Post on 19-Aug-2019
Septian Geges5109100179
IDENTIFIKASI BOTNETS MELALUI
PEMANTAUAN GROUP ACTIVITIES PADA
DNS TRAFFIC
Your Logo
Pengenalan BotnetAgenda
Your Logo
Latar Belakang dan Permasalahan
Botnet lebih dalam: Agobot
Bot dan botnet
Mekanisme serangan botnet
Penyebaran Agobot dan manajemen Agobot6
5
4
3
2
1
Penyebaran botnet dan manajemen botnet
4
• Kejahatan melalui dunia maya/cybercrime semakin marak dengan motif yang semakinberaneka ragam.
• Salah satu “tools” dalam menjalankan aksinyaadalah dengan menggunakan bot dan botnet.
• Belum ada metode deteksi bot dan botnet yang mampu mendeteksi dengan cepat dan efisien
Mengapa topik ini diangkat?Latar Belakang
“Rata-rata dari 800.000 hingga 900.000 komputer personal pada suatu waktu adalahzombies dan sudah terpasang bot dengantipe tertentu”
Alfred Hungarpenyelidikan yang dilaksanakan oleh CSI/FBI
Mengapa topik ini diangkat?Latar Belakang
“Rata-rata jumlah bot bertambah lima belaskali lipat selama separuh waktu tahun 2004”
D. TurnerSymantec Internet Security Threat Report Trends for January 1, 2004 – June 30, 2004
Mengapa topik ini diangkat?Latar Belakang
“Pada tahun 2004, di dalam enam bulanpertama saja DDoS sudah mengakibatkankerugian lebih dari 26 juta dolar, jumlah inimenempatkan DDoS ke peringkat keduadari kerugian yang disebabkan olehpenyebaran virus komputer”
L. GarberSymantec Internet Security Threat Report Trends for January 1, 2004 – June 30, 2004
Mengapa topik ini diangkat?Latar Belakang
• Bagaimana melakukan deteksi botnet dengan memantau aktivitas kelompokbotnet pada DNS traffic?
Mengapa topik ini diangkat?Permasalahan
• Kode program kecil yang dirancang untukmelakukan fungsinya secara otomatis.– Penggunaan yang baik: indexing/spidering
website– Penggunaan yang buruk: digunakan sebagai
backdoor untuk mendapatkan akses ilegal kecomputer korban
Bot dan botnetDefinisi bot
• Kumpulan dari sejumlah bot yang tergabung dalam jaringan (Jaringan bot).
• Botnet memudahkan koordinasi antar bot.
Bot dan botnetDefinisi botnet
Bot dan botnetGambaran bot dan botnet
………………
BOT
BOT
BOT
BOT
Server IRC Penyerang
KorbanInang
Channel Pribadi Penyerang Botnet
• Serangan Distributed Denial of Service• Secondary local infection• Penjualan bandwidth• Backdoor• “menitipkan” data illegal.
Bot dan botnetPenyalahgunaan bot dan botnet
“dalam enam bulan pertama pada tahun2004, varian dari Gaobot menyumbang tidakkurang dari 67.000 sampel pengujian yang diterima oleh Symantec”
Symantec Internet Security Threat, 2004
Bot dan botnetAnalisa bot: Agobot, varian dari Gaobot
• Agobot berupa Trojan creation kit, yang memungkinkan pengembangan Trojan buatan berdasarkan kebutuhan spesifikpengguna.
• Penyerang dapat memodifikasi sifat botnet dari jarak jauh.
Bot dan botnetAnalisa bot: Agobot, varian dari Gaobot
• Setiap komputer yang terinfeksi oleh Agobotakan menghubungkan diri ke channel IRC spesifik yang didefinisikan pada botconfiguration file. – Ketika koneksi gagal, bot akan memasuki mode sleep
selama 30 detik untuk kemudian menghubungichannel IRC lain yang tersedia pada bot configuration file.
• Hierarchical botnet
Analisa bot: AgobotBotnet Agobot
• Ketika koneksi dengan server sudah terhubung, makabot memasuki tahap infinite loop, menunggu perintahdari pusat komando.
• Komando ini berupa teks dengan format penulisantertentu yang dipisahkan dengan tanda “.” contohnya: “.bot.uptime”
• Tiap perintah akan diproses oleh command parser yang terdapat pada bot untuk kemudian diteruskan kecommand handler sesuai dengan kategorinya.
Analisa bot: AgobotAksekusi Perintah Agobot
Sistem Deteksi BotnetAgenda
Sifat botnet: Group Activity
Tahap 1: Seleksi Atribut Penting
Tahap 3: Uji Similaritas Domain
Gambaran Umum Sistem Deteksi
Tahap 2: Reduksi Dataset
5
4
3
2
1
• host yang terinfeksi secara otomatis akanmengakses server C&C dengan nama domainnya
• Pada saat ini query DNS RR (resource
record) digunakan.
Sistem deteksi botnetKarakteristik botnet: group activity
• Lima kasus berikut ini menunjukkan situasidi mana query DNS digunakan dalam botnet. – Pada prosedur penyebaran– Pada fase serangan botnet– Pada kegagalan koneksi server C&C– Pada proses migrasi server C&C– Pada saat perubahan alamat IP server C&C
Sistem deteksi botnetKarakteristik botnet: group activity
Alamat IP yang
mengakses
domain name
Pola aktivitas
dan kemunculan
Tipe DNS
DNS Botnet Jumlah tetap
dalam grup
(anggota botnet)
Group activity
muncul sesekali
(dalam situasi
spesifik)
Biasanya DDNS
DNS Normal Anonim, acak
(pengguna yang
sah)
Non-group
activity, random,
kemunculan
secara rutin
Biasanya DNS
Sistem deteksi botnetPerbedaan DNS Normal dan DNS Botnet
Seleksi atributpenting
• Input: DNS Traffic saatwaktu t
• Output: domain name danalamat IP unik
Reduksidataset
• Input: domain name dan alamatIP unik
• Output: domain name danalamat IP unik tereduksi
Ceksimilaritas
domain name
• Input: domain name danalamat IP unik tereduksi
• Output: domain name dan whitelist
Sistem deteksi botnetGambaran umum system deteksi botnet
Sistem deteksi botnetGambaran umum system deteksi botnet
Traffic DNS saat t
Traffic DNS saat t+1
Tahap Seleksi Atribut Penting
Atribut Penting Traffic DNS saat t
Atribut Penting Traffic DNS saat
t+1
1
5
2
6
Tahap Reduksi Dataset
3
7
Daftar domain name dan ip unik
yang mengaksesnya
pada saat t
Daftar domain name dan ip unik
yang mengaksesnya pada saat t+1
8
4
Tahap cek Similaritas domain
name
9
9
Daftar domain name C&C Botnet
Daftar whitelist domain name
10
10
Sistem deteksi botnetTahap seleksi atribut penting
Sistem deteksi botnetTahap seleksi atribut penting
Mulai
Domain Name Baru dan alamat
IP yang mengaksesnya
Apakah Domain Name ada dalam
Daftar
Masukkan Domain Name baru ke dalam
daftar domain
Buat list Alamat IP yang mengakses domain baru
Masukkan Alamat IP yang mengakses
Selesai
Tambahkan Alamat IP yang mengakses domain name
tersebut ke dalam listTidak
Ya
• Pada tahap ini dilakukan pemilahandan pengelompokan domain name danalamat IP unik yang mengakses domain tersebut
Sistem deteksi botnetTahap Reduksi dataset
Mulai
Data Domain Name beserta Alamat IP unik
yang mengaksesnya DAN daftar Wihitelist
Apakah Domain Name Terdapat dalam Whitelist
ATAUApakah jumlah Alamat IP yang
mengaksesnya < Threshold
Selesai
Hapus Domain Name dan Alamat IP yang
mengaksesnya dari dataset
Tidak
Ya
• Pada tahap ini dilakukanpengurangan dataset apabiladomain name tersebut sudah adapada whitelist ataupun kurang darithreshold reduksi
Sistem deteksi botnetTahap cek similaritas domain name
• Pada tahap iniakan dilakukancek similaritasdomain name beserta tindaklanjutnya
Pengujian Metode DeteksiAgenda
Pengujian Fungsionalitas
Pengujian Performa2
1
• Pengujian ini bertujuan untuk menguji kinerja sistemdeteksi botnet yang telah dibuat, apakah sudah dapatmenjalankan fungsinya dengan baik.
• Fungsi yang akan diuji antara lain: fungsi seleksi elemenpenting dari traffic jaringan, fungsi reduksi dataset, danfungsi cek similaritas.
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
• Fungsi seleksi elemen penting dari trafficDNS jaringan.
• Input:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
• Running
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
• Output Lengkap
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
[105.0.3.6.0.rst15.r.skype.net, [10.151.43.173]],
[crl.microsoft.com, [10.151.43.174, 10.151.43.179]],
[supertracker.flashget.com, [10.151.43.178]],
[proxy.its.ac.id, [10.151.43.172]],
[router.flashget.com, [10.151.43.176, 10.151.43.175]],
[router.utorrent.com, [10.151.43.177]],
[drive.google.com, [10.151.43.175]],
[host1.dns.id, [10.151.43.173]],
[books.google.com, [10.151.43.174]],
[corestat.flashget.com, [10.151.43.178]],
[ssl.gstatic.com, [10.151.43.179]],
[dns.msftncsi.com, [10.151.43.172]],
[www.google.com, [10.151.43.176]],
[apis.google.com, [10.151.43.177]],
[lh3.googleusercontent.com, [10.151.43.175]],
[talk.google.com, [10.151.43.173]],
[fbcdn-profile-a.akamaihd.net, [10.151.43.174]],
[fbexternal-a.akamaihd.net, [10.151.43.178]],
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173,
10.151.43.174, 10.151.43.175, 10.151.43.176, 10.151.43.177,
10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185,
10.151.43.186, 10.151.43.187, 10.151.43.188, 10.151.43.189,
10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197,
10.151.43.198, 10.151.43.199, 10.151.43.200]]
• Fungsi Reduksi dataset.• Input:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175, 10.151.43.176, 10.151.43.177, 10.151.43.178,
10.151.43.179, 10.151.43.180, 10.151.43.181, 10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186,
10.151.43.187, 10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193, 10.151.43.194,
10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199, 10.151.43.200]]
• PerbandinganOutput:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
Sebelum ada whitelist[[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]],
[cc.wl.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]]
sesudah ada whitelist[[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178, 10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184, 10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190, 10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196, 10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]]
• Penambahan whitelist
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
• Fungsi cek similaritas domain name.• Input:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173,
10.151.43.174, 10.151.43.175, 10.151.43.176,
10.151.43.177, 10.151.43.178, 10.151.43.179,
10.151.43.180, 10.151.43.181, 10.151.43.182,
10.151.43.183, 10.151.43.184, 10.151.43.185,
10.151.43.186, 10.151.43.187, 10.151.43.188,
10.151.43.189, 10.151.43.190, 10.151.43.191,
10.151.43.192, 10.151.43.193, 10.151.43.194,
10.151.43.195, 10.151.43.196, 10.151.43.197,
10.151.43.198, 10.151.43.199, 10.151.43.200]]
[www.youtube.com, [10.151.43.179]],
[id.yahoo.com, [10.151.43.172]],
[id.search.yahoo.com, [10.151.43.176]],
[mail.yahoo.comclick.beap.bc.yahoo.com, [10.151.43.177]],
[cc.bot.net, [10.151.43.171, 10.151.43.172, 10.151.43.173,
10.151.43.174, 10.151.43.175, 10.151.43.176,
10.151.43.177, 10.151.43.178, 10.151.43.179,
10.151.43.180, 10.151.43.181, 10.151.43.182,
10.151.43.183, 10.151.43.184, 10.151.43.185,
10.151.43.186, 10.151.43.187, 10.151.43.188,
10.151.43.189, 10.151.43.190, 10.151.43.191,
10.151.43.192, 10.151.43.193, 10.151.43.194,
10.151.43.195, 10.151.43.196, 10.151.43.197,
10.151.43.198, 10.151.43.199, 10.151.43.200]]
T T+1
• Proses:
• Output:
Pengujian metode deteksi botnetPengujian fungsionalitas sistem
• Pengujian dengan kondisi ideal dengan nilai threshold 1 sampai 0.1– Jumlah traffic botnet pada data t sama dengan t+1– 10 kali percobaan
• Pengujian dengan kondisi tidak ideal dengan nilaithreshold 0.8 sampai 0.4– Jumlah traffic botnet pada data t tidak sama dengan t+1– Ketidaksamaan ini diakibatkan karena botnet belum selesai
berpindah ketika interval waktu t selesai.– 6 kali percobaan
Pengujian metode deteksi botnetPengujian performa sistem (Sensitifitas dan Presisi)
• Pengujian waktu deteksi botnet– Tanpa menggunakan whitelist– Menggunakan whitelist
• Masing-masing kondisi diatas diuji dengan dua buahkepadatan data yang berbeda dalam satu log traffic DNS
Pengujian metode deteksi botnetPengujian performa sistem (Sensitifitas dan Presisi)
Dari table ext1 dan ext 3 bisa didapatkan hasil rata-rata kesalahan deteksi botnet
Pengujian metode deteksi botnetPengujian performa sistem pada kondisi ideal
Jumlah/kepadatandata
Threshold Similaritas1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1
Kurang lebih 500 baris DNS Traffic
0 0 0 0 0 0 0 0.5 1.2 10.5
Kurang lebih 1000 baris DNS Traffic
0 0 0 0 0 0 0 0.2 3.5 17.5
Pengujian metode deteksi botnetPengujian performa sistem pada kondisi ideal
0
5
10
15
20
1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1
Jum
lah
Do
mai
n N
ame
Terd
etek
si
Nilai Threshold Similaritas
Rata-Rata Jumlah Kesalahan Deteksi Domain Name pada Nilai Threshold Similaritas Tertentu
Kurang lebih 500 baris DNS Traffic Kurang lebih 1000 baris DNS Traffic
Ilustrasi Kondisi Tidak Ideal
Waktu
Waktu t Waktu t+1
[cc.bot.net, [10.151.43.171, 10.151.43.172,
10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178,
10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184,
10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190,
10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196,
10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]
[cc.bot.net, [10.151.43.195, 10.151.43.196,
10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200 10.151.43.171, 10.151.43.172,
10.151.43.173, 10.151.43.174, 10.151.43.175,
10.151.43.176, 10.151.43.177, 10.151.43.178,
10.151.43.179, 10.151.43.180, 10.151.43.181,
10.151.43.182, 10.151.43.183, 10.151.43.184,
10.151.43.185, 10.151.43.186, 10.151.43.187,
10.151.43.188, 10.151.43.189, 10.151.43.190,
10.151.43.191, 10.151.43.192, 10.151.43.193,
10.151.43.194, 10.151.43.195, 10.151.43.196,
10.151.43.197, 10.151.43.198, 10.151.43.199,
10.151.43.200]]
Pengujian metode deteksi botnetPengujian performa sistem pada kondisi tidak ideal
Botnet yang bergerak(%)
Threshold similaritas
0.4 0.5 0.6 0.7 0.8
15 2 2 2 2 2
30 2 2 2 2 2
45 2 2 2 2 1
60 2 2 2 1 1
75 2 2 2 1 1
90 2 2 1 1 1
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
50
100
150
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Waktu Proses Pemilihan Atribut Penting
Tidak Menggunakan Whitelist Menggunakan Whitelist
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
20
40
60
80
100
120
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Waktu Proses Reduksi Dataset
Tidak Menggunakan Whitelist Menggunakan Whitelist
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
200
400
600
800
1000
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Proses Cek Similaritas Domain
Tidak Menggunakan Whitelist Menggunakan Whitelist
Pengujian metode deteksi botnetPengujian performa sistem dari Segi waktu proses deteksi
0
200
400
600
800
1000
1200
1400
1 2 3 4 5 6 7 8 9 10
Wak
tu (
mili
seko
n)
Percobaan Ke
Perbandingan Waktu Total Deteksi Botnet
Tidak Menggunakan Whitelist Menggunakan Whitelist
• Dari tabel 5.1 dan 5.3, dapat dilihat bahwa sistem mulaitidak mampu mendeteksi botnet dengan akurat ketikanilai threshold similaritas bernilai 0.3 ke bawah (0.2, 0.1 dan seterusnya).
• Dari hasil percobaan, rata-rata nilai similaritas daridomain name normal adalah 0.2, kebanyakan domain name normal memiliki nilai similaritas dibawah 0.1.
• Pengaruh jumlah data pada percobaan yang ditunjukkanoleh table 5.1 dan 5.3 tidak memberikan perbedaanyang signifikan pada deteksi domain name botnet.
KesimpulanDari Pengujian Kondisi Normal
• Pada tabel 5.5 dapat terlihat bahwa kondisi botnet yang belum bergerak sepenuhnya ketika waktu t sudahberlalu akan mempengaruhi ketepatan deteksi botnet oleh sistem. Selain kondisi perpindahan botnet, nilaithreshold similaritas juga berpengaruh.
• Pengaruh jumlah data pada percobaan yang dapatterlihat pada table 5.5 tidak memberikan perbedaanyang signifikan pada deteksi domain name botnet.
KesimpulanDari Pengujian kondisi tidak Normal
• Pada tabel 5.7 dan tabel 5.8 dapat terlihat bahwa sistemyang menggunakan whitelist memiliki performa waktuyang lebih baik dibandingkan sistem yang tidakmenggunakan whitelist.
• Hal ini disebabkan karena sistem tidak perlu melakukanpengecekan tingkat similaritas domain name yang sudahmasuk ke dalam whitelist.
KesimpulanDari Pengujian waktu deteksi
Sistem dapat menyeleksi data penting dalam queryDNS, mereduksi dataset yang akan diperiksa similaritasdomain name-nya, dan mengenali botnet yang terdapatdalam jaringan melalui group activity botnet tersebut.
Sistem deteksi botnet memiliki tingkat sensitivitas/recalldan presisi yang tinggi yaitu diatas 70% dan performayang baik dalam hal waktu, akan lebih baik lagi denganpenggunaan fitur whitelist.
KesimpulanPenelitian Secara Keseluruhan
Terima Kasih