah/kepadatandata
Threshold Similaritas1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1
Kurang lebih 500 baris DNS Traffic
0 0 0 0 0 0 0 0.5 1.2 10.5
Kurang lebih 1000 baris DNS Traffic
0 0 0 0 0 0 0 0.2 3.5 17.5
![Page 39: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/39.jpg)
Pengujian metode deteksi botnetPengujian performa sistem pada kondisi ideal
0
5
10
15
20
1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1
Jum
lah
Do
mai
n N
ame
Terd
etek
si
Nilai Threshold Similaritas
Rata-Rata Jumlah Kesalahan Deteksi Domain Name pada Nilai Threshold Similaritas Tertentu
Kurang lebih 500 baris DNS Traffic Kurang lebih 1000 baris DNS Traffic
![Page 40: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/40.jpg)
Ilustrasi Kondisi Tidak Ideal
Waktu
Waktu t Waktu t+1
[cc.bot.net, [10.151.43.171, 10.151.43.172,
10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178,
10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184,
10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190,
10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196,
10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]
[cc.bot.net, [10.151.43.195, 10.151.43.196,
10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200 10.151.43.171, 10.151.43.172,
10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178,
10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184,
10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190,
10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196,
10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]
![Page 41: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/41.jpg)
Pengujian metode deteksi botnetPengujian performa sistem pada kondisi tidak ideal
Botnet yang bergerak(%)
Threshold similaritas
0.4 0.5 0.6 0.7 0.8
15 2 2 2 2 2
30 2 2 2 2 2
45 2 2 2 2 1
60 2 2 2 1 1
75 2 2 2 1 1
90 2 2 1 1 1
![Page 42: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/42.jpg)
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
50
100
150
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Waktu Proses Pemilihan Atribut Penting
Tidak Menggunakan Whitelist Menggunakan Whitelist
![Page 43: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/43.jpg)
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
20
40
60
80
100
120
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Waktu Proses Reduksi Dataset
Tidak Menggunakan Whitelist Menggunakan Whitelist
![Page 44: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/44.jpg)
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
200
400
600
800
1000
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Proses Cek Similaritas Domain
Tidak Menggunakan Whitelist Menggunakan Whitelist
![Page 45: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/45.jpg)
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
200
400
600
800
1000
1200
1400
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Waktu Total Deteksi Botnet
Tidak Menggunakan Whitelist Menggunakan Whitelist
![Page 46: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/46.jpg)
• Dari tabel 5.1 dan 5.3, dapat dilihat bahwa sistem mulaitidak mampu mendeteksi botnet dengan akurat ketikanilai threshold similaritas bernilai 0.3 ke bawah (0.2, 0.1 dan seterusnya).
• Dari hasil percobaan, rata-rata nilai similaritas daridomain name normal adalah 0.2, kebanyakan domain name normal memiliki nilai similaritas dibawah 0.1.
• Pengaruh jumlah data pada percobaan yang ditunjukkanoleh table 5.1 dan 5.3 tidak memberikan perbedaanyang signifikan pada deteksi domain name botnet.
KesimpulanDari Pengujian Kondisi Normal
![Page 47: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/47.jpg)
• Pada tabel 5.5 dapat terlihat bahwa kondisi botnet yang belum bergerak sepenuhnya ketika waktu t sudahberlalu akan mempengaruhi ketepatan deteksi botnet oleh sistem. Selain kondisi perpindahan botnet, nilaithreshold similaritas juga berpengaruh.
• Pengaruh jumlah data pada percobaan yang dapatterlihat pada table 5.5 tidak memberikan perbedaanyang signifikan pada deteksi domain name botnet.
KesimpulanDari Pengujian kondisi tidak Normal
![Page 48: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/48.jpg)
• Pada tabel 5.7 dan tabel 5.8 dapat terlihat bahwa sistemyang menggunakan whitelist memiliki performa waktuyang lebih baik dibandingkan sistem yang tidakmenggunakan whitelist.
• Hal ini disebabkan karena sistem tidak perlu melakukanpengecekan tingkat similaritas domain name yang sudahmasuk ke dalam whitelist.
KesimpulanDari Pengujian waktu deteksi
![Page 49: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/49.jpg)
Sistem dapat menyeleksi data penting dalam queryDNS, mereduksi dataset yang akan diperiksa similaritasdomain name-nya, dan mengenali botnet yang terdapatdalam jaringan melalui group activity botnet tersebut.
Sistem deteksi botnet memiliki tingkat sensitivitas/recalldan presisi yang tinggi yaitu diatas 70% dan performayang baik dalam hal waktu, akan lebih baik lagi denganpenggunaan fitur whitelist.
KesimpulanPenelitian Secara Keseluruhan
![Page 50: IDENTIFIKASI BOTNETS MELALUI PEMANTAUAN GROUP …digilib.its.ac.id/public/ITS-paper-30350-5109100179-Presentation.pdf · septian geges 5109100179 identifikasi botnets melalui pemantauan](https://reader030.vdocuments.site/reader030/viewer/2022040417/5d5991cf88c9932c758bbf5e/html5/thumbnails/50.jpg)
Terima Kasih