Fakultas Ilmu Komputer
Universitas Brawijaya
6847
Implementasi Intrusion Prevention System (IPS) berbasis Athena untuk
Mencegah Serangan DDoS pada Arsitektur Software-Defined Network
(SDN)
Muhammad Farradhika Muntaha1, Primantara Hari Trisnawan2, Rakhmadhany Primananda3 Program Studi Teknik Informatika, Fakultas Ilmu Komputer, Universitas Brawijaya
Email: 1[email protected], 2[email protected], 3[email protected] Abstrak
Serangan Distributed Denial of Service (DDoS) merupakan serangan yang umum dan popular pada lapisan SDN yakni data plane. Pada penelitian ini, Intrusion Prevention System (IPS) berbasis Athena diterapkan untuk mencegah dan mengurangi dampak serangan DDoS khususnya TCP SYN flood dan UDP flood. Dua skenario pengujian dilakukan untuk mengetahui kinerja IPS. Skenario pertama, membandingkan dampak serangan DDoS tanpa dan dengan diterapkan IPS terhadap throughput dan penggunaan CPU pada controller. Skenario kedua, membandingkan kecepatan fungsi pencegahan berdasarkan fitur – fitur pada model deteksi. Hasil pengujian pertama menunjukkan bahwa IPS mampu mencegah serangan DDoS yang dibuktikan dengan turunnya throughput ke keadaan normal. Throughput ketika keadaan normal dan ketika IPS diterapkan terhadap serangan TCP SYN flood dan UDP flood untuk parameter transmit-nya sebesar 3956 pps, 4045 pps, dan 3919 pps sedangkan untuk parameter receive-nya sebesar 4720 pps, 4793 pps, dan 4692 pps. IPS juga mampu mengurangi beban CPU pada controller ketika serangan TCP SYN flood dan UDP flood dilakukan masing – masing menjadi sebesar 4,95% dan 7,9%. Hasil pengujian kedua menyimpulkan bahwa semakin banyak fitur yang tepat dan benar digunakan untuk training maka semakin cepat IPS dalam mengenali karakteristik host yang berbahaya. Hal ini dibuktikan dengan rata – rata kecepatan pencegahan untuk tiap serangannya menggunakan 10 fitur masing – masing sebesar 5,78 detik dan 5,99 detik sedangkan 5 fitur masing – masing sebesar 12,42 detik dan 11,42 detik. Selain itu, IPS dapat diterapkan pada perangkat keras dengan spesifikasi seperti pada penelitian ini.
Kata kunci: software-defined network, distributed denial of service, intrusion prevention system
Abstract
Distributed Denial of Service (DDoS) are common and popular attacks on the SDN layer, namely the data plane. In this study, Athena-based Intrusion Prevention System (IPS) is applied to prevent and reduce the impact of DDoS attacks, especially TCP SYN flood and UDP flood. Two test scenarios were carried out to determine the IPS performance. The first scenario, comparing the impact of DDoS attacks without and with applied IPS to throughput and CPU usage on the controller. The second scenario, comparing the speed of the prevention function based on features in the detection model. The first test results show that IPS is able to prevent DDoS attacks as proven by the decrease in the throughput. The throughput when normal and IPS is applied against TCP SYN flood and UDP flood attacks for transmit parameters of 3956 pps, 4045 pps and 3919 pps while for receive parameters it is 4720 pps, 4793 pps and 4692 pps. IPS is also able to reduce the CPU load on the controller when those attacks are carried out each at 4.95% and 7.9%. The second test result concludes that the more appropriate and correct features are used for training, the faster IPS in recognizing the characteristics of dangerous hosts. This is proven by the average speed of prevention for each attack using 10 features each at 5.78 seconds and 5.99 seconds while the 5 features each at 12.42 seconds and 11.42 seconds. Moreover, IPS can be applied to hardware with specifications as in this study.
1. PENDAHULUAN
Munculnya paradigma Software-Defined Network (SDN) menyederhanakan manajemen jaringan dan memungkinkan inovasi melalui programabilitas jaringan. SDN telah memunculkan perubahan yang revolusionari dalam model integrasi tradisional jaringan dengan memisahkan data plane dari control plane (Kreutz et al., 2015). Fitur yang membedakan dari jaringan konvensional membuat SDN fleksibel, open source, dapat diprogram, hemat biaya, dan menciptakan lingkungan jaringan yang inovatif (Macedo et al., 2015). Saat ini, OpenFlow adalah standar de facto SDN, diusulkan oleh tim peneliti Cleanslate dari Stanford University. Terlepas dari fitur – fitur tersebut, pengamat pasar dan industri khawatir tentang keamanan dan ketergantungan SDN. Saat ini, keamanan SDN menuai ancaman dari segala lapisannya.
Vektor ancaman di SDN dikategorikan berdasarkan lapisannya yakni lapisan application, lapisan control, lapisan infrastructure (data plane), southbound interfaces, dan northbound interfaces (Akhunzada et al., 2015). Sehubungan dengan penelitian ini yang berfokus pada lapisan data plane, penelitian yang dilakukan oleh (Dhawan et al., 2015) dan (Antikainen, Aura and Sarela, 2014) telah berfokus pada masalah keamanan pada SDN yang muncul karena node berbahaya yang hadir di data plane. Penelitian yang dilakukan oleh (Callaghan et al., 2013) juga telah membahas berbagai serangan yang mungkin terjadi pada data plane dan menyimpulkan bahwa serangan DoS dan DDoS adalah serangan yang paling umum dan populer pada data plane. Serangan DDoS dilakukan dengan tujuan untuk membuat mesin atau sumber daya jaringan menjadi tidak tersedia bagi pengguna yang sah. Berbeda dengan serangan DoS yang hanya dikirim oleh satu orang atau sistem, serangan DDoS ini dikirim oleh dua atau lebih orang dan juga bisa dilakukan oleh bot (Yan et al., 2015).
Serangan DDoS terhadap satu entitas di SDN berpotensi berdampak terhadap entitas lain. Misalnya, jika host atau server dalam jaringan diserang dengan strategi DDoS tertentu, ada kemungkinan bahwa entitas lain, seperti switch dan controller juga terkena dampaknya (Dayal and Srivastava, 2017). Hal yang umum dalam semua serangan DDoS adalah mereka
mencoba mengirim paket ke korban menggunakan alamat IP palsu dan menggunakan jenis protokol tertentu. Karena penyerang menggunakan alamat IP asal yang acak untuk menyerang korban, Packet_In baru akan dihasilkan setiap kali, alhasil traffic besar akan menimpa controller juga. Controller yang kewalahan dengan Packet_In dan mulai mengabaikan paket asli setelah durasi tertentu, tetapi komunikasi tidak pernah terputus (Dayal dan Srivastava, 2017).
Sehubungan dengan permasalahan diatas, tren penelitian tentang keamanan SDN saat ini telah dipaparkan oleh AlEroud dan Aslmadi (2017) dimana mengadaptasi IDS konvensional untuk mengidentifikasi berbagai serangan pada SDN. Seperti Snort yang menggunakan metode deteksi berbasis signature perlu mengakses paket payload, yang mana tidak praktis dan bertentangan dengan motivasi diperkenalkannya SDN. Selain itu, snort tidak dapat langsung diintegrasikan dengan controller tanpa memiliki efek yang siginifikan pada kinerja jaringan (AlEroud dan Alsmadi, 2017). Dengan kerentanan SDN, jelas bahwa ia dapat dengan mudah menjadi korban berbagai serangan DDoS. Rules atau threshold yang telah ditentukan sebelumnya tidak akan cukup untuk mendeteksi dan mencegah serangan ini. Serangan seperti itu dapat diidentifikasi menggunakan teknik machine learning.
Lee et al. (2017) merepresentasikan framework anomaly detection system dan prevention system Athena sebagai solusi baru berbasis machine learning yang menyediakan fungsi umum untuk secara cepat mensintesis berbagai layanan deteksi anomali dan fungsi pemantau jaringan dengan upaya pemrograman yang minimal (Lee et al., 2017). Pada penelitiannya, kinerja Athena diukur pada tiga buah controller yang terdistribusi dan menggunakan lingkungan Server Xeon dengan spesifikasi perangkat keras yang tinggi dimana memori RAM sebesar 64GB dan emulator mininet. Kedepannya peneliti ingin menerapkan dan mengukur kinerja Athena pada semua perangkat tanpa memperhatikan spesifikasinya.
Dalam pembahasan sebelumnya, maka perlu dilakukan penelitian tentang penerapan Intrusion Prevention System (IPS) berbasis Athena untuk mencegah dan mengurangi dampak serangan DDoS pada arsitektur SDN dengan spesifikasi perangkat keras sesuai perangkat yang digunakan pada penelitian ini dimana memori RAM sebesar 8GB. Diharapkan
setelah dilakukan penelitian ini dapat bermanfaat dalam penerapan IPS berbasis Athena pada perangkat keras dengan spesifikasi kebutuhan seperti pada penelitian yang akan dilakukan. 2. KAJIAN PUSTAKA
2.1. Software-Defined Network (SDN)
Open Networking Foundation (ONF, 2014) adalah asosiasi non-profit yang didedikasikan untuk pengambangan, standarisasi, dan komersialisasi SDN. ONF telah memberikan definisi SDN yang paling eksplisit dan diterima dengan baik yakni dalam arsitektur SDN dimana control plane dan data plane dipisahkan, kecerdasan jaringan terpusat secara logis, dan infrastruktur jaringan yang mendasari diekstraksi dari lapisan aplikasi. Arsitektur SDN utamanya terdiri dari tiga bidang yaitu application plane, control plane, dan data plane, dengan masing – masing Application Programming Interfaces (API) (Kreutz et al., 2015) seperti yang ditunjukkan Gambar 1.
Gambar 1. Arsitektur SDN
2.2. Distributed Denial of Service (DDoS) Serangan Distributed Denial of Service (DDoS) bertujuan untuk menghalangi ketersediaan sumber daya dalam jaringan bagi pengguna yang sah. Tugas ini dicapai oleh sekelompok perangkat yang secara sadar atau tidak sadar terlibat dalam serangan itu. Pengguna jahat membanjiri sumber daya jaringan dengan sejumlah besar traffic dengan paket yang tidak berguna untuk menghabiskan sumber daya tersebut, traffic berbahaya dilayani namun paket asli haus akan layanan karena packet overflow atau congestion. Klasifikasi serangan DDoS dapat dilihat pada Gambar 2.
Gambar 2. Klasifikasi Serangan DDoS
2.3. Intrusion Prevention System (IPS)
Intrusion Prevention System (IPS) juga dikenal sebagai Intrusion Detection dan Prevention System (IDPS), adalah aplikasi keamanan jaringan yang memantau perubahan jaringan dan kegiatan sistem jika ditemukan hal yang dianggap mencurigakan. Fungsi utama IPS adalah untuk mengidentifikasi aktivitas berhaya, mencatat informasi tentangnya, dan berusaha untuk memblokir atau menghentikan aktivitas tersebut. IPS juga dapat dianggap sebagai ekstensi IDS. Perbedaan utamanya yang harus dipecahkan di antara mereka adalah bahwa IPS ditempatkan sejajar dan mampu secara aktif mencegah atau memblokir intrusi yang terdeteksi (Vuppala and Farik, 2016).
2.4. Athena
Athena adalah framework pendeteksi dan pencegah anomali jaringan yang memanfaatkan fungsionalitas SDN untuk secara eksplisit mendukung deteksi anomali jaringan berbasis Machine Learning (ML). Kelebihan Athena yakni ia mampu terintregasi penuh pada komponen SDN dimana instansi di-hosting di atas SDN controller. Athena mencakup berbagai fitur jaringan dan algoritma deteksi untuk digunakan dalam menyederhanakan desain dan penyebaran aplikasi pendeteksi anomali. Bahkan, selain persyaratannya untuk mendukung standar OpenFlow, Athena menghindari kebutuhan akan perangkat keras khusus, sehingga secara dramatis meminimalisir kebutuhan untuk memodifikasi susunan SDN ketika memperkenalkan layanan pendeteksi anomali baru. Gambar 3 menunjukkan tiga elemen utama pada arsitektur Athena antara lain, elemen Southbound (SB), database dan computing cluster, serta elemen Northbound (NB).
Gambar 3. Arsitektur Athena
3. METODOLOGI PENELITIAN
Metodologi penelitian berisi tahapan sistematis dalam melakukan penelitian dengan untuk untuk menyelesaikan permasalahan yang diangkat. Tahapan sistematis yang dilakukan meluputi studi literatur, perancangan, implementasi, pengujian dan analisis hasil, dan penarikan kesimpulan. Gambar 4 menggambarkan diagram alir metodologi penelitian yang digunakan dalam penelitian ini.
Gambar 4 Diagram Alir Metodologi Penelitian
4. PERANCANGAN 4.1. Perancangan Topologi
Pada penelitian ini dilakukan perancangan topologi jaringan SDN menggunakan sampel dari dataset The Internet Topology Zoo. Sampel topologi yang digunakan pada penelitian ini yakni AT&T Nort America. Topologi ini terdiri dari 25 host dan 25 switch. Dengan diterapkannya topologi jaringan ini akan mencerminkan bagaimana sistem yang dibuat sesuai dengan skenario dunia nyata. Rancangan topologi ini diilustrasikan pada Gambar 5.
Gambar 5. Topologi ATT North America
4.2. Perancangan Model Deteksi
Model deteksi yang akan dibuat dengan menjalani tahapan – tahapan meliputi tahap inisialisasi database dan computing cluster manager, tahap mendefisikan aturan atau batasan sesuai kondisi deteksi, tahap konfigurasikan data untuk pre-processing yang meliputi normalisasi dan penambahan bobot untuk fitur tertentu, tahap penambahan fitur – fitur yang akan digunakan untuk training, tahap penentuan algortima deteksi, tahap labelling, tahap memilih index fields pada Athena, tahap training, dan tahap yang menghasilkan model deteksi yang kemudian disimpan ke penyimpanan lokal serta mencetak hasil keluarannya. Gambar 6 menunjukkan alur perancangan model deteksi.
4.3. Perancangan Fungsi IPS
Peracangan fungsi IPS dibuat dengan menjalani tahapan – tahapan yang meliputi tahap inisialisasi sub sistem Athena dengan menjalankan aplikasi Athena pada ONOS, tahap mendefisikan aturan atau batasan sesuai kondisi yang diinginkan, tahap memuat deteksi model dimana user menentukan jalur tempat penyimpanan model deteksi, tahap instalasi event handler yang memanggil fungsi API southbound pada controller, tahap pemanggilan event handler, model deteksi, dan kelas lain yang diperlukan dan tahap terakhir yakni apabila program mampu mendeteksi adanya host yang berbahaya maka akan diberlakukan aksi mitigasinya dan mencetak keluarannya. Gambar 7 menunjukkan alur perancangan fungsi IPS.
Gambar 7. Alur Fungsi IPS
4.4. Perancangan Waktu Pencegahan
Fungsi waktu deteksi diterapkan dengan memodifikasi kode program pada kelas event handler InternalonlineMLEventListener. Waktu mulai diatur ketika tahap fungsi deteksi masuk ke tahap instalasi event handler. Proses deteksi yang dijalankan oleh event handler ini termasuk proses mapping, mengambil alamat IP lokal, menambahkan host ke cluster history, memanggil fungsi issueBlock yang mana menentukan host yang dianggap berbahaya sekaligus aksi mitigasinya. Apabila string sama dengan “Block” maka program akan berhenti dan mencetak keluarannya. Gambar 8 menunjukkan alur perancangan fungsi waktu
pencegahan
.
Gambar 8. Alur Fungsi Waktu Pencegahan
4.5. Perancangan Pengujian
Pada perancangan pengujian akan dibahas tentang bagaimana skenario – skenario pengujian yang dilakukan antara lain, menguji dampak serangan DDoS dengan dan tanpa diterapkan IPS berbasis Athena terhadap throughput dan penggunaan CPU pada controller serta menguji kinerja IPS berbasis Athena terkait kecepatan pencegahan.
5. IMPLEMENTASI
5.1. Implementasi Sub Sistem Athena
Sub sistem Athena merupakan aplikasi sederhana yang diterapkan pada controller ONOS. Aplikasi ini dinamakan Athena proxy yang berfungsi untuk memanggil fungsi southbound API. Athena proxy ini juga berfungsi untuk menerjemahkan permintaan komponen Athena ke pesan manajemen jaringan agar dapat diproses. Gambar 9 menunjukkan aplikasi sub sistem Athena telah berhasil dijalankan.
5.2. Implementasi Model Deteksi
Tahap pertama sebelum menjalankan fungsi IPS, perlu dibuat model deteksi. Fungsi pembuatan model ini digunakan untuk membuat model deteksi dimana dilakukan training terhadap data atau fitur jaringan menggunakan algoritma machine learning. Tabel 1 menunjukkan implementasi model deteksi.
Tabel 1. Implementasi Model Deteksi
Pseudocode Model Deteksi 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Initialize saveMoelTestsComplete Create Object databaseConnector Set DATABASE_IP Create Object machineLearningManager Call mainClass Set ComputingCluster Call setArtifactId Set DatabaseConnector
Create Object featureConstraint Set Location DBCollection AppendValue featureConstraint Create Object athenaMLFeatureConfiguration Set Normalization Add Weight Add TargetFeatures Create Object kMeansDetectionAlgorithm Create Object marking Create Object indexing
Generate kMeansDetectionModel Save DetectionModel
5.2. Implementasi Fungsi IPS
Fungsi ini berfungsi untuk melakukan deteksi anomali sekaligus memberlakukan aksi mitigasinya. Sebelum menjalankan fungsi ini, perlu untuk dibuat model deteksi. Tabel 2 menunjukkan implementasi fungsi IPS.
Tabel 2. Implementasi Fungsi IPS
Pseudocode Fungsi IPS 1 2 3 4 5 6 7 8 9 10 Initialization onlineDetectionTest Create Object controllerConnector
Create Object featureConstraint Create Object
machineLearningManager Load DetectionModel Call eventHandler
Register OnlineValidation
5.2. Implementasi Fungsi Waktu Pencegahan Dengan menambahkan fungsi timer pada kelas internalonlineMLEventListener, maka akan diperoleh durasi waktu selama pemrosesan data hingga mengeluarkan aksi mitigasi. Tabel 3
menunjukkan pseudocode fungsi waktu pencegahan
Tabel 3. Implementasi Fungsi Waktu Pencegahan
Pseudocode Fungsi Waktu Pencegahan 1 2 3 4 5 6 7 8 9 10 Initialization internalonlineMLEventListener Start time now
Get generateMapping Get localIP
Get initHistory Get issueBlock
Get ValidationOnline Result If string = block
Stop time now
6. HASIL PENGUJIAN
6.1. Pengujian Dampak Serangan 6.1.1 Throughput
Skenario pertama dilakukan untuk mengetahui apakah IPS mampu mencegah serangan dengan mengukur besar throughput dalam satuan packets per second (pps). Dalam hal ini, dibuat perbandingan antara traffic normal, abnormal, dan ketika diterapkan IPS. Tabel 4 merupakan hasil throughput normal yang diindikasikan oleh pertukaran data antara FTP server dan client.
Tabel 4. Throughput Normal
Interval (s) Transmit (pps) Receive (pps)
0 – 10 3489 4770 10 – 20 4050 4379 20 – 30 4369 4941 30 – 40 3712 5202 40 – 50 4043 4288 50 – 60 4073 4740 Average 3956 4720
Kemudian serangan TCP SYN flood dan UDP flood diterapkan dengan target FTP server. Skenario pengujian ini dilakukan tanpa IPS dengan parameter simulasi serangan yang sama. Tabel 5 dan 6 merupakan hasil throughput serangan TCP SYN flood dan UDP flood tanpa diterapkan IPS.
Tabel 5. Throughput Traffic TCP SYN Flood (Tanpa IPS)
Interval (s) Transmit (pps) Receive (pps)
0 – 10 6076 6460 10 – 20 5253 5857 20 – 30 4190 5817 30 – 40 5250 5567 40 – 50 4635 5307 50 – 60 4108 5462 Average 4919 5745
Tabel 6. Throughput Traffic UDP Flood (Tanpa IPS)
Interval (s) Transmit (pps) Receive (pps)
0 – 10 4293 6173 10 – 20 4710 6149 20 – 30 5156 6304 30 – 40 4312 5220 40 – 50 4600 5620 50 – 60 4737 6672 Average 4635 6023
Untuk mengetahui besar paket yang berhasil dijatuhkan oleh IPS, maka IPS diterapkan ketika serangan dilakukan. Tabel 7 dan 8 merupakan hasil throughput serangan TCP SYN flood dan UDP flood ketika diterapkan IPS.
Tabel 7. Throughput Traffic TCP SYN Flood (Dengan IPS)
Interval (s) Transmit (pps) Receive (pps)
0 – 10 4403 5436 10 – 20 3815 4320 20 – 30 3996 4568 30 – 40 5103 5638 40 – 50 2930 4354 50 – 60 4021 4443 Average 4045 4793
Tabel 8. Throughput Traffic UDP Flood (Dengan IPS)
Interval (s) Transmit (pps) Receive (pps)
0 – 10 3087 4350 10 – 20 3989 4439 20 – 30 4835 5180 30 – 40 3203 4680 40 – 50 3974 4350 50 – 60 4424 5153 Average 3919 4692
6.1.2 Penggunaan CPU pada Controller Skenario kedua dilakukan bertujuan untuk mengetahui apakah IPS mampu mengurangi dampak serangan terhadap penggunaan CPU pada controller. Tabel 9 merupakan hasil penggunaan CPU controller ketika serangan tanpa diterapkan IPS. Tabel 10 merupakan hasil penggunaan CPU controller ketika serangan dengan diterapkan IPS.
Tabel 9. Penggunaan CPU Controller (Tanpa IPS)
Serangan Rata – rata penggunaan
CPU (%)
TCP SYN Flood 40,27
UDP Flood 38,75
Tabel 10. Penggunaan CPU Controller (Dengan IPS)
Serangan Rata – rata penggunaan
CPU (%)
TCP SYN Flood 4,95
UDP Flood 7,9
6.2. Pengujian Kecepatan Pencegahan
Pengujian ini bertujuan untuk mengetahui pengaruh terhadap kecepatan fungsi pencegahan IPS terhadap jumlah fitur – fitur yang tepat dan benar pada model deteksi. Dibuatnya skenario pengujian kecepatan pencegahan menggunakan 5 fitur berdasarkan penelitian yang telah dilakukan oleh (Dayal and Srivastava, 2017). Pada penelitiannya, fitur – fitur dari kasus serangan DDoS telah diekstraksi secara valid. Sedangkan pengujian kecepatan menggunakan 10 fitur berdasarkan penelitian yang telah telah dilakukan oleh (Lee et al., 2017). Peneliti membuat model deteksi DDoS menggunakan 10 fitur yang tepat dan benar sesuai dengan kasus serangan. Parameter “p” merepresentasikan percobaan yang dilakukan dalam hal ini sebanyak 5 kali. Tabel 11 dan 12 merupakan hasil kecepatan fungsi pencegahan IPS menggunakan 5 fitur dan 10 fitur.
Tabel 11. Kecepatan Pencegahan (5 Fitur)
Serang an Kecepatan Pencegahan (s) P1 P2 P3 P4 P5 Avera ge TCP SYN Flood 12,1 2 7,78 9,97 10,1 0 12,1 7 10,42 UDP Flood 8,67 10,5 4 13,4 3 12,3 7 12,1 1 11,42
Tabel 12. Kecepatan Pencegahan (10 Fitur)
Seranga n Kecepatan Pencegahan (s) P1 P2 P3 P4 P5 Averag e TCP SYN Flood 4,4 5 7,7 3 4,4 9 5,5 9 6,6 6 5,78 UDP Flood 4,4 8 5,5 4 6,6 9 6,6 0 6,6 7 5,99 7. PEMBAHASAN
7.1. Pengujian Dampak Serangan 7.1.1 Throughput
Gambar 10 menunjukkan perbandingan besar rata – rata throughput untuk tiga keadaan traffic pada jaringan ketika serangan TCP SYN flood. Ketika keadaan normal besar throughput untuk masing – masing parameter transmit dan receive-nya sebesar 3956 pps dan 4720 pps dan hal ini memiliki flow yang masih rendah. Namun ketika serangan TCP SYN flood dijalankan tanpa diterapkan IPS besar throughput untuk masing – masing parameter transmit dan receive-nya naik menjadi sebesar 4919 pps dan
5745 pps. Ketika kondisi traffic ini dimana throughput naik secara signifikan karena serangan menyebabkan terjadinya flow table explosion. Kemudian IPS diterapkan ketika serangan berlangsung mendapati besar throughput untuk masing – masing parameter transmit dan receive-nya turun menjadi sebesar 4045 pps dan 4793 pps.
Gambar 10. Perbandingan Throughput Traffic TCP SYN Flood
Gambar 11 menunjukkan perbandingan besar rata – rata throughput untuk tiga keadaan traffic pada jaringan ketika serangan UDP flood. Ketika keadaan normal besar throughput untuk masing – masing parameter transmit dan receive-nya sebesar 3956 pps dan 4720 pps dan hal ini memiliki flow yang masih rendah. Namun ketika serangan UDP flood dijalankan tanpa diterapkan IPS besar throughput untuk masing – masing parameter transmit dan receive-nya naik menjadi sebesar 4635 pps dan 6023 pps. Ketika kondisi traffic ini dimana throughput naik secara signifikan karena serangan menyebabkan terjadinya flow table explosion. Kemudian IPS diterapkan ketika serangan berlangsung mendapati besar throughput untuk masing – masing parameter transmit dan receive-nya turun menjadi sebesar 3919 pps dan 4692 pps.
Gambar 11. Perbandingan Throughput Traffic UDP Flood
7.1.2 Penggunaan CPU pada Controller Gambar 12 menunjukkan bahwa terdapat
keterkaitan dampak serangan antara server pada data plane dengan controller. Dengan skenario serangan yang menggunakan alamat IP palsu, pesan Packet_In akan dihasilkan tiap kali yang kemudian menghasilkan traffic besar ke controller juga. Oleh karena itu penggunaan CPU pada controller meningkat akibat serangan TCP SYN flood sebesar 40,27% dan serangan UDP flood sebesar 38,75%. Dari masalah tersebut kemudian diterapkan IPS untuk mengurangi dampak serangan yang dibuktikan dengan berkurangnya beban CPU pada controller ketika serangan TCP SYN flood menjadi sebesar 4,95% dan serangan UDP flood menjadi sebesar 7,90%.
Gambar 12. Perbandingan Penggunaan CPU pada Controller
7.2. Pengujian Kecepatan Pencegahan
Gambar 13 menunjukkan bahwa kecepatan fungsi IPS yang diperoleh dengan menggunakan 10 fitur terbukti cepat dengan rata – rata waktu pencegahan terhadap serangan TCP SYN flood sebesar 5,78 detik dan UDP flood serangan 5,99 detik. Sedangkan kecepatan fungsi IPS yang diperoleh dengan menggunakan 5 fitur terbukti lebih lama dengan rata – rata waktu pencegahan terhadap serangan TCP SYN flood sebesar 12,42 detik dan UDP flood sebesar 11,42 detik.
Gambar 13. Perbandingan Kecepatan Pencegahan (Detik) 8. KESIMPULAN 0 2000 4000 6000 8000
Normal Serangan (Tanpa IPS) Serangan (Dengan IPS) Transmit (Pps) Receive (Pps) 0 2000 4000 6000 8000
Normal Serangan (Tanpa IPS) Serangan (Dengan IPS) Transmit (Pps) Receive (Pps) 0,00% 20,00% 40,00% 60,00% Tanpa IPS IPS
UDP Flood TCP SYN Flood
0 5 10 15
5 Fitur 10 Fitur
Berdasarkan penelitian yang telah dilakukan, maka dapat ditarik kesimpulan bahwa IPS berbasis Athena mampu mencegah serangan TCP SYN flood dan UDP flood yang dibuktikan dengan turunnya besar thoughput ke dalam keadaan normal kembali. Selain itu, terdapat keterkaitan dampak serangan yang dilakukan terhadap FTP server di data plane dengan controller. Penggunaan CPU pada controller meningkat seiring serangan dilakukan. Namun IPS mampu mengurangi dampak serangan TCP SYN flood dan UDP flood di data plane yang dibuktikan dengan berkurangnya beban CPU pada controller. Tidak lepas dari aksi mitigasi yang berhasil dilakukan, kecepatan IPS dalam mencegah serangan TCP SYN flood dan UDP flood berdasarkan fitur – fitur yang telah didefinisikan ketika pembuatan model deteksi menyimpulkan bahwa semakin banyak fitur yang tepat dan benar digunakan untuk training maka semakin cepat IPS dalam mengenali karakteristik host yang berbahaya. Hal ini dibuktikan dengan rata – rata kecepatan pencegahan IPS dengan menggunakan 10 fitur yang lebih cepat daripada menggunakan 5 fitur. Selain itu, IPS mampu diterapkan pada perangkat keras dengan spesifikasi seperti yang digunakan pada penelitian ini.
9. DAFTAR PUSTAKA
Akhunzada, A. et al. 2015. Securing Software Defined Networks : Taxonomy , Requirements , and Open Issues, pp. 36– 44.
AlEroud, A. and Alsmadi, I. 2017. Identifying cyber-attacks on software defined networks: An inference-based intrusion detection approach, Journal of Network and Computer Applications. Elsevier, 80,
pp. 152–164. doi:
10.1016/j.jnca.2016.12.024.
Antikainen, M., Aura, T. and Sarela, M. 2014. Spook in Your Network: Attacking an SDN with a Compromised OpenFlow Switch, Secure IT Systems: 19th Nordic Conference, NordSec 2014 Tromsø, Norway, October 15-17, 2014 Proceedings, 8788, pp. 229–244. doi: 10.1007/978-3-319-11599-3.
Callaghan, O. et al. 2013. SDN Security : A Survey, Queen’ s University Belfast - Research Portal SDN Security : A Survey,
pp. 1–7. doi:
10.1109/SDN4FNS.2013.6702553. Dayal, N. and Srivastava, S. 2017. Analyzing
behavior of DDoS attacks to identify DDoS detection features in SDN, 2017 9th International Conference on Communication Systems and Networks, COMSNETS 2017, pp. 274–281. doi: 10.1109/COMSNETS.2017.7945387. Dhawan, M. et al. 2015. SPHINX: Detecting
Security Attacks in Software-Defined Networks, pp. 8–11. doi: 10.14722/ndss.2015.23064.
Kreutz, D. et al. 2015. Software-defined networking: A comprehensive survey, Proceedings of the IEEE. IEEE, 103(1),
pp. 14–76. doi:
10.1109/JPROC.2014.2371999.
Lee, S. et al. 2017. Athena: A Framework for Scalable Anomaly Detection in Software-Defined Networks, Proceedings - 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks, DSN 2017, pp. 249–260. doi: 10.1109/DSN.2017.42.
Macedo, D. F. et al. 2015. Programmable Networks-From Software-Defined Radio to Software-Defined Networking, IEEE Communications Surveys and Tutorials, 17(2), pp. 1102–1125. doi: 10.1109/COMST.2015.2402617.
Vuppala, R. and Farik, M. 2016. Intrusion Detection and Prevention Systems - Sourcefire Snort, Handbook of Information and Communication Security, 5(07), pp. 177–192. doi: 10.1007/978-3-642-04117-4_9.
Yan, Q. et al. 2015. Software-Defined Networking ( SDN ) and Distributed Denial of Service ( DDoS ) Attacks in Cloud Computing Environments : A Survey , Some Research Issues , and Challenges, (c), pp. 1–23. doi: 10.1109/COMST.2015.2487361.
