6

BAB II

KAJIAN TEORI

2.1. Pengertian Jaringan Internet

Internet merupakan suatu jaringan komputer yang besar, terdiri dari jutaan

komputer yang saling terhubung melalui suatu protocol untuk pertukaran informasi

antar komputer yang terhubung tersebut[10]. Semua komputer terhubung satu sama

lain dengan menggunakan satu transmisi pertukaran informasi dengan

menggunakan TCP/IP (Transmission Control Protocol/Internet Protocol). Intenet

menggunakan data yang di akses dari layanan komunikasi yang berasal dari

sumberdaya komputer yang terhubung untuk jutaan pemakainya yang tersebar di

seluruh dunia.

Internet memberikan dampak keuntungan dalam bidang bisnis, akademis,

pendidikan, pemerintahan, organisasi danlainsebagainya. Dengan adanya intenet

manfaat yang dapat diperoleh antara lain. Komunikasi interaktif, akses data dan

ilmu ke pakar, akses data pembelajaran perpustakaan, membantu banyak penelitian

untuk mengembangkan ilmu pengetahuan, pertukaran data, dan juga kolaborasi.

Dengan menggunakan intertnet telah banyak dimanfaatkan untuk e-

comerse, e-banking, e-government, e-learning, dan yang lainnya. Karena kita dapat

menggunakan jasa layanan tersebut dengan memanfaatkan jaringan intenet.

Aktifitas jual beli yang dapat dilakukan melalui jaringan internet memberikan

wujud penerapan teknologi informasi di bidang jual beli yang nyata namun tidak

berinteraksi langsung dengan penjual melainkan melalui jaringan intenet. Dengan

kata lain internet menjembatani kominikasi tersebut.

2.2. Serangan pada jaringan internet

Internet yang membantu dalam menyelesaikan masalah – masalah atau

untuk sebagai komunikasi dan hiburan seperti blog, video, dan juga service –

service web, telah banyak digunakan oleh berbagai kalangan, mulai dari website

pribadi perkantoran, pemerintahan, juga finansial. Dari website tersebut maka tidak

lepas dari serangan siber yang datang menuju server mereka.

Seperti layanan bank yang menggunakan internet sebagai media

komunikasinya maka bank memerlukan keamanan dari serangan jaringan[11],

7

jaringan internet sendiri pada mulanya hanya dapat di gunakan untuk kebutuhan

akademis (penelitian dan pendidikan). Namun sejak 1995 internet menjadi di

gunakan untuk keperluan bisnis.

Banyak bentuk bentuk serangan yang ada di jaringan internet yang dapat

mengganggu jalannya servis pada jaringan. Seperti gambar dibawah ini yang

menggambarkan titik rawan dalam jaringan internet.

Gambar 2.1. Titik rawan dalam hubugan internet[11]

Dalam kasus Gambar 2.2 di atas terdapat berapa serangan dari penyadapan

pada komputer pengguna yang di lakukan oleh virus Trojan horse, kemudian

terdapat juga serangan yang melibatkan isp, dan ada juga serangan dalam bentuk

DoS.

2.3. Macam macam serangan jaringan

Dalam jaringan terdaapat macam – macam serangan, serangan jaringan

terbagi menjadi beberapa jenis untuk serangan dalam penelitian ini menggunakan

DoS dan DDoS dalam penyerangan nya berikut ini pengertian DoS dan DDoS, dan

juga port scanning untuk melihat service yang terbuka.

2.3.1. DoS

Jenis seranganyang di lakukan dengan menghambat atau memutus

ketersediaan informasi ketika di butuhkan seperti Denial of Service (DoS) attack,

akan membuat server kehilangan ketersediaannya. Proses serangan ini di lakukan

oleh seorang penyerang jaringan dengan cara mengirimkan layanan permintaan

dimana permintaan tersebut di kirimkan secara terus menerus. Ketika paket

dikirimkan terus server tidak akan dapat melayani permintaan lain bahkan server

bisa down, hang dan crash apabila serangan tidak kunjung di hentikan[12]. Pada

umumnya serangan DoS dan DDoS menargetkan serangan pada bandwith jaringan

8

komputer dengan trafict yang tinggi. Dengan membanjiri jaringan komputer atau

koneksi jaringan.

2.3.2. DDoS

Sebuah serangan yang menggunakan DoS namun terdistribusi sehingga

serangan ini melibatkan banyak komputer yang saling terhubung dan melakukan

serangan pada target komputer, host yang melakukan serangan DDoS disebut

komputer Zombie. Dengan cara dilakukan remote dari sebuah master yang natinya

master akan memerintahkan kepada kumpulan zombie komputer untuk menyerang

target yang perintahkan. Dengan kata lain serangan ini dilakukan dengan cara

beramai ramai yang menyebabkan banjirnya request dari user dan server tidak

mampu melayani user[5].

Serangan DDoS akan menyerang resource komputer yang di gunakan

untuk melakukan komunikasi untuk membalas request client atau dengan kata lain

bandwith jaringan. Dengan demikian komputer yang terkena serangan ini tidak

akan bisa memberikan ketersediaan CPU, Memory, ataupun penyimpanan pada

sebuah system, karena sumberdaya bandwith telah penuh dan tidak mampu

memberikan layanan. DDoS memakan banyak proses sistem karena menggunakan

banyak zombie komputer yang di gunakan untuk menghabiskan resource sitem

tersebut. Ketika serangan berlangsung sistem komputer akan menjadi sangat sibuk

karena kebanjiran request. Bot-net di gunakan untuk melancarkan serangan DDoS

Flooding dalam proses attacking serangan ini terdapat beberapa peranan seperti

Master, Handler, Agen dan korban.

Dalam sebuah contoh terdapat sebuah website yang sering di kunjungi

ketika di lakukan DDoS maka website itu akan down, tidak dapat memberikan

informasi. Beberapa website yang di serang dengan menggunakan prinsip DDoS

adalah EBay, Amazon, Buy.com, CNN.com dan Yahoo.com karena begitu hebatnya

efek dari serangan DDoS tersebut website yang telah terkena serangan mengalami

kerugian yang cukup banyak[12].

2.3.3. Port Scaning

Serangan jaringan dengan port scanning merupakan metode untuk

menemukan jalur komunikasi yang dapat di eksploitasi. Jalur tersebut di gunakan

penyedia layanan atau server pada waktu yang lama[13]. Tujuan utamanya untuk

9

menyelidiki jalur pada jaringan berbentuk port yang sedang berjalan pada sebuah

server. Beberapa sudut pandang menyatakan bahwa serangan Port Scanning

merupakan serangan yang tidak merugikan namun juga di anggap sebagai metode

untuk menemukan sebuah kemungkinan yang bisa membuat kerugian pada sistem.

Telah banyak teknik yang dapat di gunakan untuk melakukan port scanning, seperti

port scanningpada TCP, TCP Half-connect scanning, Stealth scanning, Xmass Tree

scanning dan NULL scanning. Semua dari teknik di atas memerlukan paket TCP

untuk proses scanning nya.

TCP Connect merupakan metode scanning yang masih belum sempurna

dengan menggunakan handshaking tiga arah. Sistem yang di gunakan pada Port

Scanning dengan menyerang dengan mengirim dengan Flag SYN ke korban

kemudian menunggu balasan paket. Untuk mengidentifikasikan port yang sedang

terbuka, host target akan mengirimkan balasan paket berupa SYN/ACK. Namun jika

port tidak merespon maka server akan memberikan paket kembali berupa

RST/ACK. Setelah itu attacker akan mengirimkan paket ACK dengan koneksi penuh

namun dengan TCP Setengah terhubung saja. Di sisi lain juga akan menggunakan

paket RST untuk segera menutup koneksi.

Stealth atau TCP FIN merupakan Pemindaian dengan mempermainkan

peran serangan dengan mengirim paket dengan Flag FIN ke lawan atau target.

Sebuah paket RST / ACK akan di berikan dari server jika port host target sedang

tertutup, namun ketika port server korban terbuka, attacker tidak akan menerima

paket apapun dari target.

XMass Tree memberikan server host target dengan paket TCP dengan Flag

FIN / URG / PSH. Untuk scanning dengan NULL Scanning mengirimkan paket

namun tidak menyertakan Flag ke host target. XMass Three dan NULL Scanning

sama sama melakukan listen Paket RST / ACK untuk menunjukkan bahwa port

sedang tertutup dan tidak ada paket balasan jika terdapat port yang terbutka.

2.4. Honeypot

Honeypot adalah sistem yang didesain menyerupai system yang asli dan di

buat untuk tujuan di serang atau di susupi, sehingga system yang asli tetap aman

dari serangan[14]. Honeypot menyediakan layanan dimana akan menjadi sebuah

umpan untuk attacker, honeypot terdiri dari banyak kumpulan sebuah sistem

10

contohnya kippo, dionaea, dll. Bekerja pada host yang di sebut sensor host. Sistem

ini akan mengumpulkan banyak data dari serangan attacker dan sistem ini akan

melindungi sistem server maka server masih bisa melakukan layanan. Jika suatu

serangan di lancarkan oleh attacker maka honeypot seakan akan menjadi sebuah

server yang telah di serang. Dalam honeypot trafik jaringan tidak benah benar

merupakan server asli, karena di dalamnya tidak ada sebuah sistem yang benar-

benar menyatakan suatu server yang sedang berjalan[7]. Honeypot di manfaatkan

oleh peneliti atau perusahaan untuk mendapatkan sebuah modus yang di lakukan,

untuk apa penyerang melakukannya atau apa yang sedang di serang.

Dalam honeypot dapat menyimpan semua data informasi penyerang dari

waktu, tanggal, ip, port source, port destination. Honeypot menghasilkan sebuah

log yang dapat digunakan untuk untuk analisa dan mengetahui informasi dari hasil

analisa tersebut.

2.5. Macam macam Honeypot

Honeypot memiliki berbagai jenis dan tujuan masing masing, terdapat

honeypot yang di gunakan untuk menangkap malware, ada yang di gunakan untuk

mencatat serangan DoS, honeypot yang di tujukan untuk serangan Brute Force pada

ssh dan shell interaction. Berikut ini contoh dan pengertian dari beberapa honeypot.

2.5.1. Dionaea

Dionaea merupakan sebuah software yang dapat dilakukan ekploitasi.

Hasil dari eksploitasi menghasilkan sebuah log yang di simpan. Ketika Dionaea

menerima serangan sebenarnya Dionaea sedanga melakukan sebuah jebakan untuk

penyerang agar dapat di ambil datanya. Dionaea dapat mengambil sample dari

malware yang menyenrang dirinya.

2.5.2. Cowrie

Cowrie merupakan honeypot yang bejalan menyerupai ssh dan telnet.

Cowrie akan mencatat serangan yang berasal dari brute force dan shell interaction

kemudian menyimpan serangan bruteforce hasil username dan passowrd yang telah

dicobakan kedalam honeypot cowrie. Cowrie juga mampu memberikan penyerang

halaman shell yang bejalan dengan user root, attacker dapat melakukan apaun

dengan shell tersebut namun tidak ada efek yang berjalan. Dalam shell tersebut

11

semua aktifitas akan di rekam oleh cowrie. Serangan yang masuk pada cowrie dapat

dipelajari dengan memanfaatkan hasil log dan shell interaction-nya.

Dari beberapa honeypot yang ada di atas terdapat honeypot yang dapat di

gunakan dalam penelitian ini. Dionaea dapat mendeteksi serangan yang berupa Port

Scanning dari software NMAP, dan dapat mendetksi serangan DoS menggunakan

Aplikasi LOIC dan serangan DDoS pada port yang di targetkan. Dionaea akan di

pasang pada sistem penelitian ini dengan tujuan untuk mengambil data serangannya

yang berada pada log.

2.6. Software yang di gunakan dalam penelitian

Untuk memenuhi kelengkapan software yang di perlukan dalam penelitian

ini akan di perjelas software yang akan di pakai dan beberapa teknik dalam

melakukan konfigurasi agar sistem dapat berjalan. Beberapa software di bawah ini

merupakan software yang bersifat opensouce dan berjalan stabil pada versi tertentu.

2.6.1. Ubuntu server

Ubuntu merupakan sistem operasi opensource yang banyak di gunakan

untuk desktop dan server. Ubuntu merupakan sistem operasi turunan dari debian

yang di kembangkan lagi hingga saat ini berversi 18.04. Ubuntu server dapat di

gunakan server web, server aplikasi, dan banyak lagi.

2.6.2. Proxmox VE

Proxmox VE merupakan program sistem operasi opensource penuh yang

di gunakan untuk managements server Virtual Machine (VM). Proxmox di bekali

dengan visualisasi untuk melakukan management servernya dengan memanfaatkan

browser. Proxmox merupakan Virtualisasi yang berbasiskan pada Kernel-based

Virtual machine (KVM) virtualization dan Container-Base virtualization. Proxmox

dapat di gunakan untuk melakukan management Virtual Machine (VM), Storage,

Virtual Network, dan High Availability (HA) Clustering. Untuk proxmox kelas

enterprise memiliki fitur yang lebih banyak dengan membantu user untuk

menaikkan resources yang di milikinya dan membantuk mengurangi biaya untuk

hardware dan juga waktu administrasi.

2.6.3. Modern honeypot network (MHN)

Modern Honeypot Network (MHN) merupakan system opensource

management yang dapat di gunakan untuk melakukan management sensor

honeypot dengan jumlah yang banyak tanpa konfigurasi yang banyak[15]. MHN

12

juga digunakan untuk mengumpulkan data yang berasal dari honeypot. Data attack

akan di kumpulkan dengan berdasarkan id masing masing dari sensor pada MHN.

MHN menyedikan world map yang dapat di gunakan untuk melihat dari negara

mana serangan itu datang. namun tidak untuk API nya. Lokasi asal serangan akan

di tampilkan secara live saat terjadi serangan.

Untuk instalasi sensor, MHN sudah dibekali script yang dapat digunakan

untuk instalasi sensor pada halaman deploy. Hal ini akan memudahkan untuk

pemasangan banyak sensor tanpa konfigurasi masing masing sensor yang di install,

apalagi sensor yang di pasang merupakan sensor yang berbeda. Konfigurasi akan

berbeda jika jenis honeypot berbeda pula, karena beberapa honeypot dibuat untuk

sistem yang berbeda.

MHN menyediakan API yang dapat digunakan untuk third party software,

API tersebut nantinya di gunakan untuk mengambil data untuk analisa K-Means.

Walaupun ketika instalasi berlangsung sudah terdapat pertanyaan untuk instalasi

software Splunk dan ELK yang merupakan software third party yang dapat

memberikan visualisasi, namun tidak memberikan hasil K-Means.

2.6.4. Honeypot yang terdapat di MHN

MHN yang merupakan sotftware management honeypot memiliki halaman

yang dapat di gunakan untuk installasi sensor, seperti yang dijelaskan pada sub bab

2.6.3, honeypot dapat secara mudah di install tanpa banyak konfigurasi, ketika

dilakukan installasi, sensor dapat langsung terhubung dengan MHN. Terdapat

beberapa honeypot yang ada pada MHN karena service ini dapat menampung data

dari berbagai honeypot maka satu server MHN dapat menampung honeypot dari

beberapa sensor honeypot yang sama.

Gambar 2.2. Macam - macam honeypot pada MHN

13

2.6.5. Mikrotik

Mikrotik adalah sebuah Router dimana menggunakan Mikrotik RouterOS

sebagai sistem operasinya[16]. Mikrotik RouterOS dibuat dan didesain untuk

memudahkan dalam penggunaannya. Dimana sangat baik di gunakan dalam sistem

jaringan yang berskala kecil hingga yang kompleks.

Mikrotik RouterBOARD merupakan kombinasi antara sistem operasi dan

juga hardware yang di buat oleh perusahaan MikoTik Ltd, yang di pasarkan ke

Internet service provider kecil hingga pada yang menengah ke atas.

2.6.5.1. Fungsi mikrotik

Mikrotik pada standarnya merupakan perangkat keras jaringanyang.

Kualitas control dan fleksiblitas untuk berbagai jenis dari paket data dan

penanganan Routing. Mikrotik juga dapat di gunakan sebagai manajemen bandwith,

firewall, wireless (Untuk Mikrotik AP), sistem hotspot, Virtual Private Network

(VPN), dan juga Mikrotik yang telah support dengan Virtualization.

2.6.5.2. NAT Mikrotik (Port Forwarding)

Network Address Translation (NAT) merupakan menu firewall yang ada

pada mikrotik. Menu ini dapat di gunakan untuk beberapa fungsi, untuk melakukan

Forwarding port, untuk membelokkan Port atau merubah port, Untuk memberikan

keamanan berupa firewall untuk keamanan jaringan. Port forwarding di gunakan

untuk meneruskan paket yang di tuju ke selain destination port awal. Jika ip A di

gunakan untuk akses pertama dan di teruskan ke ip B maka, yang terjadi jika port

contohnya port 80 di teruskan, ketika melakukan request web yang keluar adalah

port dari IP B karena paket sudah di teruskan ke IP dan Port B.

2.7. K-Means

Data cluster merupakan salah satu metode dari data mining yang bersifat

tanpa arahan. Ada dua jenis dari clustering data yang di perlukan dalam

pengelompokkan data yaitu hierarchical (hirarki) dan clustering data non-

hirarchical (non-hirarki). K-Means merupakan tiple clustering data non-hirarki

dengan mengelompookan data dalam bentuk cluster atau kelompok sehingga data

yang telah tercluster memiliki karakteristik yang sama dengan masing masing

cluster[17].

Data clustering secara umum dalam pengelompokan data di lakukan

dengan algoritma datar sebagai berikut ini.

14

a. Tentukan jumlah cluster.

b. Alokasikan data ke dalam cluster secara random.

c. Hitung centerouid rata rata dari data yang ada di masing masing cluster.

d. Alokasikan masing masing data ke centeroid atau rata rata terdekat.

e. Kembali pada step c, apabila masing terdapat data yang berpindah

cluster atau apabila perubahan nilai centeroid, ada yang di atas nilai

threshold yang di tentukan atau apabila perubahan paka nilai objective

function yang di gunakan di atas nilai threshold yang di tentukan.

2.7.1. Analisa serangan dengan metode K-Means

Dengan menggukan algoritma K-Mean untuk melakukan cluster pada data

log digunakan Rumus Euclidiant distance. Dengan memberikan nilai centroid

secara random pada awal inisialisasi agar dapat menentukan lokasi centroid

berdasarkan data waktu pada data log. Kemudian di hitung masing masing antara

objek waktu untuk menghitung jarak antar centeroid. Dan setelah di lakukan maka

di tentukan persamaan antar object kemudian jika nilai konvergen dari masing

masing centeroid belum tercapai di lakukan iterasi sampa nilai centeroid tepat[9].

Clustering merupakan suatu proses untuk mengelompokkan suatu data

pada masing-masing cluster, dimana masing masing data memiliki sebuah

kesamaan satu sama lain. Dengan menggunakan k–means data akan di

kelompokkan dari jarak antara data satu dengan data yang lain terhadap suatu

centeroid data[9]. Hasil centeroid akan di tentukan dari sebuah looping dari semua

data yang ada hingga menemukan titik pas centeroid.

Metode K–Mean clustering di analogikan dalam suatu metode sebagai berikut

1. Inisialisasi dengan cara menentukan suatu Nilai K menjadi sebuah

Centroid dan matrik yang memiliki tidak kemiripan jarak yang di

inginkan. Jika perlu, di tetapkan suatu ambang batas dari perubahan objek

dan ambang batas perubahan posisi tersebut.

Rumus menentukan nilai K

15

2. Membangkitkan centeroid awal secara randon dari objek yang sudah

tersedia pada sebanyak cluster yang di tetapkan. Lalu menghitung

centeroid untuk di tetapkan pada posisi yang tepat.

Rumus pembangkitan Centeroid

3. Menghitung jarak setiap object pada masing-masing nilai dari centeroid.

Untuk melakukan perhitungan pada jarak antar objek di lakukan dengan

cara menggunakan euclidiean distance.

Rumus menghitung jarak tiap objek dari Centeroid

Untuk mendapatkan data yang tepat harus di lakukan:

a. Pengalokasian masing-masing suatu objek ke dalam centeroid

yang paling terdekat.

b. Melakukan proses iterasi dan menentukan posisi centeroid baru

menggunakan cara ke 2.

c. Mengulangi langkah terakhir hingga kondisi dari hasil yang di

dapat konvergen tercapai, dengan syarat:

i. Perubahan fungsi objective sudah di ambang bawah batas

yang di tentukan.

ii. Tidak ada data yang berpindah cluster Perubahan

centeroid sudah di bawah ambang batas yang sudah di

tetapkan

2.8. Silhoulete Coefficient

Silhoulete coefficient di gunakan untuk menghitung jumlah cluster yang

optimal pada data hasil K-Means dengan total n cluster. Kekuatan cluster akan

terlihat dengan nilai tertinggi setelah uji Silhoulete di lakukan. Metode silhoulete

merupakan suatu gabungan metode cohestion dan sparation[18].

16

Untuk perhitungan dari nilai silhoulete menggunakan rumus berikut ini:

a) Hitung rata-rata jarak dari suatu dokumen misalkan i dengan

semua dokumen lain yang berada dalam satu cluster.

𝑎(𝑖) = 1

|𝐴|−1 ∑ 𝑗 ∈𝐴,≠𝑖 𝑑(𝑖,𝑗) (1)

dengan j adalah dokumen lain dalam satu cluster A dan d(i,j)

adalah jarak antara dokumen i dengan j.

b) Hitung rata-rata jarak dari dokumen i tersebut dengan semua

dokumen di cluster lain, dan diambil nilai terkecilnya.

Dengan d(i,C) adalah jarak rata-rata dokumen i dengan semua

objek pada cluster lain C dimana A ≠ C

(𝑖) = min 𝐶 ≠ 𝐴 (𝑖, 𝐶) (2)

c) Nilai Silhouette Coefficient nya adalah :

𝑠(𝑖) =𝑏(𝑖)− 𝑎(𝑖)

𝑚𝑎𝑥(𝑎(𝑖),𝑏(𝑖)) (3)

2.9. Real time

Real time merupakan pengondisian dari suatu sistem yang memiliki

rentang waktu dan tenggang waktu tertentu. Untuk menggambarkan suatu data

mining dalam mengoperasikan agoritmanya, di gunakan Real – time untuk

memproses data tersebut dengan hasil yang relative sama terhadap waktu yang ada.

Tapa menggunakan metode data mining konvensional yang berjalan dengan mode

batch[19]. Real – time akan memperbarui data yang akan di pakai dalam model

lama. Setiap data yang akan di gunakan di perbarui tanpa perlu mengumpulkan data

lama dan baru.

2.10. Referensi

Referensi penelitian merupakan suatu acuan penulis sebagai bahan

pendukung penelitian. Kontribusi penelitian menghindarkan penulis dari sebuah

pengulangan dari penelitian sebelumnya yang sudah di buat. Berikut kontribusi

penelitian yang berkaitan dengan penelitian yang di lakukan.

17

Tabel 2.1. Kontribusi penelitian

Nama

penulis

Judul Penelitian Metode

K-

Means

Realtime Honeypot Web

browser

MHN

Winda

Andrini

Wulandari

PENGGUNAAN

ALGORITMA K-

MEANS PADA

DATALOG

HONEYNET

UNTUK

PROFILING

SERANGAN

DDOS[9]

√ √ √

A SRONI ,

R ONALD

A DRIAN

Penerapan

Metode K-Means

Untuk Clustering

Mahasiswa

Berdasarkan Nilai

Akademik

√

Dengan Weka

Interface Studi

Kasus Pada

Jurusan Teknik

Informatika

UMM

Magelang[20]

18

Nama

penulis

Judul Penelitian Metode

K-

Means

Realtime Honeypot Web

browser

MHN

Bayu Setia

Candra

ANALISIS

PENERAPAN

JARINGAN

KEAMANAN

MENGUNAKAN

IDS DAN

HONEYPOT[21]

√

Triawan

Adi

Cahyanto,

Hardian

Oktavianto,

Agil

Wahyu

Royan

Analisis dan

Implementasi

Honeypot

Menggunakan

Dionaea

Sebagai

Penunjang

Keamanan

Jaringan[14]

√

Denni

septian

hermawan

Analisa Real-

Time data log

honeypot dengan

menggunakan

Algoritma K-

Means pada

serangan

Distributed

Denial of Service

(DDoS)

√ √ √ √ √

19

2.11. Kontribusi penelitian

Perbedaan antara penelitian sebelumnya dengan penelitian yang akan di

lakukan antara lain penerapan sistem realtime yang akan memberikan informasi

secara terus menerus ketika sistem analisa di gunakan. Pada penelitian sebelumnya

data yang di gunakan adalah data yang berasal dari log honeypot yang di rubah

dalam bentuk csv. Dengan data rentang tiga tahun dan pengambilan datanya di

lakukan dengan cara pengambilan sample satu data setiap harinya. Maka dengan

menggunakan konsep realtime data akan di tampilkan dengan menggunakan

aplikasi web yang menampilkan datanya secara realtime. selain itu pengambilan ip

penyerang terbanyak dalam melakukan serangan akan di tampilkan berdasarkan

serangan terbanyak tiap cluster. Waktu yang di tampilkan dapat berupa realtime

waktu dalam kurun waktu satu hari 24 jam ketika menjalakan sistem analisa.