Klasifikasi Alert pada Intrusion Detection System Menggunakan
Algoritma K-Means
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
Frando Christo Wulur (672010195)
Dr. Irwan Sembiring, ST., M. Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Oktober 2015
i
Klasifikasi Alert pada Intrusion Detection System Menggunakan
Algoritma K-Means
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
Frando Christo Wulur (672010195)
Dr. Irwan Sembiring, S.T., M.Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Oktober 2015
Klasifikasi Alert pada Intrusion Detection System Menggunakan
Algoritma K-Means
1) Frando Christo Wulur, 2) Irwan Sembiring
Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Jl. DIPonegoro 52-60, Salatiga 50771, Indonesia Email: 1) Frandochristo@gmail.com, 2) irwan@staff.uksw.edu
Abstract
Network security is an important thing to note, as many of the kinds of computer attacks. Intrusion detection system had a big role in securing the network, ids is a device that had the capability to detect local network attack and network that connected to the internet. IDS can be used as tools to detect attacks. In terms to classify attacks using data mining, the proceedings used is clustering analysis. The algorithms that used in perform the process clustering is algorithm k-means. K-means is one method data clustering non-hierarchical who can categorize where data based on the resemblance of the data. The purpose of this research is to classify the attack on a system IDS. The conclusion of this research is to be able to classify the attack on a system using K-Means IDS.
Keywords: Intrusion Detection Systems, Classification, Algorithms K-Means. Abstrak
Keamanan jaringan merupakan hal yang penting untuk diperhatikan, mengingat banyaknya jenis-jenis serangan komputer. Intrusion Detection System mempunyai peranan besar dalam mengamankan jaringan. IDS merupakan perangkat yang mempunyai kemampuan untuk mendeteksi serangan jaringan lokal maupun jaringan yang terhubung ke internet. IDS dapat digunakan sebagai tools untuk mendeteksi serangan. Dalam hal untuk mengklasifikasikan serangan menggunakan metode data mining dimana proses yang digunakan adalah clustering analysis. Algoritma yang digunakan dalam melakukan proses clustering adalah algoritma K-Means. K-Means merupakan salah satu metode data non-hierarchical clustering yang dimana dapat mengelompokkan data berdasarkan kemiripan dari data. Tujuan dari penelitian ini adalah dapat mengklasifikasikan serangan pada sistem IDS. Kesimpulan dari penelitian ini adalah dapat mengklasifikasikan serangan pada sistem IDS menggunakan K-Means.
Kata Kunci: Intrusion Detection System, Algoritma K-Means, Klasifikasi. __________________________________________________________________
1) Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, UniversitasKristen Satya Wacana.
1 1. Pendahuluan
Pada era digital saat ini, tidak bisa dibayangkan dunia tanpa komunikasi. Manusia memiliki kepentingan untuk bertukar informasi untuk berbagai tujuan. Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman dan serangan yang dilakukan pada keamanan jaringan. Ancaman keamanan jaringan dikategorikan dalam dua jenis yaitu: leakage (kebocoran) dan vandalism (pengerusakan), adalah jenis ancaman yang merusak kondisi normal suatu jaringan, sehingga mengakibatkan malfunction.
Intrusion Detection System (IDS) mempunyai peranan besar dalam mengamankan jaringan, IDS merupakan perangkat yang mempunyai kemampuan untuk mendeteksi serangan pada jaringan lokal maupun jaringan yang terhubung ke internet. Masalah muncul ketika banyaknya serangan yang masuk dan IDS tidak dapat menanganinya, masalah tersebut mengakibatkan data overload dan untuk menanganinya yaitu dengan mengumpulkan semua informasi dalam logfile yang berjumlah besar dan menganalisisnya. Namun, IDS sulit untuk menganalisis karena jumlah data yang akan dianalisis sangat besar dalam hal klasifikasi serangan dalam IDS.
Pada penelitian ini digunakan metode data mining dimana proses yang digunakan adalah clustering analysis [1]. Algoritma yang digunakan dalam melakukan proses clustering adalah algoritma K-Means. Algoritma K-Means merupakan salah satu metode data non-hierarchical clustering dimana dapat mengelompokkan data ke dalam beberapa cluster berdasarkan kemiripan dari data tersebut. Tujuan dan manfaat dari penelitian ini adalah dapat mengklasifikasikan serangan, Manfaatnya adalah membantu administrator dalam memeriksa data yang luas terhadap serangan pada sistem IDS. Batasan masalah dari penelitian ini adalah menggunakan sistem IDS untuk mengambil data serangan dan dihitung menggunakan algoritma K-Means.
Dari pembahasan permasalahan diatas, maka dalam penelitian ini memilih judul “Klasifikasi alert pada Intrusion Detection System (IDS) Menggunakan Algoritma K-Means”.
2. Tinjauan Pustaka
Penelitian sebelumnya yang berjudul “Implementasi Adaptive Bandwith Limiter pada Aplikasi Network Traffic Monitoring dengan Metode Based Detection System” [2], membahas mengenai tools yang dibuat dapat membantu administrator dalam memantau jaringan komputer untuk mengetahui kondisi jaringan dengan menggunakan Network Based Intrusion Detection System. Perbedaannya adalah dalam penelitian tersebut IDS digunakan untuk monitoring jaringan, sedangkan dalam penelitian ini IDS digunakan hanya untuk mengambil data serangan guna mengukur tingkat akurasi. Penelitian yang menggunakan metode network based intrusion detection system tersebut selanjutnya digunakan sebagai acuan dalam penelitian ini.
Penelitian selanjutnya berjudul “Research of K-Means Algoritm based on Information Entropy in Anomaly Detection” [3], dimana penelitian tersebut menggunakan algoritma K-Means unsupervised berdasarkan informasi entropi untuk membentuk dan mendeteksi aktifitas anomali. Tujuannya dalam penelitian ini adalah untuk meningkatkan detection rate dan menurunkan false alarm rate.
2
Penelitian tersebut menggunakan KDD CUP 1999 berdasarkan set data untuk menguji penampilan algoritma KMIE. Pada penelitian ini hanya berfokus dalam mengukur tingkat akurasi/detection rate serangan pada sistem IDS sehingga penelitian tersebut digunakan sebagai acuan dalam penelitan ini.
Penelitian selanjutnya berjudul "A K-Means and Naive Bayes learning approach for better intrusion detection" [4], membahas tentang implementasi sebuah IDS dengan dua pendekatan pembelajaran, yaitu K-Means dan Naive Bayes (KMNB). K-Means digunakan untuk mengidentifikasi kelompok sample data yang memiliki perilaku yang mirip dan tidak mirip. Naive Bayes digunakan pada tahap kedua untuk mengklasifikasikan semua data ke dalam kategori yang tepat. Hasil penelitian menunjukkan bahwa K-Means clustering and Naïve Bayes Classifier (KMNB) secara signifikan meningkatkan akurasi deteksi. Perbedaan dalam penelitian ini adalah algoritma K-Means digunakan dalam mengukur tingkat akurasi atau detection rate pada sistem IDS, dimana data serangan tersebut diambil berdasarkan empat kategori serangan.
Berdasarkan penelitian terdahulu yang berkaitan dengan Intrusion Detection System (IDS) dan Algoritma K-Means, maka penelitian ini melakukan pengembangan yang membahas mengenai bagaimana mengklasifikasikan serangan pada intrusion detection system menggunakan K-Means dalam menganalisa data.
3. Metode dan Perancangan Sistem
Metode yang digunakan dalam klasifikasi serangan terdiri dari lima tahapan yaitu, (1) Analisa kebutuhan dan pengumpulan data, (2) Perancangan sistem, (3) Implementasi sistem, (4) Pengujian dan hasil penelitian, (5) Penulisan laporan.
Gambar 1Tahapan Penelitian [5]
Tahapan penelitian pada Gambar 1 dapat dijelaskan sebagai berikut. Tahap pertama : Pada tahap analisa kebutuhan dan pengumpulan data dilakukan pengumpulan data berupa literatur yang berkaitan dengan keamanan jaringan dan algoritma K-Means. Tahap kedua : Pada tahap perancangan sitem dilakukan dengan cara melakukan proses clustering atau pengelompokan data serangan IDS dan menghitung kedekatan antara objek dengan titik centroid dengan menggunakan fungsi jarak Euclidean distance. Tahap ketiga : Pada tahap ini dilakukan pengimplementasian Algoritma K-Means dengan cara melakukan cluster/pengelompokan data serangan IDS untuk menentukan nilai K/jumlah
3
cluster dan titik centroid dalam klasifikasikan serangan terhadap IDS. Tahap keempat : Pada tahap ini dilakukan pengujian algoritma K-Means dalam mengklasifikasikan serangan terhadap IDS. Tahap kelima : Pada tahap ini akan memaparkan seluruh hasil penelitian yang sudah dilakukan, dan akan ditulis pada laporan penelitian.
Pada Tahap analisis kebutuhan dilakukan untuk mengumpulkan data dengan cara mengumpulkan artikel yang berkaitan dengan keamanan jaringan dan algoritma K-Means. Pada tahap mengimplementasikan system ini, dibutuhkan beberapa perangkat yang terhubung dalam satu jaringan lokal dan terintegrasi dengan internet. Adapun perangkat keras dan lunak yang dipakai dalam membangun sistem terdapat pada Tabel 1.
Tabel 1 kebutuhan sistem
Komponen Fungsi Spesifikasi
1 PC Sebagai IDS server - CPU Dual C ore - Ram 1GHz - 1 Lan Port
- Hardisk 160 Gbyte 1 laptop Sebagai network
administrator
Kabel UTP Penghubung antara router dan router, router dengan client
- CAT 5 - TJ45 Ubuntu server
12.04
Ssstem operasi pada IDS server
MYSQL Database
Matlab Sebagai tools dalam menentukan titik-titik data serangan dan titik centroid yang dipakai dalam algoritma K-means
Pada tahap perancangan sistem yang dilakukan adalah dengan cara memperhatikan cara kerja NIDS, alur kerja diagram penelitian serta cara kerja algoritma K-Means yang digunakan sebagai metode dalam mengklasifikasikan serangan pada IDS. Adapun tahapan-tahapan perancangan yang dilakukan dalam penelitian ini yang digambarkan pada alur diagram kerja seperti pada Gambar 2 dibawah ini:
4
Gambar 2 Alur Diagram Cara Kerja NIDS [6]
Gambar 2 menunjukan alur diagram cara kerja Network Instrusion Detection system (NIDS). Dimulai dari paket data yang memasuki interfaces jaringan yang sudah dikonfigurasi dalam snort. Paket data tersebut dicocokan dengan signature yang ada dalam database snort. Kemudian apabila paket data tersebut merupakan sebuah instrusi akan disimpan ke database, jika bukan paket data akan diteruskan. Paket data instusi yang disimpan ke database akan diolah dan dianalisa oleh BASE. BASE merupakan aplikasi berbasis GUI yang dapat menganalisa data snort. BASE mencari dan memproses kegiatan mencurigakan yang tersimpan dalam database berdasarkan tools untuk memonitoring jaringan, hasil yang ditampilkan akan menjadi acuan administrator dalam mengambil tindakan.
Adapun gambaran umum dari cara kerja penelitian yang digambarkan dalam alur diagram dalam mengukur tingkat akurasi serangan pada IDS, yang digambarkan pada Gambar 3 seperti dibawah ini:
5
Pada Gambar 3 menunjukan diagram alur kerja yang dilakukan dalam penelitian ini, dimulai dari pengambilan data pada BASE IDS yang diambil berdasarkan emapat kategori serangan, yaitu web attack application, trojan activity, attempted dos dan shellcode detect. Pada tahap selanjutnya akan dikelompokan berdasarkan parameter yang telah dibuat dalam penelitian ini, dimana parameter tersebut adalah IP yang sering kali masuk akan diberikan nilai dan setelah mendapatkan nilai dari parameter tersebut maka akan dicari posisi atau titik data menggunakan aplikasi matlab sebagai tools untuk mendapatkan titik-titik data serangan dan juga titik centroid yang diambil pada BASE IDS berdasarkan kategori serangan, dan setelah mendapatkan posisi atau titik data serangan dan titik centroid dari data serangan tersebut maka tahap selanjutnya adalah menghitung jarak dari tiap posisi data ke titik centroid dengan menggunakan fungsi jarak, yaitu euclidean distance. Jika tahap perhitungan jarak menggunakan fungsi jarak euclidean distance sudah selesai, maka akan dihitung nilai rata-rata dari setiap titik data tersebut, guna mendapatkan hasil klasifikasi serangan pada IDS, setelah mendapatkan hasil dari nilai rata-rata tersebut maka proses dalam klasifikasi serangan pada IDS menggunakan algoritma K-Means selesai.
Pada tahap selanjutnya akan dibahas mengenai perancangan algoritma K-Means dalam klasifikasi serangan pada IDS. Adapun gambaran umum tentang algoritma K-Means itu sendiri merupakan salah satu metode data clustering non-hirarki yang mengelompokan data dalam bentuk satu atau lebih cluster/kelompok. Data-data yang memiliki karakteristik yang sama dikelompokan dalam satu cluster/kelompok dan data yang memiliki karakteristik berbeda dikelompokan dengan cluster/kelompok yang lain sehingga data yang berada dalam satu cluster/kelompok memiliki tingkat variasi yang kecil. Algoritma K-means merupakan model centroid. Model centroid adalah model yang menggunakan centroid untuk membuat cluster. Centroid adalah “titik tengah” suatu cluster. Centroid berupa nilai dan centroid digunakan untuk menghitung jarak suatu objek data terhadap centroid. Suatu objek data termasuk dalam suatu cluster jika memiliki jarak terpendek terhadap centroid cluster tersebut.
Pada tahap selanjutnya akan dibahas mengenai algoritma K-Means secara keseluruhan meliputi proses pengambilan data serangan pada Base IDS dan melakukan proses pengelompokan/cluster serangan serta menghitung jarak centroid.
- Proses Clustering atau Pengelompokkan
Pada tahapan ini data tersebut akan dikelompokkan melalui proses clustering. Proses clustering dilakukan menggunakan Algoritma K-Means. Berikut ini adalah proses clustering terhadap data serangan yang sudah diambil dalam BASE IDS sesuai dengan penjelasan mengenai Algoritma K-Means pada bab sebelumnya. 1. Menentukan nilai K atau jumlah cluster dan centroid
Misalkan nilai K yang dimasukkan adalah dua, sehingga centroid yang ditentukan juga sebanyak dua centroid. Pada kasus penelitian ini, jumlah cluster dengan hasil clustering tidak ada perubahan dikarenakan jumlah cluster yang dipakai sejumlah dua cluster, terdiri dari Internet Protocol (IP) dan Port yang keduanya saling berdekatan.
6 2. Mengelompokkan data ke dalam cluster
Setelah data dikelompokkan ke dalam cluster maka akan dihitung jarak antara titik data ke titik centroid dengan menggunakan fungsi jarak yaitu Euclidean Distance.
Persamaan 1 merupakan formula Euclidean Distance atau perhitungan jarak yang dipakai dalam mengukur DR pada IDS menggunakan algoritma K-Means sebagai berikut: [7] (1) dengan : 𝑑 = distance 𝑖 = 𝑖1, 𝑖2, 𝑖3, ……, 𝑖p 𝑗 = 𝑗1, 𝑗2, 𝑗3, ……, 𝑗p
𝑘 = merepresentasikan nilai atribut 𝑛 = dimensi data
𝑥 = objek data
- Dalam hal dua dimensi (k = 1, 2) menjadi Xi maka:
X1i menjadi Xi X1j menjadi Xj X2i menjadi Yi X2j menjadi Yj Xik = 1 atau Xi1 menjadi Xi Xjk = 1 atau Xj1 menjadi Xj Xik = 2 atau Xi2 menjadi Yi Xjk = 2 atau Xj2 menjadi Yj
Sehingga persamaan (1) dapat disederhanakan menjadi 𝐷𝑖𝑗 = 𝑋𝑐− 𝑋1 2+ 𝑌
𝑐− 𝑌1 2
4. Hasil dan Pembahasan
Seperti yang dijelaskan pada metode penelitian dan perancangan Sistem, tentang hasil perhitungan dan pengujian dalam klasifikasi serangan pada intrusion detection system menggunakan algoritma K-Means. Pada tahap ini akan membahas proses perhitungan K-Means. Adapun data serangan yang telah diambil dalam BASE IDS, sehingga dapat dilihat pada Tabel 2 dibawah ini:
7
Tabel 2 Daftar objek yang telah dikelompokan
No Atribut (X) Jumlah IP Atribut (Y) Port
1 2 80 2 3 80 3 2 80 4 3 80 5 1 80 6 1 80 7 4 80 8 1 80 9 3 80 10 1 128 11 1 80 12 10 80 13 1 80 14 1 80 15 1 80 16 1 80 17 19 53 18 20 53 19 20 53 20 20 53 21 19 53 22 17 53 23 15 53 24 10 53 25 20 53 26 18 53 27 19 53 28 7 53 29 5 53 30 16 53 31 20 53 32 17 161 33 18 161 34 10 161 35 3 161 36 10 161 37 1 161 38 5 705 39 7 705
8 40 2 705 41 2 705 42 2 705 43 14 705 44 20 80 45 20 53 46 1 161 47 1 161 48 10 53 49 10 705 50 11 161 51 4 53 52 16 705 53 1 161 54 1 161 55 2 705 56 18 161 57 20 53 58 8 80 59 11 80 60 1 80 61 5 80 62 3 80 63 1 80 64 6 80 65 4 80 66 4 80 67 1 80 68 9 128 69 2 80 70 3 80 71 6 80 72 3 80 73 4 80 74 4 80 75 1 80 76 2 80 77 5 80 78 5 80 79 2 80 80 2 80
9 81 2 80 82 2 80 83 3 22 84 2 80 85 2 80 86 1 80 87 1 80 88 2 80 89 1 80 90 1 80 91 3 22 92 17 80
Pada Tabel 2 menjelaskan bahwa data serangan telah diambil pada BASE IDS dikelompokan berdasarkan parameter sudah dibuat dalam pengolahan data serangan tersebut, dimana parameter yang adalah IP dan Port. Dalam hal ini daftar dari objek yang telah dikelompokan berdasarkan kategori serangan pada tabel diatas mempunyi IP serangan yang berbeda-beda dan di capture pada BASE IDS. Untuk mendapatkan nilai dari data serangan tersebut dibuatlah parameter baru, dimana parameter yang dibuat adalah IP serangan yang sering kali masuk ke dalam kategori serangan akan diberikan nilai. Contohnya adalah IP serangan 120.169.155.127:80 yang masuk sebayak 2 kali, maka akan diberikan nilai 2 dan IP serangan 10.10.10.2:128 yang masuk sebayak 1 kali maka akan diberikan nilai 1.
Setelah mendapatkan nilai dari parameter data serangan tersebut, maka ditentukanlah nilai K, dimana nilai K yang dimasukan adalah dua, sehingga centroid yang ditentukan juga sebanyak dua centroid. Pada penelitian ini dalam menentukan titik centroid dari data serangan yang telah dikelompokkan berdasarkan IP dan Port, maka aplikasi Matlab digunakan sebagai tools untuk membantu dalam menentukan titik centroid dari data serangan. Penamaan objek dalam penggunaan aplikasi matlab harus diubah, dimana jumlah IP menjadi atribut (X) dan Port menjadi atribut (Y) sehingga dapat dipahami oleh fungsi yang ada di matlab dalam menentukan titik centroid dari data serangan.
Pada penelitian ini jumlah cluster yang dipakai adalah dua cluster, setelah tahapan menentukan nilai K atau jumlah cluster selesai, tahapan berikutnya adalah membuat titik centroid dari data serangan tersebut yang diambil berdasarkan kategori serangan web attack. Aplikasi matlab digunakan sebagai tools untuk mendapatkan titik centroid-nya dan bisa dilihat pada Gambar 4 dibawah ini:
10
Pada penjelasan Gambar 4 merupakan hasil dari perhitungan yang dihitung menggunakan fungsi dari matlab sebagai tools untuk membantu dalam mendapatkan titik tersebut. Titik data serangan yang disimbolkan dengan (●) dan titik centroid disimbolkan dengan (×), selanjutnya dimana jumlah IP berada di sumbu (X) dan Port berada di sumbu (Y). Contoh dalam mencari titik data serangan dengan IP 10.10.10:128 dengan nilai 1 kali masuk dalam serangan web attack adalah dengan cara membuat garis perpotongan misalnya pada sumbu (X) terdapat IP serangan 10.10.10.2 dengan masuk sebayak 1 kali dengan port 128 yang terdapat pada garis perpotongan pada sumbu (Y). Setelah mendapatkan titik-titik dari posisi data serangan dan titik-titik centroid tersebut, maka titk tersebut akan dihitung kedekatannya antara objek dengan titik centroid menggunakan fungsi jarak yaitu Euclidean Distance. Berikut ini adalah contoh perhitungan jarak antara objek dan centroid, untuk titik centroid data 120.169.255.127:80 dengan titik Xc
=2,0000 dan Yc =84,3636.
- Hasil perhitungan jarak objek nomor satu (120.169.255.127) ke titik (×) centroid yang disimbolkan dengan D1 adalah 4,3636 merupakan jarak
terpendek ke titik centroid.
𝐷𝑖 = 𝑋𝑐− 𝑋1 2+ 𝑌𝑐− 𝑌1 2 (2)
𝐷1= 7,45 − 2 2+ 192,65 − 80 2
𝐷1= 140,21
Pengujian algotirma K-Means dalam mengklasifikasikan serangan pada sistem IDS, dilakukan dengan cara membandingkan hasil perhitungan dengan menggunakan algorima K-Means, dengan rules yang dipakai didalam sistem IDS (Snort) seperti Gambar 5.
Gambar 5 Rule dalam Snort
Gambar 5 merupakan sebuah rule yang akan menghasilkan sebuah alert, jika pada traffic terdeteksi menggunakan protocol UDP dengan port apapun dan menuju jaringan lokal dengan port tujuan 161 akan diklasifikasikan sebagai serangan attempted-dos, seperti pada contoh IP 185.11.147.200 menggunakan protocol UDP menuju jaringan lokal dengan port 161 dan jumlah serangan sebanyak delapan belas kali, dikategorikan di dalam BASE IDS sebagai serangan. Setelah menggunakan K-Means dalam klisifikasi serangan, maka paket tersebut merupakan sebuah serangan yang akurat yang dicockan dengan rules yang ada pada IDS.
Pada tahapan ini akan dijelaskan hasil dari perhitungan algoritma K-Means dalam klasifikasi alert pada IDS, dimana klasifikasi alert didefinisikan sebagai presentase dari data serangan tersebut yang diambil berdasarkan dalam kategori serangan yang sudah dikelompokan berdasarkan jenis serangan dan untuk lebih jelas dapat dilihat pada Tabel 3.
11
Tabel 3 Hasil Klasifikasi Alert berdasarkan serangan
Attack Jumlah Klasifikasi Alert
Klasifikasi Alert % (Presentase) Att Dos 471 67 % Web Attack 36 10 % Trojan Activity 67 9 % Shellcode Detect 62 14 % Total Alert 636
Pada Tabel 3 menjelaskan bahwa nilai presentase klasifikasi alert diperoleh dari hasil perhitungan dengan menggunakan Algoritma K-Means dalam mendapatkan nilai presentase dari klasifikasi alert, dimana nilai dari rata-rata serangan diambil dari semua jenis serangan yang dibagi berdasarkan empat jenis serangan kemudian dijumlahkan nilai dari rata-rata jenis serangan tersebut kemudian dikalikan 100%. Hasil tersebut mendapatkan nilai klasifikasi serangan dengan serangan web attack 10%, trojan activity 9%, shellcode detect 14% dan att dos 67% pada IDS seperti pada Gambar 5 dibawah ini.
Gambar 6 Presentase Klasifikasi Alert
5. Kesimpulan
Berdasarkan hasil dan pembahasan dari penelitian yang dilakukan maka dapat diambil kesimpulan bahwa dalam mengklasifikasikan alert pada sistem IDS dengan Algoritma K-Means, dimana dari hasil perhitungan tersebut mendapatkan nilai klasifikasi serangan web attack 10%, trojan activity 9%, shellcode detect 14% dan att dos 67%. Selain itu K-Means mempuyai beberapa kelemahan yaitu (1) sangat bergantung pada pemilihan nilai awal, (2) kurangnya kejelasan mengenai berapa banyak cluster k yang terbaik, (3) sangatsulit dalam menentukan titik pusat inisial cluster yang dilakukan secara random.
Sistem yang dibangun masih banyak memiliki kekurangan, saran-saran yang dapat diberikan dalam pengembangan dari penelitian ini selanjutnya adalah jika dalam penelitian ini hanya menggunakan empat kategori serangan dalam klasifikasi serangan maka untuk pengembangan penelitian selanjutnya dapat
Web Appliacation Attack 10% Attempted Dos 67% Trojan Activity 9% Shellcode Detect 14%
Klasifikasi Alert
12
menggunakan semua kategori serangan dalam klasifikasi alert, sehingga akan memaksimalkan kinerja dalam sistem IDS.
6. Daftar Pustaka
[1] Kusrini, Luthfi, 2009, Algoritma Data Mining, Yogyakarta: Penerbit Andi. [2] Lestari, S.Kom, 2010, Implementasi Adaptive Bandwith Limiter pada Aplikasi Network Traffic Monitoring dengan Metode Based Detection System, Salatiga.
[3] Han. Li, 2012, Research of K-MEANS Algorithm based on Information Entropy in Anomaly Detection, China: School of Applied Science Beijing Information Science and Technology University.
[4] Muda, Z., Yassin, W., Sulaiman, M,N., & Udzir, N, I., 2014, A K-Means Clustering and Naïve Bayes Classification for Intrusion Detection. Malaysia: Faculty of Computer Science and Information Technology, University Putra Malaysia.
[5] Zamrudi. Muhamad, 2009, Analisis Mekanisme Pertahanan DOS dan DDOS pada Virtual Machine dengan Menggunakan IDS Center. Depok : Fakultas Teknik – Program Teknik Komputer.
[6] Vikky Aprelia Windarni, 2014. Analisis Cara Kerja NIDS untuk Mengatasi Serangan Flood. Universitas Kristen Satya Wacana.
[7] Putra, Darma, 2010, Pengolahan Citra Digital, Yogyakarta : Penerbit Andi.
![Gambar 1 Tahapan Penelitian [5]](https://thumb-ap.123doks.com/thumbv2/123dok/4515450.3271419/11.892.149.752.325.933/gambar-tahapan-penelitian.webp)
![Gambar 2 Alur Diagram Cara Kerja NIDS [6]](https://thumb-ap.123doks.com/thumbv2/123dok/4515450.3271419/13.892.148.749.130.1133/gambar-alur-diagram-cara-kerja-nids.webp)
