BAB III ANALISA DAN PERANCANGAN SISTEMeprints.umm.ac.id/42336/4/BAB III.pdf · 2018. 12. 20. · 25...
Transcript of BAB III ANALISA DAN PERANCANGAN SISTEMeprints.umm.ac.id/42336/4/BAB III.pdf · 2018. 12. 20. · 25...
20
BAB III
ANALISA DAN PERANCANGAN SISTEM
Arsitektur sistem
Pada arsitektur sistem ini akan di jelaskan bagaimana proses dari
pengumpulan data dari sebuah honeypot yang menyimpan datanya berupa log,
kemudian di kirimkan ke server analisa dengan menggunakan hpfeed dan memulai
proses analisa yang ahirnya di tampilkan dalam bentuk grafik realtime.
Desain perancangan system
Berdasarkan studi pustaka yang telah di lakukan, dapat di tentukan
bagaimana desain dari sistem yang akan di buat. Pada tahap ini, akan di lakukan
dengan merancang desain sistem yang akan di bangun.
Pada rancangan sistem terdapat skema sistem yang menjelaskan rancangan
secara garis besar tentang bagaimana cara kerja dari sistem yang di buat. Dalam
skema tersebut menunjukkan perangkat keras, perangkat lunak, dan alur dari sistem
secara umum. Dapat di pahami dan di perjelas pada gambar berikut:
Gambar 3.1. Perancangan sistem
Terdapat tiga buah komponen dalam perancangan system yaitu honeypot
yang terpasang sensor raspberry dan terhubung web server serta mhn, komputer
untuk analisa pada web server yang menggunakan algoritma K-Means, dan Router
untuk mengarahkan beberapa port ke sensor. Dari masing-masing komponen
tersebut memiliki tujuan masing-masing. Device yang di pasang honeypot sebagai
umpan serangan yang masuk dengan memanfaatkan Raspberry Pi, honeypot
21
merekam serangan dan mencatat serangan tersebut. Kemudian honeypot
mengirimkan data serangannya kepada servernya, server yang di gunakan adalah
server MHN yang dapat menampung dari beberapa sensor honeypot. Pengiriman
yang di lakukan sensor ke pada server MHN menggunakan ip address dan juga port
(1000). Data yang di terima pada MHN dapat langsung di liha pada dashboard
MHN, namun hanya berupa table serangan.
Analisa akan di olah dengan algoritma K-Means dan di tentukan hasil dari
proses clustering dari data yang telah di kumpulan. Proses clustering akan di
lakukan ketika user melakukan atau membuka dashboard dari halaman analisa.
Request yang di lakukan client akan di tentukan perhitungan K-Means dan
kemudian selesai dalam mengelola hasil dari analisa, hasil dari analisa tersebut di
kirim ke client kembali dan di tampilkan dalam bentuk dashboard halaman web.
Pada penelitian ini akan di terapkan sebuah sensor node untuk mendeteksi
serangan Distribute Denial of Service (DDoS), dengan menggunakan sistem operasi
Rasbian OS yang di install pada Device Raspberry PI. Dan ketika Rasbiab OS
berhasil berjalan maka dapa di lakukan installasi aplikasi Honeypot. Aplikasi
honeypot yang di gunakan adalah Dionaea, dionaea di gunakan untuk mendeteksi
serangan pada beberapa port yaitu: port 21(ftp), 80(http), 135(msrpc ), 445(smb).
Namun tidak hanya itu saja, Dionaea mampu memberikan informasi tentang port
scanning yang di lakukan attacker dengan memberikan hasil log yang melakukan
scaning pada banyak port. Namun beberapa port tersebut akan di pakai untuk
analisa pada halaman web, untuk di tampilkan jumlah serangan pada waktu dan
Cluster menggunakan metode K – Means.
Dengan menggunakan beberapa port yang sering di gunakan untuk
beberapa service, dapat memberikan hasil serangan yang benar benar terjadi.
Karena seragan ini akan diuji dalam jaringan internet.
Metode pengumpulan data
Pada penjelasan yang di jelaskan pada Sub Bab 3.2 metode yang di
gunakan untuk mengumpulkan data yang di gunakan untuk penelitian ini dengan
menggunakan pemanfaatan dari aplikasi MHN dimana MHN dapat mengumpulkan
data dari sensor yang telah di daftakan pada service MHN. Honeypot di jalankan
sebagai perekam segala aktifitas dari jaringan dalam penelitian ini. Ketika honeypot
22
di jalankan dan honeypot mendeteksi sebuah serangan yang masuk dari paket yang
masuk, honeypot akan merekan semua kejadian dan di kirimkan kepada MHN
dengan menggunakan port 1000 (default).
Metode pengambilan data
Dari penjelasan Sub bab 3.3 penggunaan MHN merupakan paket yang
lengkap dalam mengatur honeypot, termasuk juga dalam proses pengiriman log.
Pengumpulan data yan di lakukan oleh sensor akan di lanjutkan pada proses
pengambilan data yang telah di kumpulkan pada MHN. Untuk melakukan
pengambilan data tidak memerlukan aplikasi tambahan, dengan memanfaatkan API
yang ada pada MHN, Maka akan lebih mudah di terapkan pada pemrograman untuk
analisa. API yang telah di sediakan oleh mhn dapat dengan mudah di panggil
dengan memanfaatkan key yang telah tersedia di halaman seting.
Gambar 3.2. Pengambilan data log
Server yang di gunakan untuk analisa dengan menggunakan K-Means
akan meminta data ke MHN melalui API yang dimilikinya. Kemudian mhn akan
mengambil data dari database dan di berikan berupa response json. Hasil nya akan
di lakukan analisa dengan K-Means dan hasil akhir di berikan kepada user.
Proses Clustering
Proses clustering untuk menentukan serangan yang berasal dari serangan
yang di ambil melalui API MHN. Akan di lakukan proses Clustering dengan
menggunaan Algoritma K-Means, dari penjelasan sub bab 2.8.1 clusterisasi di
lakukan dengan beberapa tahapan secara umum[9].
1. Inisialisasi: menentukan nilai K sebagai centroid dan matrik
ketidakmiripan (jarak) yang diinginkan. Jika perlu, tetapkan ambang
batas perubahan objektif dan ambang batas perubahan posisi tersebut
23
2. Bangkitkan centroid awal secara random dari objek – objek yang
tersedia sebanyak k cluster, lalu menghitung centroid dengan
menggunakan rumus berikut
3. Hitung jarak setiap objek ke masing – masing dari masing centroid.
Untuk menghitung jarak antara objek dengan centroid menggunakan
euclidean distance dengan rumus sebagai berikut:
Proses data secara realtime
Dari hasil pengiriman yang di lakukan oleh sensor ke MHN Server akan di
lakukan proses clustering. Clustering yang ada pada penjelasan sub bab 3.6 akan
di lakukan beberapa kali atau seterusnya hingga user mengahiri proses tersebut. Hal
ini di gunakan untuk memberikan visualisasi secara terus meneru dengan cara
mengumpulkan ulang data yang kemudian di lakukan analisa dengan menggunakan
Algoritma K-Means.
Proses pengambilan data dari server MHN ke Analisa dengan
menggunakan API yang telah terseda pada MHN, untuk proses pengambilan API
menggunakan kombinasi antara Link, API-Key, Dan option. Contoh dalam
pengambilan data di ambil data dengan waktu satu hari. Maka urutan untuk
pemanggilannya url, di tambah dengan API Key, dan di tambah dengan satu hari
option. Ini akan memberikan response yang memudahkan dalam pengambilan
rentang waktu tertentu, karena jika di lakukan pemanggilan waktu namun di
perlukan data dengan rentang waktu tententu akan menambahkan sistem pencarian
pada datalog.
Untuk dapat melakukan analisa pada server side dari server analisa, di
gunakan Bahasa pemrograman Javascript dan php, javascript menggunakan ajax
yang dapat di gunakan untuk memanggil controller pada php. Dengan memanggil
nama fungsi dari controller yang ada pada analisa, maka hasil akan didapatkan dan
ditampilkan tampa melakukan reloading pada halaman web tersebut. Response
tersebut akan di batasi dengan waktu yang di tentukan. digunakannya pembatasan
waktu karena ketika melakukan clustering memerlukan waktu yang tidak cepat.
Waktu yang di lakukan dalam clustering meliputi pengambilan data dari API,
Pendeklarasian data pada variable, Proses menghitung distance dan melakukan
cluster, yang terahir penetapan cluster sebagai response yang menuju user browser.
24
Skenario pengujian
Tahapan pengujian ini di lakukan apakah hasil dari perancangan dan
implementasi yang sudah di buat dapat berjalan sesuai dengan harapan penelitian
ini. Sekenario pengujian di buat dengan beberapa tahapan dari tools utama sampai
dengan berbagai tools pendukung lainnya. Dengan demikian pengujian ini akan
membuktikan sejauh mana kesesuaian system yang di bangun bekerja dengan baik
yang tepat. Antara lain apakah system yang di rancang mampu menangkap dan
memberikan informasi dengan baik oleh system di lakukan dengan cara berikut.
Tahapan yang akan di implementasikan dalam skenario pengujian ini
dengan membutuhkan beberapa Device atau host komputer dan Server untuk Install
MHN dan penerapan Analisa dengan metode K-Means Clustering. Device yang di
gunakan untuk di install sebuah Dionaea dengan menggunakan Raspberry Pi3 dan
untuk di install MHN serta analisa Menggunakan VM Proxmox. Agar penyerang
dapat di lihat dari mana lokasi penyerang maka untuk penyerang langsung
menggunakan ip public.
Tabel 3.1. Hardware dan jenis hardware
No. Jenis Sistem Operasi Tools Jenis hardware
1 PC VE Proxmox OS Proxmox PC Server
2 Router Router OS Mikrotik Mikrotik
3 Honeypot Raspbian Dionaea Raspberry Pi 3
No. Jenis Sistem Operasi Tools Jenis hardware
4 Server Ubuntu 14.04.05 MHN / Web
Analisa
Proxmox VM
5 Desktop Windows 10 Loic Laptop
Server yang berjalan pada VM Proxmox digunakan untuk MHN dan
Analisa. Pada server tersebut juga di gunakan satu domain dengan nama “i-
lab.umm.ac.id”. Percobaan ini di lakukan dengan hardware yang memiliki
spesifikasi yang di sarankan pada installasi software untuk mengurangi lambatnya
proses dari pengambilan data melalui API dan proses analisa. Dimana spesifikasi
beberapa perangkat keras yang dibutuhkan sebagai berikut:
25
Proxmox VE
Komputer ini merupakan virtualisasi seperti Virtual Box, VM Ware atau
Paralels pada MacOSx. Namun perbedaannya pada penggunaan dan akses nya.
Agar proxmox dapat di buka dan di lakukan installasi maka di perlukan ip untuk
membukanya. Proxmox digunakan karena server ini terletak pada lab informatika
umm, dengan satu buah komputer yang di pakai bersamaan maka di perlukan
proxmox untuk membagi komputer menjadi beberapa virtualisasi dengan pihak
lain. Spesifikasi dari komputer dan IP dari proxmox yang di pasang pada proxmox
OS dapat di lihat pada Tabel 3.2.
Tabel 3.2 Spesifikasi Proxmox VE
Sistem Operasi Proxmox VE
CPU 1 X 4 Core
RAM 8 GB
Storage 250 GB NVMe SSD
Untuk ip dari proxmox menggunakan IP Lokal yang satu block dengan
sensor. Untuk konfigurasi ip pada Proxmox agar dapat di lakukan kongfigurasi
dapat di lihat pada Tabel 3.4 di bawah ini.
Tabel 3.3 Tabel IP Komputer Proxmox VE
Ip 10.251.30.14
Netmask 255.255.255.240
Network 10.251.30.0
Broadcast 10.251.30.15
Gateway 10.251.30.1
Proxmox menggunakan IP lokal yang sama agar dapat di lakukan port
forwarding untuk Proxmox Web, selain itu agar dapat di lakukan konfigurasi server.
Untuk gateway pada Komputer mengikuti ip dari router satu jaringan dengan block
ip tersebut.
Mikrotik
Mikrotik dalam konfigurasinya menggunakan 3 IP address. Dimana IP
address yang di gunakan satu ip address terhubung dengan gateway infokom pada
26
interface ether1, kemudian terhubung pada router lab Iformatika UMM pada
interface ether2 dan satu ip lagi menjadi gateway untuk Sensor honeypot pada
interface ether6. Dari satu block ip yang di gunakan untuk gateway, block ip
tersebut akan di gunakan untuk di lakukan port forward. Spesifikasi dari Mikrotik
dapat di lihat pada Table 3.4.
Tabel 3.4 Spesifikasi Mikrotik
Detail
Nama Produk RB2011L
CPU AR9344
CPU Core Count 1
CPU Frequency 600 Mhz
Licency Lv 4
Ram 64 Mb
Storage 64 Mb
Pada table di atas satu router yang ada pada konfigurasi ini memiliki 2
buah ip yang di gunakan untuk konfigurasi. Berikut Tabel IP dari konfigurasi dari
router Mikrotik.
Tabel 3.5 IP Mikrotik Ether1
Ip 10.10.11.252
Netmask 255.255.255.240
Network 10.10.11.248
Broadcast 10.10.11.255
Gateway 10.10.11.249
Tabel 3.6 IP Mikrotik ether2
Ip 10.10.60.2
Netmask 255.255.255.240
Network 10.10.60.0
Broadcast 10.10.60.15
Gateway 10.10.60.1
27
Tabel 3.7 IP Mikrotik ether6
Ip 10.251.30.1
Netmask 255.255.255.240
Network 10.251.30.0
Broadcast 10.251.30.15
Gateway 10.251.30.1
Pada konfigurasi IP akan di gunakan ether1 dan ether6. Digunakannya
ether6 karena pada Router ini memiliki fitur switch dimana fitur tersebut di
tanamkan dalam 2 chipset swich dalam 2 block slot ether mikrotik. Blok pertama
dari ether1 sampai dengan ether5 dan block ke dua dari ether6 sampai ether7.
Terdapat table port forward untuk konfigurasi dari mikrotik nantinya. Port
forward ini di gunakan untuk membuka port remote mikrotik agar dapat di lakukan
proses remote mikrotik dari luar dari jaringan lokal, dan agar bisa di lakukan remote
dari internet. Berikut tabel dari port Forwarding dari Mikrotik OS dapat di lihat
pada Table 3.8.
Table 3.8 Tabel IP Forward Mikrotik
IP Service Dst Port (Internet) Port Lokal
10.10.11.252 Winbox 8291 8291
10.10.60.2 Winbox 8291 8291
Port yang di gunakan dalam port forwarding hanya menggunakan satu port
karena di gunakan untuk meremote mikrotik dari luar lokasi tersebut.
Server (MHN, Analisa)
Komputer server ini berjalan pada Virtual Machine pada Proxmox OS.
Dengan membuat Virtual Machine baru pada Proxmox OS yang telah di jelaskan
pada sub bab 3.7.1 maka Server tersebut di konfigurasi dengan spesifikasi sebagai
berikut.
28
Tabel 3.9. Spesifikasi server MHN
Sistem Operasi Ubuntu 14.04.5
LTS (MHN Server)
CPU 2 Core
RAM 4 GB
Storage 32 GB
Server yang ada pada Virtual Machine proxmox di lakukan koneksi
jaringan secara Bridge. Tujuan nya adalah untuk dapat berkomunikasi dengan
sensor di jaringan lokal dengan interface yang sama. Interface yang di gunakan
pada VM Ubuntu Tabel 3.9 menggunakan Interface vmbr0 yang telah di lakukan
bridge secara otomatis oleh proxmox.
Untuk server MHN akan di lakukan Forward port dengan port 80 dan
8080. Port tesebut akan di pasang Web server Analisa dengan port 80, dan halaman
dashboard dari MHN, API dan sensor pada port 8080. Untuk akses web dapat di
lakukan dengan memasukkan domain tanpa port, karena secara default port yang di
akses adalam port 80.
Pada server tersebut di berikan ip lokal yang berasal dari gateway UMM
an IP lokal untuk akses sensor. Ip tersebut dapat di lihat pada tabel di bawah ini.
Tabel 3.10 IP Lokal MHN VM Proxmox
Ip 10.251.30.13
Netmask 255.255.255.240
Network 10.251.30.0
Broadcast 10.251.30.15
Gateway 10.251.30.1
Agar dapat di aksesnya Halaman web Analisa dan Halaman instalasi dari
MHN maka di perlukan ip forward. Berikut IP forward dari Web analisa Dan
Halaman MHN dapat di lihat pada tabel 3.11.
Table 3.11 IP Forward dari Aplikasi Analisa Dan MHN
IP Service Dst Port (Internet) Port Lokal
10.251.30.13 Web Analisa 80 80
29
IP Service Dst Port (Internet) Port Lokal
10.251.30.13 MHN 8080 8080
Ip di atas merupakan satu ip yang ada pada Tabel 3.7.3.2 yang di lakukan
port forwarding ke Masing masing IP. Untuk port yang di gunakan dalam port
forwarding terlihat bertukaran. Ini di konfigurasi secara default saat installasi MHN
akan di daftarkan ke IP dengan port lokal 80. Dan ketika di tambahkan Web analisa,
maka menggunakan port 8080. Dan agar ketika di akses dari internet port 80 di
gunakan untuk dashboard maka di rubah port dari yang awal di belokkan seperti
pada Tabel 3.11.
Sensor (Dionaea)
Sensor Dionaea menggunakan hardware berupa raspberry pi seri 3 B. di
gunakannya Dionaea berseri ini bermaksud agar dalam proses menjalankan
Dionaea dapat berjalan pada supervisor pada OS tersebut. Karena beberapa kasus
menunjukkan penggunaan raspberry pi2 tidak bisa berjalan. Berikut tabel
spesifikasi Raspberry Pi 3 dapat di lhat pada Tabel 3.12
Tabel 3.12 Spesifikasi sernsor Dionaea
Sistem Operasi Rasbian OS
CPU 4 Core
RAM 1 GB
Storage 16 GB (MicroSD)
RasberryPI 3 ini menggunakan ip lokal yang terhubung pada gateway dari
mikrotik yang ada pada Tabel 3.7, berikut tabel ip untuk Rapberry PI 3 dapat di
lihat pada Tabel 3.13
Table 3.13 IP sensor Dionaea
Ip 10.251.30.4
Netmask 255.255.255.240
Network 10.251.30.0
Broadcast 10.251.30.15
Gateway 10.251.30.1
30
Dionaea memiliki beberapa port Forwarding. Ini di gunakan untuk
membuka layanan port yang dipakai pada Dionaea dan di teruskan dari intenet.
Berikut tabel port forwading dari Sensor Dionaea.
Table 3.14 Port Forwarding Dionaea
IP Service Dst Port (Internet) Port Lokal
10.251.30.4 FTP 21 21
10.251.30.4 Msrpc 143 143
10.251.30.4 SSL 443 443
10.251.30.4 SMB 445 445
10.251.30.4 MS-SQL 1433 1433
10.251.30.4 MySQL 3306 3306
Beberapa port yang ada pada tabel Table 3.14, merupakan port yang akan
digunakan untuk Honeypot. Semua serangan akan di catat pada log jika penyerang
melakukan serangan pada Port tersebut.
Komputer attacker
Untuk komputer yang di gunakan dalam proses attacker menggunakan ip
private dan ip public, penyerang dalam uji coba akan di lakukan serangan DoS dan
DDoS yang serangan tersebut di lakukan dengan beberapa aplikasi, seperti LOIC
untuk DoS. LOIC juga di gunakan untuk DDoS dengan memasangkan di beberapa
komputer dan di lakukan secara remot untuk menyerang dan konfig LOIC.
Proses Pengujian
Dari penjelasan sub bab sebeluman terdapat jesnis tabel yang merupakan
jenis dan spesifikasi hardware atau server virtual yang dibutuhkan untuk
implementasi sistem. Hardware yang di pakai sensor akan di lakukan uji coba
dengan menggunakan skenario di sub bab ini. untuk server yang di gunakan untuk
analisa memerlukan ip public agar dapat di akses halaman nya untuk menampilkan
hasil serangan dan sudah di jelaskan pada sub bab 3.7.2. Desktop nantinya akan di
pakai untuk memvisualisasikan hasil dari penelitian. Hasil ini akan diperoleh dari
serangkaian proses yang di lakukan ketika analisa berlangsung.
31
Kemudian untuk melakukan uji coba akan menggunakan sebuah alur
serangan. Dari proses serangan yang di gunakan sampai menampilkan hasil akan di
gambarkan dalam flowchart di bawah ini:
Gambar 3.3 Proses pengujian
Dari pengujian awalnya akan di lakukan serangkaian serangan untuk
melakukan analisa. Dengan menggunakan serangan DDoS yang di lakukan
beberapa komputer. Untuk mengetahui sistem itu bekerja maka honeypot akan di
jalankan agar semua serangan dapat masuk pada jebakan honeypot. Dan ketika hasil
dari sebuah log sudah di kirimkan kepada MHN maka data dapat di lakukan proses
analisa, dalam proses analisa yang di lakukan dengan mengambil API dari sistem
yang kemudian di lakukan analisa.
Untuk proses dalam anlisa pada Gambar 3.3 di gunaan alur serangan dari
proses scanning pada ip yang di serang. Kemudian setelah melakukan scanning. Di
dapatkan beberapa port yang terbuka dalam IP atau Domain tersebut. Kemudian
setelah serangan itu di lakukan honeypot akan mulai dalam mencatat log dan di
32
kirimkan ke MHN. Dari hasil log tersebut di ambil dengan memanfaatkan API yang
di miliki oleh MHN. Proses analisa denan metode K-Means di lakukan untuk
mendapatkan data serangan.
Beberapa teknik penyerangan yang di mulai dari scanning port untuk
mendapatkan port yang dengan berlajan kemudian di lakukannya proses serangan
DoS dan yang terahir serangan yang di lakukan berupa serangan DDoS dengan
serangan yang lebih banyak dari serangan DoS sebelumnya. Tabel 3.15 akan
menggambarkan teknik yang di akan lakukan untuk melakukan serangan pada ip
atau domain target. Untuk serangan yang cocok dengan judul penelitian ini adalah
DoS dan DDoS maka table di bawah ini akan menjelaskan tentang serangan –
serangan tersebut dan contoh dari hasil dari serangan tersebut.
Tabel 3.15. Jenis serangan
Jenis
Serangan
Deskripsi Hasil
NMap Serangan ini di gunakan untuk melihat
service yang terbuka pada server. Port
akan muncul dari semua port yang di
forward ke IP utama mikrotik pada
ether1.
Mengetahui port yang
sedang aktif dalam ip
atau domain yang di
lakukan scanning
DoS Teknik serangan yang dilakukan dengan
cara menghabiskan sumber (resource)
dari suatu komputer, Menggunakan Loic
atau Hping3 pada Linux Petesting OS
Mengetahui
peningkatan resource
yang sedang berjalan
pada sebuah komputer
server.
DDoS Serangan seperti DoS namun di lakukan
dengan beberapa serangan komputer.
Serangan ini merupakan serangan yang
terditribusi untuk menghabiskan
resource yang tersedia.
Mengetahui
peningkatan resource
yang sedang berjalan
pada sebuah komputer
server, namun dengan
serangan yang lebih
banyak.
33
Serangan yang di lakukan akan menggunakan beberapa zombie host untuk
di lakukan serangan kepada honeypot. Satu komputer utama akan melakukan
perintah melakukan serangan, serangan akan di lakukan dengan remote beberapa
komputer zombie dan di arahkan ke target. Masing masing zombie komputer akan
melakukan set ip target yang akan di lakukan attack.
Gambar 3.4. Proses serangan DDoS
Hasil serangan yang di lakukan akan memberikan feedback berupa data
yang di perlukan dalam analisa. Dalam proses yang di hasilkan data total serangan
akan di ambil untuk serangan tertinggi. Kemudian di kelompokkan dalam suatu
cluster dengan masing-masing tinggi serangan. dalam serangan tersebut juga di
dapatkan waktu serangan yang di ambil setiap jamnya. Waktu ini memberikan
perbedaan antara tiap total serangan dan kelompok cluster dalam serangan.
Hasil serangan akan di gambarkan menggunakan grafik dengan tiga titik
centeroid yang membedakan tiap kelompok dari sebuah serangan. kelompok
serangan akan di bedakan dalam tinggi rendahnya suatu serangan terhadap serangan
lain dalam waktu yang berbeda. Dalam hasil yang di dapat dari waktu, akan
membedakan kelompok tiap serangan dalam tata letak centeroid. Serangan yang di
hasilkan akan di ilustrasikan seperti gambar di bawah ini:
34
Gambar 3.5. Contoh hasil serangan
Pada Gambar 3.5 di atas terdapat tiga buah Centeroid dimana centeroid
terletak pada serangan yang berbeda. Centeroid pertama pada antara jam 10 sampai
dengan jam 12, centeroid ke dua terletak pada jam 8, dan centeroid yang ketiga
terletak antara 20 dan jam jam 22. Ketiga centeroid tersebut memberikan hasil
serangan yang berbeda, perbedaan terletak pada total clustering serangan.
Centeroid pertama dengan kelompok berwarna biru memiliki serangan yang
rendah, kemudian serangan pada centeroid kedua memiliki serangan yang sedang
dan centeroid yang ketiga dengan warna centeroid hijau memiliki hasil serangan
tertinggi dari semua serangan.
Pengambilan ip serangan tertinggi di ambil pada tiap cluster yang memiiki
nilai tertinggi seperti contoh serangan dengan cluster biru memiliki serangan
tertinggi pada jam 21 malam hari, dengan menggunakan data yang ada pada range
jam tersebut dapat di ambil ip yang menyerang yang paling tinggi penyerangannya
dan di tampilkan kepada user admin.
Tabel 3.16. Tabel Centeroid
No. Centeroid Serangan
tertinggi
Total dalam
kelompok
Waktu serangan
serangan tertinggi
1 1
2 2
3 3
35
Dari hasil di atas akan di lakukan uji coba dengan melakukan serangan
dengan terus menerus untuk mendapatkan suatu ip yang di rasa menyerang paling
banyak. Serangan paling banyak ini di nilai memberikan dampak yang paling serius
dalam serangan, dan bisa di lakukan blocking ip.
Tabel 3.17 Cluster ip tertinggi
No. Centeroid Total
Serangan
IP tertinggi dalam
serangan
1. 1
2. 2
3. 3
Kemudian hasil dari uji coba akan di ambil serangan pada port yang
tertinggi. Port tertinggi ini merupakan serangan dari tiap tiap cluster dari hasil
analisa dengan metode K-Means Clustering. Tiap cluster memiliki serangan
berbeda. Serangan tersebut menyerang beberapa service yang di buka port nya,
seperti pada Tabel 3.17. Port forwading yang di lakukan pada tabel tersebut akan
menghasilkan serangan yang masuk ke honeypot. Serangan tersebut terdapat target
dari port yang di serang. Serangan tersebut dapat di lihat pada Tabel 3.18.
Table 3.18 Clustering Serangan berdasarkan Port
No. Centeroid Total
Serangan
IP tertinggi dalam
serangan
1. 1
2. 2
3. 3