Low-rate attack detection with intelligent fine-grained network analysis

Low-rate attacks are a type of attacks that silently infiltrate the victim network, control computers, and steal sensitive data. As the effect of this attack type is devastating, it is essential to be able to detect such attacks. A detection system allows system administrators to react accordingly. More importantly, when the detection system is to analyse the network traffic, it may identify the malicious activity before the attack reaches the system. And by incorporating machine learning into the detection approach, the Network-based Intrusion Detection System (NIDS) will be able to adapt to evolving attacks and minimise human intervention, unlike signature-based NIDS. Several works have tried to address the problem of low-rate attack detection. However, there are several issues with these previous works. Some of them are dated; therefore their performance drops on contemporary low-rate attacks. Some of them only focus on detecting attacks in one protocol, while low-rate attacks exist on various protocols. To tackle this problem, we proposed two Deep Learning (DL) models which analyse network payload and were trained with the unsupervised approach. Our best performing model surpasses the state-of-the-arts and provides an improvement in detection rate of at least 12.04%. The experiments also show that payload-based NIDSs are superior to header-based ones for identifying low-rate attacks. A common approach in payload-based NIDSs is to read the full-length application layer messages, while in some protocols such as HTTP or SMTP, it is usual to have lengthy messages. Processing the full-length of such messages would be time-consuming. The damage from the attack may have been done by the time the decision for the particular message comes out. Therefore, we proposed an approach that can early predict the occurrence of low-rate attacks from as little information as possible. Based on our experiments, the proposed method can detect 97.57% of attacks by merely reading, on average, 35.21% of the application layer messages. It improves the detection speed by three-fold

Pendekatan unsupervised untuk Mendeteksi Serangan Tingkat Rendah pada Jaringan Komputer

Serangan tingkat rendah merupakan serangan yang diam-diam masuk ke dalam system tanpa mengirimkan paket-paket dalam jumlah besar. Contoh dari serangan jenis ini adalah exploit, backdoors, dan worms. Untuk mencegah serangan jenis ini, kami mengusulkan system deteksi intrusi dengan menggunakan Recurrent Neural Network dan Autoencoders.Pendekatan unsupervised yang diusulkan mampu mengidentifikasi serangan tingkat rendah dalam koneksi jaringan, mengesampingkan persyaratan untuk menyediakan sampel berbahaya untuk data pelatihan. Pendekatan yang diusulkan memberikan peningkatan detection rate setidaknya 12,04% dari penelitian sebelumnya

Pengembangan Mekanisme Otentikasi dan Otorisasi Pada Manajemen Konfigurasi Untuk Kasus User Web Hosting Berbasis Kontainer

Sebagian besar penyedia layanan website menggunakan sistem operasi Linux. Ketika salah satu website dalam web server dapat diambil alih, kemungkinan besar website yang lain juga akan dapat diambil alih dengan cara membaca konfigurasi penghubung ke database. Mekanisme yang digunakan untuk membaca sebuah file konfigurasi dengan perintah di linux secara default memang tersedia, dengan menggunakan perintah “ln” yang dikenal dengan istilah “Symlink” yang dapat membaca direktori konfigurasi web walaupun berbeda direktori. Hasil penelitian yang dilakukan, konfigurasi yang terdapat di dalam aplikasi web yang berada direktori dalam satu server, walaupun tetap terbaca dengan menggunakan metode tersebut, namun tidak dapat di-decode untuk membaca username dan password, serta database name, karena sudah diberi otorisasi yang bisa medecode hanya dari direktori yang sudah terdaftar, sedangkan pada pengujian performa untuk latency, memory, dan CPU system yang diusulkan tidak sebagus dengan system sebelumnya, namun dengan menggunakan cache, respond time yang dihasilkan ketika diakses secara simultan dengan 20 kali klik per-user menunjukkan system yang lama sebesar 941,4 ms, sedangkan untuk sistem yang diusulkan sebesar 786,6 ms

BLATTA: early exploit setection on network traffic with recurrent neural networks

Detecting exploits is crucial since the effect of undetected ones can be devastating. Identifying their presence on the network allows us to respond and block their malicious payload before they cause damage to the system. Inspecting the payload of network traffic may offer better performance in detecting exploits as they tend to hide their presence and behave similarly to legitimate traffic. Previous works on deep packet inspection for detecting malicious traffic regularly read the full length of application layer messages. As the length varies, longer messages will take more time to analyse, during which time the attack creates a disruptive impact on the system. Hence, we propose a novel early exploit detection mechanism that scans network traffic, reading only 35.21% of application layer messages to predict malicious traffic while retaining 97.57% detection rate, and a 1.93% false positive rate. Our recurrent neural network (RNN)-based model is the first work to our knowledge that provides early prediction of malicious application layer messages, thus detecting a potential attack earlier than other state-of-the-art approaches, and enabling a form of early warning system

SISTEM DETEKSI INTRUSI MENGGUNAKAN N-GRAM DAN COSINE SIMILARITY

Serangan atau intrusi yang masuk ke dalam sebuah sistem adalah sesuatu yang hampir pasti terjadi dalam dunia teknologi informasi saat ini. Untuk mengatasi hal tersebut ada beberapa teknologi yang dapat digunakan, seperti firewall atau sistem deteksi intrusi (intrusion detection system/IDS). Tidak seperti firewall yang hanya menyeleksi paket yang masuk berdasarkan alamat IP dan port, IDS bekerja dengan cara memantau isi paket yang masuk ke dalam sebuah komputer untuk kemudian memutuskan apakah rangkaian paket yang masuk tersebut merupakan sebuah serangan atau tidak. Salah satu aplikasi open sources dari IDS adalah Snort yang menggunakan pencocokan string untuk mengambil keputusan. Kelemahan dari IDS yang berbasis pencocokan string adalah kemunculan string dalam sebuah paket harus sama persis, sehingga sulit untuk mendeteksi serangan yang mirip tetapi memiliki pola string yang berbeda. Oleh karena itu paper ini mengusulkan sebuah metode deteksi intrusi menggunakan n-gram dan cosine similarity untuk mencari kemiripan dari serangkaian paket, sehingga yang dicari bukan yang sama persis, tetapi seberapa mirip dengan signature yang ada. Berbeda dengan Snort, paket tidak dicocokkan dengan pola serangan, tetapi dengan pola pengaksesan sebuah halaman web oleh pengguna yang sesungguhnya, sehingga yang memiliki kemiripan tinggi akan dianggap sebagai paket yang sah, sedangkan yang rendah akan dianggap sebagai serangan. Dari hasil ujicoba dengan berbagai variasi nilai ambang batas, maka didapatkan nilai 0.8 dengan n = 3 memberikan akurasi yang terbaik. Sistem deteksi intrusi ini juga mampu mendeteksi berbagai jenis serangan tanpa harus mendefinisikan serangan yang ada sebelumnya, sehingga lebih tahan terhadap zero-day attack

Enhancing Enterprise Network Security: Comparing Machine-Level and Process-Level Analysis for Dynamic Malware Detection

Analysing malware is important to understand how malicious software works and to develop appropriate detection and prevention methods. Dynamic analysis can overcome evasion techniques commonly used to bypass static analysis and provide insights into malware runtime activities. Much research on dynamic analysis focused on investigating machine-level information (e.g., CPU, memory, network usage) to identify whether a machine is running malicious activities. A malicious machine does not necessarily mean all running processes on the machine are also malicious. If we can isolate the malicious process instead of isolating the whole machine, we could kill the malicious process, and the machine can keep doing its job. Another challenge dynamic malware detection research faces is that the samples are executed in one machine without any background applications running. It is unrealistic as a computer typically runs many benign (background) applications when a malware incident happens. Our experiment with machine-level data shows that the existence of background applications decreases previous state-of-the-art accuracy by about 20.12% on average. We also proposed a process-level Recurrent Neural Network (RNN)-based detection model. Our proposed model performs better than the machine-level detection model; 0.049 increase in detection rate and a false-positive rate below 0.1.Comment: Dataset link: https://github.com/bazz-066/cerberus-trac

Evaluasi Sistem Pendeteksi Intrusi Berbasis Anomali dengan N-gram dan Incremental Learning

Keberadaan teknologi informasi yang terus berkembang dengan pesat menjadikan kebutuhan akan penggunaannya semakin hari semakin meningkat. Transaksi data melalui internet telah menjadi kebutuhan wajib hampir dari semua perangkat lunak yang ada saat ini. Perangkat lunak seperti media social, colud server, online game, aplikasi layanan pemerintah, aplikasi pengontrol suatu tempat secara remote, dsb. Tentu dengan berbagai macam penggunaan internet tersebut dibutuhkan metode untuk mengamankan jaringannya. Sistem pendeteksi intrusi atau yang pada umumnya disebut IDS (Intrusion Detection System) merupakan solusi untuk mengamankan suatu jaringan. Sistem ini nantinya bertugas untuk menentukan apakah suatu paket merupakan bentuk serangan atau paket biasa sesuai dengan kondisi tertentu. Saat ini telah banyak dikembangkan aplikasi IDS (Intrusion Detection System), namun sebagian besar yang dikembangkan berbasis signature atau menggunakan rule, dan sebagaian kecil menggunakan anomali. Anomali adalah suatu metode untuk mencari penyimpangan dalam sebuah data. Pada aplikasi ini konsep IDS yang diterapkan adalah IDS berbasis anomali dimana analisis datanya pada infromasi paket data yang dikirimkan. Pada tugas akhir ini menggunakan dua metode, yaitu metode n-gram yang digunakan untuk mengitung distribusi byte karakter pada paket data sedangkan metode mahalanonis distance digunakan untuk menghitung jarak antara paket data normal dan paket data yang berupa intrusi. Metode mahalanobis distance dapat membedakan paket data yang normal dan paket data yang berupa intrusi dengan menghitung rata-rata dan standar deviasi dari paket data

Optimasi Pemilihan Layanan Streaming Multimedia Berbasis UPnP Untuk Kondisi Dinamis

Abstrak Universal Plug and Play (UPnP) memungkinkan adanya jaringan tanpa konfigurasi dan administrasi manual. UPnP bekerja pada jaringan yang mendukung pesan multicast. Ia mengatur pengalamatan, penemuan, deskripsi, serta pemilihan perangkat dan layanan. Proses penemuan layanan dalam lingkungan dinamis harus mengurangi konfigurasi manual, memungkinkan penemuan otomatis dan pemilihan layanan yang optimal, serta menawarkan secara terkini layanan-layanan yang tersedia. Pada kondisi di mana beberapa host menyediakan layanan yang sama, bagaimana klien memilih layanan menjadi permasalahan tersendiri. Pemilihan layanan yang paling sesuai dapat dilakukan secara otomatis oleh klien UPnP. Pemilihan layanan dilaksanakan berdasarkan parameter yang mencerminkan kondisi jaringan saat itu, seperti delay dan packet loss. Pada aplikasi-aplikasi streaming multimedia berbasis UPnP yang ada, pemilihan layanan dilakukan tanpa penentuan prioritas sama sekali. Aplikasi klien mengambil begitu saja salah satu layanan streaming multimedia dari sejumlah perangkat penyedia layanan di jaringan, bahkan secara acak. Implementasi aplikasi streaming multimedia di lingkungan dinamis menyebabkan perlunya optimasi terhadap mekanisme pemilihan layanan yang sudah ada. Pada penelitian ini diusulkan metode dalam melakukan optimasi pada pemilihan layanan streaming multimedia berbasis UPnP untuk kondisi dinamis, yaitu kondisi di mana dapat terjadi perubahan pada delay, packet loss, dan ketersediaan layanan. Dari hasil percobaan, terbukti bahwa optimasi tersebut menurunkan end-to-end delay rata-rata antara klien dengan penyedia layanan streaming multimedia sebesar 35,343%, meski terdapat anomali pada beberapa skenario, yaitu naiknya end-to-end delay rata-rata, yang bisa jadi dipengaruhi oleh peningkatan beban kerja penyedia layanan. Kata kunci: pemilihan layanan, streaming, UPnP Abstract Universal Plug and Play (UPnP) enables networking without manual configuration and administration. UPnP works at a network supporting multicast messages. It arranges addressing, discovery, description, and also device and service selection. The process of service discovery in dynamic environment should reduce manual configuration, enable automatic discovery and optimal service selection, and also offer up-to-date services available. In a condition where some hosts run same services, how clients select them becomes one interesting issue. The selection of the most appropriate service is to be done automatically by UPnP clients. Service selection will be held based on current condition of the network, such as delay and packet loss. On existing multimedia streaming applications, service selection is done without any prioritizing. Client applications just fetch a service from a number of service providers in the network, even randomly. Implementations of multimedia streaming applications in dynamic environment, where there might be changes on delay, packet loss, and the availability of services at service providers, causes the urgency of optimization in existing service selection mechanism. In this study, a method of optimizing the UPnP-based service selection of multimedia streaming for dynamic condition is proposed. Experiments prove that the optimization reduces average end-to-end delay between clients and multimedia streaming service providers at the rate of 35.343%. There were anomalies at some scenarios though. Some delay grew higher, which could be affected by the increase of service providers’ load. Keywords: service selection, streaming, UPn

Optimasi Pemilihan Layanan Streaming Multimedia Berbasis UPnP Untuk Kondisi Dinamis

AbstrakUniversal Plug and Play (UPnP) memungkinkan adanya jaringan tanpa konfigurasi dan administrasi manual. UPnP bekerja pada jaringan yang mendukung pesan multicast. Ia mengatur pengalamatan, penemuan, deskripsi, serta pemilihan perangkat dan layanan. Proses penemuan layanan dalam lingkungan dinamis harus mengurangi konfigurasi manual, memungkinkan penemuan otomatis dan pemilihan layanan yang optimal, serta menawarkan secara terkini layanan-layanan yang tersedia. Pada kondisi di mana beberapa host menyediakan layanan yang sama, bagaimana klien memilih layanan menjadi permasalahan tersendiri. Pemilihan layanan yang paling sesuai dapat dilakukan secara otomatis oleh klien UPnP. Pemilihan layanan dilaksanakan berdasarkan parameter yang mencerminkan kondisi jaringan saat itu, seperti delay dan packet loss. Pada aplikasi-aplikasi streaming multimedia berbasis UPnP yang ada, pemilihan layanan dilakukan tanpa penentuan prioritas sama sekali. Aplikasi klien mengambil begitu saja salah satu layanan streaming multimedia dari sejumlah perangkat penyedia layanan di jaringan, bahkan secara acak. Implementasi aplikasi streaming multimedia di lingkungan dinamis menyebabkan perlunya optimasi terhadap mekanisme pemilihan layanan yang sudah ada. Pada penelitian ini diusulkan metode dalam melakukan optimasi pada pemilihan layanan streaming multimedia berbasis UPnP untuk kondisi dinamis, yaitu kondisi di mana dapat terjadi perubahan pada delay, packet loss, dan ketersediaan layanan. Dari hasil percobaan, terbukti bahwa optimasi tersebut menurunkan end-to-end delay rata-rata antara klien dengan penyedia layanan streaming multimedia sebesar 35,343%, meski terdapat anomali pada beberapa skenario, yaitu naiknya end-to-end delay rata-rata, yang bisa jadi dipengaruhi oleh peningkatan beban kerja penyedia layanan.Kata kunci: pemilihan layanan, streaming, UPnPAbstractUniversal Plug and Play (UPnP) enables networking without manual configuration and administration. UPnP works at a network supporting multicast messages. It arranges addressing, discovery, description, and also device and service selection. The process of service discovery in dynamic environment should reduce manual configuration, enable automatic discovery and optimal service selection, and also offer up-to-date services available. In a condition where some hosts run same services, how clients select them becomes one interesting issue. The selection of the most appropriate service is to be done automatically by UPnP clients. Service selection will be held based on current condition of the network, such as delay and packet loss. On existing multimedia streaming applications, service selection is done without any prioritizing. Client applications just fetch a service from a number of service providers in the network, even randomly. Implementations of multimedia streaming applications in dynamic environment, where there might be changes on delay, packet loss, and the availability of services at service providers, causes the urgency of optimization in existing service selection mechanism. In this study, a method of optimizing the UPnP-based service selection of multimedia streaming for dynamic condition is proposed. Experiments prove that the optimization reduces average end-to-end delay between clients and multimedia streaming service providers at the rate of 35.343%. There were anomalies at some scenarios though. Some delay grew higher, which could be affected by the increase of service providers’ load.Keywords: service selection, streaming, UPn

APPLIED MACHINE LEARNING IN LOAD BALANCING

A common way to maintain the quality of service on systems that are growing rapidly is by increasing server specifications or by adding servers. The utility of servers can be balanced with the presence of a load balancer to manage server loads. In this paper, we propose a machine learning algorithm that utilizes server resources CPU and memory to forecast the future of resources server loads. We identify the timespan of forecasting should be long enough to avoid dispatcher's lack of information server distribution at runtime. Additionally, server profile pulling, forecasting server resources, and dispatching should be asynchronous with the request listener of the load balancer to minimize response delay. For production use, we recommend that the load balancer should have friendly user interface to make it easier to be configured, such as adding resources of servers as parameter criteria. We also recommended from beginning to start to save the log data server resources because the more data to process, the more accurate prediction of server load will be