Deteksi Anomaly pada Intrusion Detection System (IDS) dengan Backpropagation Termodifikasi

Muhammad Shiddiq Azis1, Adiwijaya2, BayuMunajat3

1_{Prodi S1 Teknik Informatika, Telkom Informatics School, Universitas Telkom}

1_{shiddiqitt@gmail.com ,} 2_{adiwijaya@telkomuniversity.ac.id,}3_{bayumunajat@gmail.com}

Abstrak

Keamanan merupakan salah satu aspek penting dari suatu sistem , semenjak perkembangan teknologi komputer baru lahir celah – celah keamanan sudah dimanfaatkan oleh orang yang tidak bertanggung jawab dan menyebabkan kerugian yang cukup besar.Intrusion Detection System (IDS) merupakan suatu sistem untuk mendeteksi serangan dalam suatu sistem atau jaringan.Pada penelitian ini akan dibahas supervisedanomaly detection pada Intrusion Detection System (IDS)dengan menggunakan metode jaringan saraf tiruan Backpropagation Termodifikasi untuk mendeteksi data normal dan anomaly.dataset KDD99 intrusion detection digunakan untuk menguji keampuhan dan performansi dari Backpropagation Termodifikasi.Masalah utama dalam backpropagation ialah membutuhkan waktu yang cukup lama untuk mencapai konvergensi.Oleh karena itu diusulkan Backpropagation termodifikasi menggunakan algoritma conjugate gradient fletcher reeves agar hasil deteksi anomali lebih cepat dan iterasi/epoch lebih sedikit dan akurasi yang dihasilkan lebih baik.

Kata Kunci : Backpropagation,Intrusion Detection System,Anomaly ,jaringan saraf tiruan,Conjugate Gradient Flethcer Reeves

5. Pendahuluan

Pada pengerjaan penelitian ini digunakan pendekatan supervised anomaly detection untuk Intrusion Detection System (IDS).Deteksi Anomali[1,3,7] mempunyai tugas untuk menemukan objek yang berbeda dari kebanyakan objek yang ada dan mengklasifikasikan data yang menyimpang dari aktivitas normal menjadi anomali.Untuk deteksi anomali dalam penelitian ini digunakan metode Jaringan Saraf Tiruan dengan Backpropagation yang termodifikasi.Backpropagation merupakan salah satu metode klasifikasi yang digunakan dalam proses Data mining. Backpropagation digunakan oleh jaringan saraf tiruan untuk proses learning.Pada fase learning jaringan saraf tiruan belajar untuk merubah weights agar bisa memprediksi label class yang tepat sesuai dengan data kelas.Backpropagation melibatkan proses data training yang panjang dan memutuhkan waktu yang lama[2].Agar mengurangi waktu dalam data training yang lama maka digunakan Backpropagation yang dimodifikasi pembobotannya menggunakan algoritma conjugate gradient fletcher reeves sehingga diharapkan bisa mendapatkan akurasi yang baik untuk tipe intrusi baru dengan waktu yang relatif lebih cepat.

17. Pelatihan Backpropagation menggunakan Conjugate Gradient Fletcher Reeves

Metode conjugate gradient (CG) merupakan algoritma pencarian yang arah pencariannya berdasarkan pada arah conjugasinya. Secara umum algoritma ini lebih cepat convergen daripada metode penurunan tercepat. CG menggunakan vector tidak nol yang orthogonal dan bebas linier. Dua vector di dan dj dikatakan orthogonal (G-conjugate) jika perkalian dalamnya bernilai nol, dapat ditulis sebagai berikut :

(1)

Sebelum masuk ke algoritma CG harus ditentukan dahulu fungsi objektif yang akan dioptimalisasi. Apabila algoritma CG digunakan sebagai algoritma pelatihan jaringan syaraf tiruan, maka tujuannya adalah meminimasi error yang bergantung pada bobot-bobot yang menghubungkan antar neuron. Oleh karena itu, fungsi objektif adalah fungsi error yaitu :

𝑤

∑ ∑ 𝑤 (2)

dimana : N = jumlah pola pada data training w = matriks bobot

tnj dan ynj(w) = data target dan output neuron untuk n pola.

Conjugate gradient merupakan metode untuk meminimasi fungsi turunan dengan menghitung pendekatan wk+1 secara iterative berdasarkan :

𝑤 𝑤 (3)

(4)

Algoritma conjugate gradient sebagai pelatihan jaringan syaraf tiruan adalah sebagai berikut : 1. Inisialisasi semua bobot dengan bilangan acak kecil

2. Jika kondisi penghentian belum terpenuhi, lakukan langkah 2 - 13

 Propagasi maju

3. Setiap unit masukan menerima sinyal dan meneruskannya ke unit tersembunyi di atasnya. 4. Hitung semua keluaran di unit tersembunyi zj (j = 1,2, … , p).

∑ (5)

(6)

5. Hitung semua keluaran di unit output yk (k = 1, 2, …, m).

𝑤 ∑ 𝑤 (7)

(8)

 Propagasi mundur

6. Hitung factor kesalahan di unit output berdasarkan perbedaan (error) nilai actual dan nilai prediksi (output dari unit output).

(9)

7. Hitung factor kesalahan di unit tersembunyi berdasarkan factor kesalahan pada unit di atasnya.

∑ 𝑤 (10)

(11)

8. Hitung gradient di unit output dari fungsi objektif yang sudah ditentukan.

∑ (12)

9. Hitung gradient di unit tersembunyi.

∑ (13)

10. Hitung parameter β untuk semua neuron di unit tersembunyi dan unit output. Untuk conjugate gradient polak ribiere persamaannya sebagai berikut.

₍₁₄₎

11. Hitung direction untuk semua neuron di unit tersembunyi dan unit output.

(15)

Untuk direction awal :

(16)

12. Hitung parameter α untuk semua neuron di unit tersembunyi dan unit output yang merupakan seberapa besar langkah yang diambil untuk setiap direction. Parameter ini dapat dicari dengan teknik line search.

 Perubahan bobot

13. Update bobot dilakukan dengan cara sebagai berikut :

𝑤 𝑤 (17)

Gambaran Umum Perangkat Lunak

Dalam penelitian ini akan dibangun suatu sistem yang berfungsi sebagai suatu model intrusion detection dengan menggunakan metode backpropagation termodifikasi menggunakan algoritma training conjugate gradient fletcher reevesyang akan diuji keakuratannya. Jaringan Saraf Tiruan diterapkan sebagai classifier pada anomaly detection. Analisa yang dilakukan adalah keakuratan machinelearning yang dibuat berdasarkan dataset, jumlah atribut, dan jumlah symbol terhadap testinng dataset KDD99. Jaringan Saraf Tiruan yang dibentuk dimaksudkan untuk mendeskripsikan kelas anomali dan kelas normal pada dataset testing dan dihitung performansinya.Berikut ini diagram sistem yang dibangun secara umum

GAMBAR 3.1 : FLOWCHART TAHAP PELATIHAN

GAMBAR 3.2 : FLOWCHARTPROSES KLASIFIKASI

Berdasarkan pada diagram alir pada gambar 3.1 dan 3,2 alur dari tahap proses klasifikasi dengan Backpropagation Termodifikasi adalah sebagai berikut :

1. Dataset KDD CUP 99 yang telah melewati proses preprosesing dan normalisasi kemudian akan dibagi dua menjadi data latih dan data uji. Dengan didapatkannya model jaringan hasil pelatihan maka bobot hasil pelatihan akan digunakan untuk menghitung nilai neuron di hiden layer dan output layer sehingga menghasilkan output untuk proses klasifikasi

2. Model klasifikasi yang baru telah di dapat dari perhitungan sebelumnya lalu dibagi – bagi berdasarkan nilai threshold yang bertujuan sebagai pengenalan kelas normal dan intrusi.

3. Pengenalan kelas normal dan intrusi telah dilakukan, alur terakhir adalah dengan menghitung kinerja performansi

4. Skenario Pengujian

Berdasarkan tujuan umum pengujian, skenario pengujian untuk mendapatkan performansi sistem dari penggunaan metode Jaringan Saraf Tiruan dengan menggunakan Backpropagation Termodifikasi dengan Algortima Training Conjugate Gradient Fletcher Reevesadalah

1. Skenario Pengujian 1

Pengujian terhadap pengaruh proporsi data normal atau intrusi dan parameter Jaringan Saraf Tiruan dengan 1 hiden layer seperti jumlah neuron pada hiden layer terhadap hasil klasifikasi. Data latih dan

data testing yang akan digunakan adalah data_10_percent_corrected ( KDDCUP 1999 10%), dimana terdapat 700 data normal dan 300 data intrusi dan data testing berasal dari data testing KDD CUP99 terdiri dari known and unknown attack yang belum pernah dilibatkan dalam proses training.Skenario 1 bertujuan untuk melatih intrusion detection system menggunakan jumlah data yang sedikit (1000 data)

Kombinasi parameter yang dilakukan pengujian sebagai berikut :

Jumlah Neuron Pada Hiden layer : 2,4,6,8,10,12,14,16,18,20,22,24,26, 28,29,30,34 dan 36. 2. Skenario Pengujian 2

Pegujian terhadap pengaruh proporsi data normal atau intrusi dan dan parameter Jaringan Saraf Tiruan dengan 1 hiden layer seperti jumlah neuron pada hiden layer terhadap hasil. Data latih dan data uji yang akan digunakan adalah data_10_percent_corrected ( KDDCUP 1999 10%), dimana terdapat 3003 data normal dan 14217 data intrusi dan data testing berasal dari data testing KDD CUP99 terdiri dari known dan unknown attack yang belum pernah dilibatkan dalam proses training.

Kombinasi parameter yang dilakukan pengujian sebagai berikut :

Jumlah Neuron Pada Hiden layer: 2,4,6,8,10,12,14,16,18,20,22,24,26, 28,29,30,34 dan 36

3. Skenario Pengujian 3

Konfigurasi terbaik yang di dapat dari skenario 1 dan skenario 2 digunakan untuk proses klasifikasi nomal dan 4 kelas intrusi.Ukuran performansi pelatihan yang digunakan adalah MSE dan pengujian adalah Akurasi dan Recall .

4.2 Hasil Pengujian dan Analisis

Berikut ini adalah MSE hasil pengujian terbaik dari ketiga scenario 1 dan 2, dimana ukuran performansi yang digunakan adalah MSE

- Skenario 1 :

2.93E-04 dengan jumlah neuron pada hiden layer = 20 - Skenario 2 :

0.0011 dengan jumlah neuron pada hiden layer = 28

GAMBAR 4.19 : PERFORMANSI TRAINING (DALAM MSE DAN JHNEURON )

Dilihat dari gambar 4.1 untuk jumlah neuron pada hiden layer 4 sampai dengan 8 menghasilkan nilai MSE yang masih tinggi dan kurang stabil.MSE mulai stabil pada jumlah neuron pada hiden layer 24 sampai dengan 34 untuk skenario 2 dan 12 sampai 18 untuk skenario 1.

Berikut ini adalah tabel hasil performansi terbaik maisng – maisng skenario sistem Anomaly Detection dengan backpropagation termodifikasi menggunakan algoritma training conjugate gradient termodifikasi.

TABEL 4.1 : PERBANDINGAN SKENARIO 1 DAN SKENARIO 2

Kelas Normal R2L DOS

0 0,01 0,02 0,03 4 8 12 16 20 24 28 32 36 M SE JHneuron Skenario 1 Skenario 2

1 73.24% 58531 38.20% 565 95.95% 44096 2 73.35% 58742 95.08% 1255 97.75% 43623

Kelas PRB U2R

Skenario Recall Jumlah Recall Jumlah 1 65.97% 2588 28.81% 17

2 73.49% 3806 13.71% 18

Dilihat dari seluruh hasil pengujian pada data test tabel di atas, hasil Recall sangat bervariasi. Belum bisa menunjukkan secara signifikan bagaimana paengaruh proporsi data normal dan intrusi. Hal ini dikarenakan proses preprocessing data atau pengambilan sampel memang tidak bisa secara acak. Karena jelas varian dari masing-masing feature sangat menentukan perhitungn beberapa peluang untuk menetukan model pada suatu jaringan saraf tiruan itu sendiri. Harus dipertimbangan juga proporsinya dengan benar karena akan mempengaruhi klasifikasi hingga perhitungan performansi.

Namun secara umum dapat diambil kesimpulan ketika proporsi data intrusi tinggi nilai Recall nya semakin tinggi, dan akan menurun ketika proporsinya juga sedikit.Recall juga menurun karena data normal yang dicurigai sebagai intrusi berjumlah sedikit disebabkan data intrusi yang memang terdeteksi sistem juga sedikit.Kemudiam Dapat dilihat dari hasil perbandingan kedua skenario bahwa proporsi sampel data skenario 2 lebih unggul dari segi hasil deteksi dan recallnya , oleh karena itu agar bisa mengetahui perbedaan hasil uji dengan backpropagation standar maka digunakanlah data uji dari skenario 2 sesuai dengan tabel dibawah.

TABLE 4.21: PERBANDINGAN HASIL PENGUJIAN BPNN DAN CGF

GAMBAR 4.2 : PROSES PENGUJIAN BP DAN CGFR (DALAM MSE)

Dari tabel diatas dapat diambil kesimpulan bahwa Intrusion Detection System dengan Backpropagation Termodifikasi mempunyai kemampuan lebih baik dibandingakan dengan Backpropagartion standar Hal ini dapat terjadi karena pada backpropagation standar update bobot hanya dipengruhi oleh faktor kesalahan dan nilai learning rate yang nilainya selalu tetap selama proses pelatihan. Sehingga pada saat jumlah epoch sudah mencapai 500 proses pelatihan masih belum menemukan bobot-bobot yang sesuai (belum konvergen). Sedangkan dengan algoritma CG, update bobot dipengaruhi oleh parameter α, β, dan direction yang akan mencari kemana arah pencarian dan seberapa besar lebar langkah yang diambil dalam mengupdate bobot. Sehingga dengan algoritma CG tersebut hanya diperlukan jumlah epoch yang kecil untuk mendapatkan nilai bobot-bobot yang sesuai.

5.Kesimpulan

Kelas

Skenario DR Jumlah Recall Jumlah Recall Jumlah

BPNIDS 12.84% 126 2.34% 6 38.63% 48821

CGF 73.35% 58742 95.08% 1255 97.75% 43623 Kelas

Skenario Recall Jumlah Recall Jumlah

BPNIDS 65.97% 2800 0.00% 0 CGF 73.49% 3806 13.71% 18 Normal R2L DOS PRB U2R 73,35% 95,08% 97,75% 73,49% 73,49% 12,84% 12,84% 38,63% 65,97% 0,00% 0,00% 20,00% 40,00% 60,00% 80,00% 100,00% 120,00% R ec al l Kelas

Perbandingan Peformansi

Testing

CGF BP

Berdasarkan implementasi dan pengujian yang telah dilakukan pada Penelitian ini maka diperoleh beberapa kesimpulan sebagai berikut:

1. Metode Backpropagation termodifikasidapat diterapkan untuk anomaly detection pada Intrusion Detection System untuk dengan recall tertinggi pada data normal sebanyak 73.35% (58742 dari 60593 berhasil dideteksi dengan benar ) dan dari kelas intrusi yang paling optimum ialah kelas DOS % dengan recall sebanyak 95.08% (43623 dari 50156 berhasil dideteksi dengan benar ).Hal ini sangat menjanjikan karena sistem keamanan terkini harus bisa terus beradaptasi dengan jenis serangan baru dan dibandingkan dengan Intrusion Detection System(IDS) berbasiskan backpropagation termodifikasi lebih unggul dari segi kecepatan learning dan akurasi.

2. Berbeda dengan backpropagation standar yang membutuhkan waktu yang relatif lebih lama untuk proses learning karena learning rate nilainya selalu sama maka backpropagation yang menggunakan algoritma training conjugate gradient fletcher revees akan lebih unggul. Faktor yang mempengaruhi backpropagationtermodifikasi ialah jumlah hiden neuron kemudian line search untuk mencari titik minimal optimum dengan memodifikasi nilai α, β dan direction Sehingga backpropagation dengan algoritma CG tersebut hanya diperlukan jumlah epoch yang kecil untuk mendapatkan nilai bobot-bobot yang sesuai.

3. Pengambilan sampel untuk proporsi data normal dan data intrusi pada data training mempengaruhi proses klasifikasi, semakin banyak proporsi data intrusi nilai Recall makin tinggi dikarenakan nilai recall berbanding lurus dengan True Positive masing – masing kelas yang berkaitan.

Saran

Saran yang bisa disampaikan untuk pengembangan berikutnya dalam Penelitian ini adalah:.

1. Diharapkan kedepannya dalam proses training dapat dikembangkan bantuan optimasi Algortima Genetika 2. Untuk jenis Intrusion Detection System itu sendiri alangkah lebih bagus jika mendeteksi misuse dan anomaly

secara bersamaan dala satu sistem yang sama.

3. Untuk penelitian selanjutnya coba dilakukan proses pendeteksian intrusi terhadap data log jaringan secara realtime.

Daftar Pustaka

[1]Anderson. J. P. “Computer Security Threat Monitoring and Surveillance.” Technical Report, James P Anderson Co., Fort Washington, Pennsylvania, 1980.

[2]Han, Jiawai, Micheline Kamber. 2001. Data mining : Concepts and Techniques. Simon Fraster University : Morgan Kaufman.

[3] Akbar, Shaik. Rao, K. Nageswara. Chandulal, J.A. 2010. “Intrusion Detection System Methodologies Based on Data Analysis”. International Journal of Computer Applications Volume 5.

[4]Kusumadewi,Sri,2003,”Artificial Intelegence” (Teknik dan Aplikasinya),Yogyakarta,Graha Ilmu.

[5] Shewchuk,Jonathan Richard,1994,”An Introduction to Conjugate Gradient Method Without the Agonizing Pain”,Piitsburg,School of Computer Science Carniege Mellon University

[6]Suyanto,2007,”Artifical Intelegence Searching,Reasoning,Planning,and Learning”,Bandung,Informatika [7]Baiju, Shah. 2001. “How to Choose Intrusion Detection Solution” SANS Institute Resources Wu, Tzeyoung Max. 2009. “Intrusion Detection Systems”. Information Assurance Tools Report, Sixth Edition.

[8]Chandola, Varun, dan Arindam Banjeree. 2009. “Anomaly Detection”. University of Minnesota.

[9] Adiwijaya, U.N. Wisesty, F. Nhita, Some Line Search Tech-niques on the Modified Backpropa-gation for Forecasting of Weather Data in Indonesia, Far East Journal of Mathematical Sciences 86:2 (2014), pp. 391 -396

[10] U.N. Wisesty, Adiwijaya, T. A. B. Wirayudha, Algoritma Conjugate Gradient Polak Ribiere untuk Peningkatan Performansi Backproagation pada Sistem Prediksi Temperatur Udara, Jurnal Penelitian dan Pengembangan Telekomunikasi 15:2 (2010)

[12] O.A. Marlita, Adiwijaya, A.P. Kurniati, Anomaly Detection pada Intrusion Detection System (IDS) Menggunakan Metode Bayesian Network, Jurnal Penelitian dan Pengembangan Telekomunikasi 17:1 (2012), pp. 53-61

[13] Shah , Bhavin. Trivedi , Bhusan.2012,"Artificial Neural Network based Intrusion Detection System : A Survey" .International Journal of Computer Applications (0975-8887) Volume 39-No.6 Februari 2012

[14] Wang , Gang. Hao, Jinxing , Ma , Jian. Huang , Lihua.2010,"a new approach to intrusion detetction using Artifical Neural Networks and fuzzy clustering ".Expert System with Application An International Journal [15] KDD 1999 DARPA 1998 Intrusion Detection Dataset

http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.

[16] Adiwijaya, “Aplikasi Matriks dan Ruang Vektor”. Graha Ilmu, 2014

[17] N., Nastaiinullah, Adiwijaya, A. P. Kurniati, 2014, Anomaly Detection on Intrusion Detection System Using Clique Partitioning, 2nd International Conference on Information and Communication Technology (ICoICT) 2014

[18] Adiwijaya, T.A.B. Wirayuda, U.N. Wisesty, Z.K.A. Baizal, U. Haryoko, An improvement of Backpropagation Performance by Using Conjugate Gradient on Forecasting of Air Temperature and Humidity in Indonesia, the Far East Journal of Mathematical Sciences , Special Volume 2013 no.1, pp. 57-67