20

BAB III

ANALISA DAN PERANCANGAN SISTEM

Arsitektur sistem

Pada arsitektur sistem ini akan di jelaskan bagaimana proses dari

pengumpulan data dari sebuah honeypot yang menyimpan datanya berupa log,

kemudian di kirimkan ke server analisa dengan menggunakan hpfeed dan memulai

proses analisa yang ahirnya di tampilkan dalam bentuk grafik realtime.

Desain perancangan system

Berdasarkan studi pustaka yang telah di lakukan, dapat di tentukan

bagaimana desain dari sistem yang akan di buat. Pada tahap ini, akan di lakukan

dengan merancang desain sistem yang akan di bangun.

Pada rancangan sistem terdapat skema sistem yang menjelaskan rancangan

secara garis besar tentang bagaimana cara kerja dari sistem yang di buat. Dalam

skema tersebut menunjukkan perangkat keras, perangkat lunak, dan alur dari sistem

secara umum. Dapat di pahami dan di perjelas pada gambar berikut:

Gambar 3.1. Perancangan sistem

Terdapat tiga buah komponen dalam perancangan system yaitu honeypot

yang terpasang sensor raspberry dan terhubung web server serta mhn, komputer

untuk analisa pada web server yang menggunakan algoritma K-Means, dan Router

untuk mengarahkan beberapa port ke sensor. Dari masing-masing komponen

tersebut memiliki tujuan masing-masing. Device yang di pasang honeypot sebagai

umpan serangan yang masuk dengan memanfaatkan Raspberry Pi, honeypot

21

merekam serangan dan mencatat serangan tersebut. Kemudian honeypot

mengirimkan data serangannya kepada servernya, server yang di gunakan adalah

server MHN yang dapat menampung dari beberapa sensor honeypot. Pengiriman

yang di lakukan sensor ke pada server MHN menggunakan ip address dan juga port

(1000). Data yang di terima pada MHN dapat langsung di liha pada dashboard

MHN, namun hanya berupa table serangan.

Analisa akan di olah dengan algoritma K-Means dan di tentukan hasil dari

proses clustering dari data yang telah di kumpulan. Proses clustering akan di

lakukan ketika user melakukan atau membuka dashboard dari halaman analisa.

Request yang di lakukan client akan di tentukan perhitungan K-Means dan

kemudian selesai dalam mengelola hasil dari analisa, hasil dari analisa tersebut di

kirim ke client kembali dan di tampilkan dalam bentuk dashboard halaman web.

Pada penelitian ini akan di terapkan sebuah sensor node untuk mendeteksi

serangan Distribute Denial of Service (DDoS), dengan menggunakan sistem operasi

Rasbian OS yang di install pada Device Raspberry PI. Dan ketika Rasbiab OS

berhasil berjalan maka dapa di lakukan installasi aplikasi Honeypot. Aplikasi

honeypot yang di gunakan adalah Dionaea, dionaea di gunakan untuk mendeteksi

serangan pada beberapa port yaitu: port 21(ftp), 80(http), 135(msrpc ), 445(smb).

Namun tidak hanya itu saja, Dionaea mampu memberikan informasi tentang port

scanning yang di lakukan attacker dengan memberikan hasil log yang melakukan

scaning pada banyak port. Namun beberapa port tersebut akan di pakai untuk

analisa pada halaman web, untuk di tampilkan jumlah serangan pada waktu dan

Cluster menggunakan metode K – Means.

Dengan menggunakan beberapa port yang sering di gunakan untuk

beberapa service, dapat memberikan hasil serangan yang benar benar terjadi.

Karena seragan ini akan diuji dalam jaringan internet.

Metode pengumpulan data

Pada penjelasan yang di jelaskan pada Sub Bab 3.2 metode yang di

gunakan untuk mengumpulkan data yang di gunakan untuk penelitian ini dengan

menggunakan pemanfaatan dari aplikasi MHN dimana MHN dapat mengumpulkan

data dari sensor yang telah di daftakan pada service MHN. Honeypot di jalankan

sebagai perekam segala aktifitas dari jaringan dalam penelitian ini. Ketika honeypot

22

di jalankan dan honeypot mendeteksi sebuah serangan yang masuk dari paket yang

masuk, honeypot akan merekan semua kejadian dan di kirimkan kepada MHN

dengan menggunakan port 1000 (default).

Metode pengambilan data

Dari penjelasan Sub bab 3.3 penggunaan MHN merupakan paket yang

lengkap dalam mengatur honeypot, termasuk juga dalam proses pengiriman log.

Pengumpulan data yan di lakukan oleh sensor akan di lanjutkan pada proses

pengambilan data yang telah di kumpulkan pada MHN. Untuk melakukan

pengambilan data tidak memerlukan aplikasi tambahan, dengan memanfaatkan API

yang ada pada MHN, Maka akan lebih mudah di terapkan pada pemrograman untuk

analisa. API yang telah di sediakan oleh mhn dapat dengan mudah di panggil

dengan memanfaatkan key yang telah tersedia di halaman seting.

Gambar 3.2. Pengambilan data log

Server yang di gunakan untuk analisa dengan menggunakan K-Means

akan meminta data ke MHN melalui API yang dimilikinya. Kemudian mhn akan

mengambil data dari database dan di berikan berupa response json. Hasil nya akan

di lakukan analisa dengan K-Means dan hasil akhir di berikan kepada user.

Proses Clustering

Proses clustering untuk menentukan serangan yang berasal dari serangan

yang di ambil melalui API MHN. Akan di lakukan proses Clustering dengan

menggunaan Algoritma K-Means, dari penjelasan sub bab 2.8.1 clusterisasi di

lakukan dengan beberapa tahapan secara umum[9].

1. Inisialisasi: menentukan nilai K sebagai centroid dan matrik

ketidakmiripan (jarak) yang diinginkan. Jika perlu, tetapkan ambang

batas perubahan objektif dan ambang batas perubahan posisi tersebut

23

2. Bangkitkan centroid awal secara random dari objek – objek yang

tersedia sebanyak k cluster, lalu menghitung centroid dengan

menggunakan rumus berikut

3. Hitung jarak setiap objek ke masing – masing dari masing centroid.

Untuk menghitung jarak antara objek dengan centroid menggunakan

euclidean distance dengan rumus sebagai berikut:

Proses data secara realtime

Dari hasil pengiriman yang di lakukan oleh sensor ke MHN Server akan di

lakukan proses clustering. Clustering yang ada pada penjelasan sub bab 3.6 akan

di lakukan beberapa kali atau seterusnya hingga user mengahiri proses tersebut. Hal

ini di gunakan untuk memberikan visualisasi secara terus meneru dengan cara

mengumpulkan ulang data yang kemudian di lakukan analisa dengan menggunakan

Algoritma K-Means.

Proses pengambilan data dari server MHN ke Analisa dengan

menggunakan API yang telah terseda pada MHN, untuk proses pengambilan API

menggunakan kombinasi antara Link, API-Key, Dan option. Contoh dalam

pengambilan data di ambil data dengan waktu satu hari. Maka urutan untuk

pemanggilannya url, di tambah dengan API Key, dan di tambah dengan satu hari

option. Ini akan memberikan response yang memudahkan dalam pengambilan

rentang waktu tertentu, karena jika di lakukan pemanggilan waktu namun di

perlukan data dengan rentang waktu tententu akan menambahkan sistem pencarian

pada datalog.

Untuk dapat melakukan analisa pada server side dari server analisa, di

gunakan Bahasa pemrograman Javascript dan php, javascript menggunakan ajax

yang dapat di gunakan untuk memanggil controller pada php. Dengan memanggil

nama fungsi dari controller yang ada pada analisa, maka hasil akan didapatkan dan

ditampilkan tampa melakukan reloading pada halaman web tersebut. Response

tersebut akan di batasi dengan waktu yang di tentukan. digunakannya pembatasan

waktu karena ketika melakukan clustering memerlukan waktu yang tidak cepat.

Waktu yang di lakukan dalam clustering meliputi pengambilan data dari API,

Pendeklarasian data pada variable, Proses menghitung distance dan melakukan

cluster, yang terahir penetapan cluster sebagai response yang menuju user browser.

24

Skenario pengujian

Tahapan pengujian ini di lakukan apakah hasil dari perancangan dan

implementasi yang sudah di buat dapat berjalan sesuai dengan harapan penelitian

ini. Sekenario pengujian di buat dengan beberapa tahapan dari tools utama sampai

dengan berbagai tools pendukung lainnya. Dengan demikian pengujian ini akan

membuktikan sejauh mana kesesuaian system yang di bangun bekerja dengan baik

yang tepat. Antara lain apakah system yang di rancang mampu menangkap dan

memberikan informasi dengan baik oleh system di lakukan dengan cara berikut.

Tahapan yang akan di implementasikan dalam skenario pengujian ini

dengan membutuhkan beberapa Device atau host komputer dan Server untuk Install

MHN dan penerapan Analisa dengan metode K-Means Clustering. Device yang di

gunakan untuk di install sebuah Dionaea dengan menggunakan Raspberry Pi3 dan

untuk di install MHN serta analisa Menggunakan VM Proxmox. Agar penyerang

dapat di lihat dari mana lokasi penyerang maka untuk penyerang langsung

menggunakan ip public.

Tabel 3.1. Hardware dan jenis hardware

No. Jenis Sistem Operasi Tools Jenis hardware

1 PC VE Proxmox OS Proxmox PC Server

2 Router Router OS Mikrotik Mikrotik

3 Honeypot Raspbian Dionaea Raspberry Pi 3

No. Jenis Sistem Operasi Tools Jenis hardware

4 Server Ubuntu 14.04.05 MHN / Web

Analisa

Proxmox VM

5 Desktop Windows 10 Loic Laptop

Server yang berjalan pada VM Proxmox digunakan untuk MHN dan

Analisa. Pada server tersebut juga di gunakan satu domain dengan nama “i-

lab.umm.ac.id”. Percobaan ini di lakukan dengan hardware yang memiliki

spesifikasi yang di sarankan pada installasi software untuk mengurangi lambatnya

proses dari pengambilan data melalui API dan proses analisa. Dimana spesifikasi

beberapa perangkat keras yang dibutuhkan sebagai berikut:

25

Proxmox VE

Komputer ini merupakan virtualisasi seperti Virtual Box, VM Ware atau

Paralels pada MacOSx. Namun perbedaannya pada penggunaan dan akses nya.

Agar proxmox dapat di buka dan di lakukan installasi maka di perlukan ip untuk

membukanya. Proxmox digunakan karena server ini terletak pada lab informatika

umm, dengan satu buah komputer yang di pakai bersamaan maka di perlukan

proxmox untuk membagi komputer menjadi beberapa virtualisasi dengan pihak

lain. Spesifikasi dari komputer dan IP dari proxmox yang di pasang pada proxmox

OS dapat di lihat pada Tabel 3.2.

Tabel 3.2 Spesifikasi Proxmox VE

Sistem Operasi Proxmox VE

CPU 1 X 4 Core

RAM 8 GB

Storage 250 GB NVMe SSD

Untuk ip dari proxmox menggunakan IP Lokal yang satu block dengan

sensor. Untuk konfigurasi ip pada Proxmox agar dapat di lakukan kongfigurasi

dapat di lihat pada Tabel 3.4 di bawah ini.

Tabel 3.3 Tabel IP Komputer Proxmox VE

Ip 10.251.30.14

Netmask 255.255.255.240

Network 10.251.30.0

Broadcast 10.251.30.15

Gateway 10.251.30.1

Proxmox menggunakan IP lokal yang sama agar dapat di lakukan port

forwarding untuk Proxmox Web, selain itu agar dapat di lakukan konfigurasi server.

Untuk gateway pada Komputer mengikuti ip dari router satu jaringan dengan block

ip tersebut.

Mikrotik

Mikrotik dalam konfigurasinya menggunakan 3 IP address. Dimana IP

address yang di gunakan satu ip address terhubung dengan gateway infokom pada

26

interface ether1, kemudian terhubung pada router lab Iformatika UMM pada

interface ether2 dan satu ip lagi menjadi gateway untuk Sensor honeypot pada

interface ether6. Dari satu block ip yang di gunakan untuk gateway, block ip

tersebut akan di gunakan untuk di lakukan port forward. Spesifikasi dari Mikrotik

dapat di lihat pada Table 3.4.

Tabel 3.4 Spesifikasi Mikrotik

Detail

Nama Produk RB2011L

CPU AR9344

CPU Core Count 1

CPU Frequency 600 Mhz

Licency Lv 4

Ram 64 Mb

Storage 64 Mb

Pada table di atas satu router yang ada pada konfigurasi ini memiliki 2

buah ip yang di gunakan untuk konfigurasi. Berikut Tabel IP dari konfigurasi dari

router Mikrotik.

Tabel 3.5 IP Mikrotik Ether1

Ip 10.10.11.252

Netmask 255.255.255.240

Network 10.10.11.248

Broadcast 10.10.11.255

Gateway 10.10.11.249

Tabel 3.6 IP Mikrotik ether2

Ip 10.10.60.2

Netmask 255.255.255.240

Network 10.10.60.0

Broadcast 10.10.60.15

Gateway 10.10.60.1

27

Tabel 3.7 IP Mikrotik ether6

Ip 10.251.30.1

Netmask 255.255.255.240

Network 10.251.30.0

Broadcast 10.251.30.15

Gateway 10.251.30.1

Pada konfigurasi IP akan di gunakan ether1 dan ether6. Digunakannya

ether6 karena pada Router ini memiliki fitur switch dimana fitur tersebut di

tanamkan dalam 2 chipset swich dalam 2 block slot ether mikrotik. Blok pertama

dari ether1 sampai dengan ether5 dan block ke dua dari ether6 sampai ether7.

Terdapat table port forward untuk konfigurasi dari mikrotik nantinya. Port

forward ini di gunakan untuk membuka port remote mikrotik agar dapat di lakukan

proses remote mikrotik dari luar dari jaringan lokal, dan agar bisa di lakukan remote

dari internet. Berikut tabel dari port Forwarding dari Mikrotik OS dapat di lihat

pada Table 3.8.

Table 3.8 Tabel IP Forward Mikrotik

IP Service Dst Port (Internet) Port Lokal

10.10.11.252 Winbox 8291 8291

10.10.60.2 Winbox 8291 8291

Port yang di gunakan dalam port forwarding hanya menggunakan satu port

karena di gunakan untuk meremote mikrotik dari luar lokasi tersebut.

Server (MHN, Analisa)

Komputer server ini berjalan pada Virtual Machine pada Proxmox OS.

Dengan membuat Virtual Machine baru pada Proxmox OS yang telah di jelaskan

pada sub bab 3.7.1 maka Server tersebut di konfigurasi dengan spesifikasi sebagai

berikut.

28

Tabel 3.9. Spesifikasi server MHN

Sistem Operasi Ubuntu 14.04.5

LTS (MHN Server)

CPU 2 Core

RAM 4 GB

Storage 32 GB

Server yang ada pada Virtual Machine proxmox di lakukan koneksi

jaringan secara Bridge. Tujuan nya adalah untuk dapat berkomunikasi dengan

sensor di jaringan lokal dengan interface yang sama. Interface yang di gunakan

pada VM Ubuntu Tabel 3.9 menggunakan Interface vmbr0 yang telah di lakukan

bridge secara otomatis oleh proxmox.

Untuk server MHN akan di lakukan Forward port dengan port 80 dan

8080. Port tesebut akan di pasang Web server Analisa dengan port 80, dan halaman

dashboard dari MHN, API dan sensor pada port 8080. Untuk akses web dapat di

lakukan dengan memasukkan domain tanpa port, karena secara default port yang di

akses adalam port 80.

Pada server tersebut di berikan ip lokal yang berasal dari gateway UMM

an IP lokal untuk akses sensor. Ip tersebut dapat di lihat pada tabel di bawah ini.

Tabel 3.10 IP Lokal MHN VM Proxmox

Ip 10.251.30.13

Netmask 255.255.255.240

Network 10.251.30.0

Broadcast 10.251.30.15

Gateway 10.251.30.1

Agar dapat di aksesnya Halaman web Analisa dan Halaman instalasi dari

MHN maka di perlukan ip forward. Berikut IP forward dari Web analisa Dan

Halaman MHN dapat di lihat pada tabel 3.11.

Table 3.11 IP Forward dari Aplikasi Analisa Dan MHN

IP Service Dst Port (Internet) Port Lokal

10.251.30.13 Web Analisa 80 80

29

IP Service Dst Port (Internet) Port Lokal

10.251.30.13 MHN 8080 8080

Ip di atas merupakan satu ip yang ada pada Tabel 3.7.3.2 yang di lakukan

port forwarding ke Masing masing IP. Untuk port yang di gunakan dalam port

forwarding terlihat bertukaran. Ini di konfigurasi secara default saat installasi MHN

akan di daftarkan ke IP dengan port lokal 80. Dan ketika di tambahkan Web analisa,

maka menggunakan port 8080. Dan agar ketika di akses dari internet port 80 di

gunakan untuk dashboard maka di rubah port dari yang awal di belokkan seperti

pada Tabel 3.11.

Sensor (Dionaea)

Sensor Dionaea menggunakan hardware berupa raspberry pi seri 3 B. di

gunakannya Dionaea berseri ini bermaksud agar dalam proses menjalankan

Dionaea dapat berjalan pada supervisor pada OS tersebut. Karena beberapa kasus

menunjukkan penggunaan raspberry pi2 tidak bisa berjalan. Berikut tabel

spesifikasi Raspberry Pi 3 dapat di lhat pada Tabel 3.12

Tabel 3.12 Spesifikasi sernsor Dionaea

Sistem Operasi Rasbian OS

CPU 4 Core

RAM 1 GB

Storage 16 GB (MicroSD)

RasberryPI 3 ini menggunakan ip lokal yang terhubung pada gateway dari

mikrotik yang ada pada Tabel 3.7, berikut tabel ip untuk Rapberry PI 3 dapat di

lihat pada Tabel 3.13

Table 3.13 IP sensor Dionaea

Ip 10.251.30.4

Netmask 255.255.255.240

Network 10.251.30.0

Broadcast 10.251.30.15

Gateway 10.251.30.1

30

Dionaea memiliki beberapa port Forwarding. Ini di gunakan untuk

membuka layanan port yang dipakai pada Dionaea dan di teruskan dari intenet.

Berikut tabel port forwading dari Sensor Dionaea.

Table 3.14 Port Forwarding Dionaea

IP Service Dst Port (Internet) Port Lokal

10.251.30.4 FTP 21 21

10.251.30.4 Msrpc 143 143

10.251.30.4 SSL 443 443

10.251.30.4 SMB 445 445

10.251.30.4 MS-SQL 1433 1433

10.251.30.4 MySQL 3306 3306

Beberapa port yang ada pada tabel Table 3.14, merupakan port yang akan

digunakan untuk Honeypot. Semua serangan akan di catat pada log jika penyerang

melakukan serangan pada Port tersebut.

Komputer attacker

Untuk komputer yang di gunakan dalam proses attacker menggunakan ip

private dan ip public, penyerang dalam uji coba akan di lakukan serangan DoS dan

DDoS yang serangan tersebut di lakukan dengan beberapa aplikasi, seperti LOIC

untuk DoS. LOIC juga di gunakan untuk DDoS dengan memasangkan di beberapa

komputer dan di lakukan secara remot untuk menyerang dan konfig LOIC.

Proses Pengujian

Dari penjelasan sub bab sebeluman terdapat jesnis tabel yang merupakan

jenis dan spesifikasi hardware atau server virtual yang dibutuhkan untuk

implementasi sistem. Hardware yang di pakai sensor akan di lakukan uji coba

dengan menggunakan skenario di sub bab ini. untuk server yang di gunakan untuk

analisa memerlukan ip public agar dapat di akses halaman nya untuk menampilkan

hasil serangan dan sudah di jelaskan pada sub bab 3.7.2. Desktop nantinya akan di

pakai untuk memvisualisasikan hasil dari penelitian. Hasil ini akan diperoleh dari

serangkaian proses yang di lakukan ketika analisa berlangsung.

31

Kemudian untuk melakukan uji coba akan menggunakan sebuah alur

serangan. Dari proses serangan yang di gunakan sampai menampilkan hasil akan di

gambarkan dalam flowchart di bawah ini:

Gambar 3.3 Proses pengujian

Dari pengujian awalnya akan di lakukan serangkaian serangan untuk

melakukan analisa. Dengan menggunakan serangan DDoS yang di lakukan

beberapa komputer. Untuk mengetahui sistem itu bekerja maka honeypot akan di

jalankan agar semua serangan dapat masuk pada jebakan honeypot. Dan ketika hasil

dari sebuah log sudah di kirimkan kepada MHN maka data dapat di lakukan proses

analisa, dalam proses analisa yang di lakukan dengan mengambil API dari sistem

yang kemudian di lakukan analisa.

Untuk proses dalam anlisa pada Gambar 3.3 di gunaan alur serangan dari

proses scanning pada ip yang di serang. Kemudian setelah melakukan scanning. Di

dapatkan beberapa port yang terbuka dalam IP atau Domain tersebut. Kemudian

setelah serangan itu di lakukan honeypot akan mulai dalam mencatat log dan di

32

kirimkan ke MHN. Dari hasil log tersebut di ambil dengan memanfaatkan API yang

di miliki oleh MHN. Proses analisa denan metode K-Means di lakukan untuk

mendapatkan data serangan.

Beberapa teknik penyerangan yang di mulai dari scanning port untuk

mendapatkan port yang dengan berlajan kemudian di lakukannya proses serangan

DoS dan yang terahir serangan yang di lakukan berupa serangan DDoS dengan

serangan yang lebih banyak dari serangan DoS sebelumnya. Tabel 3.15 akan

menggambarkan teknik yang di akan lakukan untuk melakukan serangan pada ip

atau domain target. Untuk serangan yang cocok dengan judul penelitian ini adalah

DoS dan DDoS maka table di bawah ini akan menjelaskan tentang serangan –

serangan tersebut dan contoh dari hasil dari serangan tersebut.

Tabel 3.15. Jenis serangan

Jenis

Serangan

Deskripsi Hasil

NMap Serangan ini di gunakan untuk melihat

service yang terbuka pada server. Port

akan muncul dari semua port yang di

forward ke IP utama mikrotik pada

ether1.

Mengetahui port yang

sedang aktif dalam ip

atau domain yang di

lakukan scanning

DoS Teknik serangan yang dilakukan dengan

cara menghabiskan sumber (resource)

dari suatu komputer, Menggunakan Loic

atau Hping3 pada Linux Petesting OS

Mengetahui

peningkatan resource

yang sedang berjalan

pada sebuah komputer

server.

DDoS Serangan seperti DoS namun di lakukan

dengan beberapa serangan komputer.

Serangan ini merupakan serangan yang

terditribusi untuk menghabiskan

resource yang tersedia.

Mengetahui

peningkatan resource

yang sedang berjalan

pada sebuah komputer

server, namun dengan

serangan yang lebih

banyak.

33

Serangan yang di lakukan akan menggunakan beberapa zombie host untuk

di lakukan serangan kepada honeypot. Satu komputer utama akan melakukan

perintah melakukan serangan, serangan akan di lakukan dengan remote beberapa

komputer zombie dan di arahkan ke target. Masing masing zombie komputer akan

melakukan set ip target yang akan di lakukan attack.

Gambar 3.4. Proses serangan DDoS

Hasil serangan yang di lakukan akan memberikan feedback berupa data

yang di perlukan dalam analisa. Dalam proses yang di hasilkan data total serangan

akan di ambil untuk serangan tertinggi. Kemudian di kelompokkan dalam suatu

cluster dengan masing-masing tinggi serangan. dalam serangan tersebut juga di

dapatkan waktu serangan yang di ambil setiap jamnya. Waktu ini memberikan

perbedaan antara tiap total serangan dan kelompok cluster dalam serangan.

Hasil serangan akan di gambarkan menggunakan grafik dengan tiga titik

centeroid yang membedakan tiap kelompok dari sebuah serangan. kelompok

serangan akan di bedakan dalam tinggi rendahnya suatu serangan terhadap serangan

lain dalam waktu yang berbeda. Dalam hasil yang di dapat dari waktu, akan

membedakan kelompok tiap serangan dalam tata letak centeroid. Serangan yang di

hasilkan akan di ilustrasikan seperti gambar di bawah ini:

34

Gambar 3.5. Contoh hasil serangan

Pada Gambar 3.5 di atas terdapat tiga buah Centeroid dimana centeroid

terletak pada serangan yang berbeda. Centeroid pertama pada antara jam 10 sampai

dengan jam 12, centeroid ke dua terletak pada jam 8, dan centeroid yang ketiga

terletak antara 20 dan jam jam 22. Ketiga centeroid tersebut memberikan hasil

serangan yang berbeda, perbedaan terletak pada total clustering serangan.

Centeroid pertama dengan kelompok berwarna biru memiliki serangan yang

rendah, kemudian serangan pada centeroid kedua memiliki serangan yang sedang

dan centeroid yang ketiga dengan warna centeroid hijau memiliki hasil serangan

tertinggi dari semua serangan.

Pengambilan ip serangan tertinggi di ambil pada tiap cluster yang memiiki

nilai tertinggi seperti contoh serangan dengan cluster biru memiliki serangan

tertinggi pada jam 21 malam hari, dengan menggunakan data yang ada pada range

jam tersebut dapat di ambil ip yang menyerang yang paling tinggi penyerangannya

dan di tampilkan kepada user admin.

Tabel 3.16. Tabel Centeroid

No. Centeroid Serangan

tertinggi

Total dalam

kelompok

Waktu serangan

serangan tertinggi

1 1

2 2

3 3

35

Dari hasil di atas akan di lakukan uji coba dengan melakukan serangan

dengan terus menerus untuk mendapatkan suatu ip yang di rasa menyerang paling

banyak. Serangan paling banyak ini di nilai memberikan dampak yang paling serius

dalam serangan, dan bisa di lakukan blocking ip.

Tabel 3.17 Cluster ip tertinggi

No. Centeroid Total

Serangan

IP tertinggi dalam

serangan

1. 1

2. 2

3. 3

Kemudian hasil dari uji coba akan di ambil serangan pada port yang

tertinggi. Port tertinggi ini merupakan serangan dari tiap tiap cluster dari hasil

analisa dengan metode K-Means Clustering. Tiap cluster memiliki serangan

berbeda. Serangan tersebut menyerang beberapa service yang di buka port nya,

seperti pada Tabel 3.17. Port forwading yang di lakukan pada tabel tersebut akan

menghasilkan serangan yang masuk ke honeypot. Serangan tersebut terdapat target

dari port yang di serang. Serangan tersebut dapat di lihat pada Tabel 3.18.

Table 3.18 Clustering Serangan berdasarkan Port

No. Centeroid Total

Serangan

IP tertinggi dalam

serangan

1. 1

2. 2

3. 3