Teks tersebut membahas tentang teknik pendeteksian botnet P2P menggunakan teknik pemilihan ciri. Ia menjelaskan pendekatan menggunakan model hybrid dan filter yang menggabungkan klasifikasi Naive Bayes dan algoritma genetik untuk mengidentifikasi lalu lintas botnet berdasarkan analisis ciri-ciri lalu lintas jaringan. Penelitian ini bertujuan meningkatkan akurasi deteksi botnet dibandingkan pendekatan konvensional.
Teknik pengesanan botnet p2 p menggunakan teknik pemilihan ciri
1. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Teknik Pengesanan Botnet P2P Menggunakan
Teknik Pemilihan Ciri
Mohammad Hairy Bin Kharauddin
Kolej Komuniti Masjid Tanah
Paya Rumput, 78300 Masjid Tanah, Melaka.
E-mail: Airis1482@yahoo.com
Wan Ahmad Ramzi Wan Yusuf
Kolej Komuniti Masjid Tanah
Paya Rumput, 78300 Masjid Tanah, Melaka.
E-mail: ramzi016@gmail.com
Mohd Fitri bin Ab Rasid
Kolej Komuniti Masjid Tanah
Paya Rumput, 78300 Masjid Tanah, Melaka.
E-mail: feetittho@yahoo.com
Abstrak
Rangkaian komputer memainkan peranan penting dalam masyarakat moden pada masa
kini. Pelbagai jenis perniagaan, komunikasi, utiliti, infrastruktur, perbankan dan
perkhidmatan santai kini disediakan oleh sistem yang bergantung pada operasi jaringan
yang selamat dan efisien. Oleh kerana teknologi rangkaian berkembang secara pesat dalam
ukuran dan kerumitan, tindakan perlu adalah untuk memahami sifat sifat rangkaian
untuk melindungi pengguna dari ancaman keselamatan berbahaya. Botnet dikenal pasti
sebagai salah satu ancaman yang paling popular kemunculannya dan botnet P2P
menggunakan teknologi P2P untuk teknik tukaran fail menjadikan botnet ini sukar
dikesan dan selama sedekad yang lalu para penyelidik memberikan lebih penumpuan
dalam mengembangkan kaedah penyediaan pengesanan botnet yang lebih cekap dan
berkesan. Dalam penyelidikan ini, kaedah pembelajaran mesin yang diselia telah
digunakan dan tumpuan utama adalah pada model hybrid menggunapakai teknik
pemilihan ciri ataupun ‘feature selection’. Ketepatan dan pengesanan botnet ternyata dapat
ditingkatkan dengan penggunaan model hybrid yang mana menunjukkan peningkatan
ketepatan dari 69.89% hingga 87.82% pengesanan botnet pada model hibrid berbanding
model penapis. Kajian ini akan membantu dalam mengenal pasti karektor botnet dan
mengenal pasti ciri ciri botnet P2P dengan penerapan teknik pemilihan ciri dengan model
hybrid.
Kata Kunci: Botnet, malware, feature selection,
2. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
1.0. Pengenalan
Pada masa kini, rangkaian komputer memainkan peranan penting
dalam masyarakat moden kita. Pelbagai jenis perniagaan, komunikasi,
utiliti, infrastruktur, perbankan dan perkhidmatan rekreasi kini disediakan
oleh sistem yang bergantung pada operasi jaringan yang aman dan efisien.
Oleh kerana rangkaian berkembang secara besar-besaran dalam ukuran
dan kerumitan, tindakan perlu adalah untuk memahami perilaku
rangkaian untuk melindungi mereka dari ancaman berbahaya keselamatan.
Ancaman keselamatan utama dan pembawa utama aktiviti jahat berasal
dari Internet itu sendiri yang juga dikenali sebagai perisian malware. Trend
terbaru dari malware adalah malware botnet yang terkenal dan malware
botnet terdiri daripada banyak jenis virus seperti Trojan, rookits, worm dan
banyak lagi (Kaspersky, 2013).
Botnet baru-baru ini dikenal pasti sebagai salah satu ancaman yang
paling muncul dan botnet P2P menggunakan teknologi P2P untuk menukar
fail menjadikan botnet jauh lebih sukar untuk dikesan. Botnet dapat
dikenali dan dikesan dengan menganalisis perubahan ciri yang tidak
normal dalam tingkah laku lalu lintas rangkaian. Makalah ini bertujuan
untuk menyelidiki ciri botnet P2P dalam skala rangkaian tertentu dengan
menganalisis lalu lintas dan tingkah laku rangkaian P2P yang meletakkan
asasnya menggunakan alat analisis rangkaian yang berkesan. Analisis
rangkaian akan membantu mengesan dan melakukan aktiviti yang tidak
normal tepat pada masanya. Analisis yang dilakukan adalah sebahagian
dari aktiviti projek dalam mengesan botnet di P2P.
P2 didefinisikan sebagai model rangkaian alternatif yang
menyediakan seni bina pelayan pelanggan tradisional dan menggunakan
model desentralisasi di setiap mesin dengan disebut sebagai peer dan fungsi
yang disebut sebagai klien dalam lapisan fungsi pelayannya sendiri. Rakan
sebaya berfungsi sebagai pelanggan dan pelayan pada masa yang sama (Vu
et al. 2010). Rakan sebaya dapat memulai permintaan awal kepada
kawanan lain sambil menanggapi permintaan masuk dari teman lain yang
ada di jaringan. Rakan sebaya dapat mengatur diri mereka ke dalam
kumpulan ad-hoc ketika mereka bekerjasama, berkomunikasi dan
berkongsi lebar jalur antara satu sama lain dalam menyelesaikan tugas
(Simon, 1991).
Botnet atau "Bot Networks," dibina dari komputer jahat yang telah
dijangkiti kod jahat yang dapat dikawal dari jarak jauh menggunakan
perintah yang dihantar melalui internet (Ave, 2008). Komputer yang telah
dijangkiti botnet disebut sebagai komputer ‘zombie’ yang memungkinkan
penggodam mengendalikan banyak komputer pada masa yang sama yang
akan mengakibatkan penyebaran virus, menjana spam dan banyak lagi
jenayah siber (Norton, 2015). Botnet P2P adalah salah satu ancaman
keselamatan paling tinggi dan dikatakan lebih radikal dan lebih sukar
untuk dikesan dan mencegah dibandingkan dengan bot lain. Dalam botnet
P2P, bot dihubungkan dengan bot lain untuk menukar lalu lintas C&C,
menghilangkan keperluan untuk pelayan terpusat yang mengakibatkan
gangguan botnet P2P sukar untuk dianggarkan kerana ia sering
menggunakan protokol khusus (Rossow & Andriesse, 2013).
Rajah 1 menunjukkan operasi Botnet P2P menyiratkan bahawa
setiap mesin yang terinfeksi dalam kawanan akan bertindak sebagai rakan
kawanan bagi yang lain dan oleh kerana itu kajian ini akan menggunakan
3. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
pengesanan anomali yang melibatkan pemeriksaan penggunaan normal
dan melaporkan apa yang tidak normal. Dengan beberapa parameter yang
digunakan dalam teknik pengamatan dan pengelompokan, aliran normal
P2P dan aliran abnormal botnet P2P akan diperhatikan dalam mengenali
botnet P2P (Liao & Chang, 2010).
Rajah 1.0: Pengoperasian Botnet P2P (Liao & Chang, 2010)
2.0 Kajian Literatur
Terdapat banyak kaedah yang digunakan untuk mengesan botnet
dan pembelajaran mesin adalah salah satu pilihan dalam mengesan botnet
di rangkaian kami. Andaian utama kaedah berasaskan pembelajaran mesin
adalah botnet akan membuatnya mempunyai sifat sendiri di dalam
rangkaian dan sifat ini akan digunakan untuk mengesan botnet dengan
berkesan menggunakan algoritma pembelajaran mesin (MLA). MLA
memberikan pengesanan fleksibiliti dan memerlukan masa yang lebih
singkat dalam mengesan botnet dalam rangkaian. Penyelesaian pengesanan
pertama adalah dengan banyak sistem eksperimen telah dilaporkan dalam
banyak penyelidikan yang telah dilakukan pada awal tahun 2000 dengan
pelbagai tujuan dan berdasarkan pelbagai prinsip teknikal dan andaian
tingkah laku botnet dan corak lalu lintas (Bailey et al. 2006) (Tyagi &
Aghila, 2011) (Eant et al. 2011).
Pengesanan botnet berasaskan rangkaian pertama menggunakan
kaedah MLA digunakan oleh Livadas pada tahun 2006. Dia mencadangkan
pendekatan untuk menilai penggunaan MLA untuk mengenal pasti
pendekatan yang dicadangkan dari botnet berbasis IRC. Dengan
menggunakan tiga teknik MLA yang diselia untuk fasa klasifikasi iaitu
pengkelasan Naïve Bayes, pengkelasan pohon keputusan dan algoritma
C4.5 yang bertujuan untuk menunjukkan kecekapan teknik pembelajaran
mesin yang berbeza dalam mengenal pasti lalu lintas botnet yang akan
dinilai dengan teknik klasifikasi yang bervariasi, satu set pencirian atribut
dan ukuran set latihan. Namun, penilaian yang dilakukan hanya
memperoleh satu sampel malware botnet kerana botnet tersebut diperoleh
hanya dari lalu lintas latar belakang kampus yang menjadikan sasaran
hanya pada botnet berbasis IRC dan keberkesanannya dalam pelaksanaan
dunia nyata sangat terbatas. Lebih-lebih lagi, kaedah ini rentan pada
penghindaran oleh gangguan aliran.
Strayer et al. (2008), telah mendekati kaedah pengesanan
berdasarkan tingkah laku rangkaian dan pembelajaran mesin dengan dan
perluasan dan kerja yang dilakukan oleh Livadas. Sangat mirip dengan
kaedah pendekatan Livadas, kerangka pengesanan botnet menggunakan
4. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
beberapa pendekatan MLA untuk mengklasifikasikan aliran lalu lintas IRC
sebagai botnet atau tidak hanya dengan tambahan pada penyelidikan
Livadas sebelumnya. Menggunakan klasifikasi aliran yang diawasi yang
sama, empat pengklasifikasi digunakan, C4.5, pohon keputusan, Naïve
Bayes dan penambahan pengelasan rangkaian Bayesian. Sama dengan
kaedah Livadas, penilaian Strayer kajian itu sendiri dilakukan pada
eksperimen testbed yang dikendalikan sepenuhnya.
Kecekapan MLA dinilai menggunakan kadar positif palsu (FPR) dan
negatif palsu (FNR). Kajian itu lebih sesuai dengan kemampuannya untuk
mengesan botnet IRC dengan topologi terpusat dan ia memerlukan
pertimbangan tambahan baik oleh manusia atau mesin untuk mengetahui
keberadaan botnet. Kekurangan dari pendekatan ini adalah hanya dapat
memodelkan pola lalu lintas TCP sebagai pembawa utama komunikasi IRC.
Nogueira et al. (2010), telah mengusulkan pendekatan pengesanan
botnet menggunakan teknik pembelajaran mesin yang memberikan
pengenalan lalu lintas botnet menggunakan Artificial Neural Networks
(ANNs) sebagai klasifikasi algoritma. Perbezaan pendekatan ini adalah ia
memiliki kemampuan untuk beroperasi secara on-line dan mudah
menyesuaikan diri dengan setiap perubahan dalam pola lalu lintas botnet
sehingga menciptakan fitur baru untuk kerangka umum pengesanan botnet
menggunakan teknik pembelajaran mesin yang diawasi. Entiti tambahan
yang juga dikenali sebagai Intrusion Management System (IMS) yang
menggunakan pemerhatian lalu lintas yang dilakukan oleh sistem
pengesanan serta hasil klasifikasi untuk melihat hasil kehadiran lalu lintas
berbahaya. Walau bagaimanapun, pendekatan ini masih mempunyai
beberapa kelemahan contohnya keperluan untuk penilaian luaran agar
disediakan fungsi penyesuaian.
Masud et al. (2008), telah mengusulkan sistem pengesanan botnet
berdasarkan aliran dalam mengenali lalu lintas botnet yang berbahaya dan
sistem yang disasarkan pada aliran botnet IRC dan TCP dengan
menggunakan pemeriksaan forensik dan paket mendalam (DPI) host dalam
mengekstrak ciri lalu lintas. Kaedah ini menggunakan lima pengklasifikasi
berbeza iaitu Naïve Bayesian, jaringan Bayesian, Support Vector Machine
(SVM), Boosted keputusan pohon dan C4.5 tree tree. Kekurangan utama
teknik ini adalah penggunaan forensik tahap klien dan DPI untuk
memperoleh ciri aliran.
Saad et al. (2011), mencadangkan sistem untuk mengesan botnet P2P
dengan menggunakan pemerhatian dan analisis lalu lintas di mana ciri-ciri
lalu lintas berdasarkan hos dan aliran diperhatikan. Penulis menggunakan
lima MLA yang diselia iaitu Jiran terdekat, Bayesian naif, Mesin Vektor
Sokongan (SVM), Rangkaian Neural tiruan (ANN) dan pengklasifikasi
berasaskan Gauss. Hasilnya, SVM mencapai ketepatan 97%. Penulis
bagaimanapun tidak memberikan penilaian mengenai pengelasan pokok
yang mampu dan membuat lebih banyak kajian perlu dilakukan.
Walaupun semua penyelidikan yang dinyatakan di atas memberikan
sistem persembahan pengesanan botnet yang cukup baik pada kumpulan
data tertentu tertentu dari kaedah kontemporari tidak memberikan
pandangan yang komprehensif mengenai Pohon Keputusan secara khusus
untuk pengesanan pencerobohan dalam rangkaian menggunakan MLA, dan
para penyelidik juga tidak menyiasat bagaimana banyak trafik diperlukan
5. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
untuk diperhatikan setiap aliran supaya trafik botnet jahat dan tidak
berbahaya dapat berjaya direkodkan.
Makalah ini bertujuan untuk mengatasi kekurangan ini melalui
sistem pengesanan berdasarkan novel menggunakan pembelajaran MLA
yang diselia menggunakan model filter dan hibrid khususnya Na
specificallyve Bayes dan Naïve Bayes dengan Algoritma Genetik untuk
mengenal pasti lalu lintas botnet.
3.0 Methodology
Metodologi adalah sistem prinsip atau peraturan yang luas dari
kaedah atau prosedur tertentu yang dapat diturunkan untuk memahami
situasi yang berbeza atau menyelesaikan masalah yang berbeza dalam
ruang lingkup disiplin tertentu. Di bahagian ini, menerangkan pendekatan
untuk mengesan kehadiran botnet P2P berdasarkan pengujian set data
individu dengan kedua-dua teknik menggunakan pemilihan ciri hybrid
model dan ciri penapis model pemilihan. Setiap set data individu dijangka
dihantar hasil varian botnet dan teknik yang digunakan.
3.1 Naive Bayes Classifier
Klasifikasi Naïve Bayesian berfungsi dengan menganggap tidak ada
ketergantungan antara atribut, yang juga dikenal sebagai kebebasan
bersyarat kelas. Ia dilakukan untuk mempermudah pengiraan dan inilah
sebabnya klasifikasi ini disebut 'naif'. Pengelaskan ini juga dikenali sebagai
Bayes idiot, Bayes sederhana atau Bayes bebas (Miquélez et al. 2004). Naïve
Bayes adalah teknik yang sangat intuitif di mana tidak seperti rangkaian
saraf, teknik ini tidak mempunyai beberapa parameter bebas yang mesti
ditetapkan yang sangat memudahkan proses reka bentuk. Klasifikasi Naïve
Bayes mengembalikan kebarangkalian dan tidak memerlukan sejumlah
besar data sebelum pembelajaran dapat dimulakan. Ia juga pantas ketika
membuat keputusan berbanding dengan jenis pengklasifikasi lain (Stern et
al. 1999).
3.2 Filter Model
Algoritma Naive Bayes adalah kebarangkalian bersyarat yang
menggunakan Teorema Bayes, formula yang mengira kebarangkalian
dengan menghitung kekerapan nilai dan kombinasi nilai dalam set data.
Dalam model saringan, data yang dikumpulkan melalui pra proses data di
mana hingar data yang ada dalam kumpulan data dikurangkan dan dilatih
oleh Naïve Bayes kemudian mengklasifikasikan melalui hasil pembelajaran
data latihan. Setiap attribute bersyarat akan diberi label kelas untuk
menguji ketepatan data set ujian. Set data akan diuji sebanyak 10 kali atau
dinamakan 10 ‘fold’ di mana 9 lipatan akan digunakan sebagai data latihan
dan 1 lipatan akan digunakan sebagai mengesahkan set data. Peraturan
Naïve Bayes adalah untuk mengira kebarangkalian kelas menggunakan
contoh sifat dan ramalan kelas dilakukan dengan mengenal pasti kelas
dengan kebarangkalian posterior tertinggi.
Hasil ketepatan akan dipaparkan selepas itu. Pengiraan
menggunakan algoritma ini adalah dengan membuat andaian bahawa
semua atribut adalah bebas bersyarat memandangkan nilai kelas. Naïve
Bayes sebagai kaedah klasifikasi standard dalam pembelajaran mesin
digunakan dengan baik kerana mudah diprogramkan, intuitif dan juga
6. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
cepat melatih dan dapat menangani atribut yang hilang dengan mudah.
Semua lapan set data akan dijalankan dengan pengelasan ini dan
ketepatannya akan direkodkan untuk perbandingan kemudian.
Rajah 2.0: Aliran Model Tapisan untuk Pendekatan Analisis Data
3.3 Hybrid Model
Set data telah melalui proses pra-pemprosesan yang serupa
dengan Model Penapis. Model Hibrid menggunakan algoritma genetik
berfungsi sebagai pembungkus untuk algoritma pemilihan ciri dan
melakukan pencarian untuk subset yang betul menggunakan algoritma
induksi itu sendiri sebagai bahagian fungsi penilaian. Pada langkah
pertama, tujuannya adalah untuk mengurangi atribut yang ditetapkan
dengan mengenal pasti subset atribut yang paling informatif untuk
botnet menggunakan. Algoritma Genetik digunakan untuk mengenal
pasti Naïve Bayes yang sebaliknya akan mengoptimumkan masalah
seperti yang dinyatakan dalam pertandingan. Di sini parameter atribut
optimum akan dipilih dan dilatih menggunakan Naïve Bayes sebanyak
10 kali ganda.
Subset ciri awal mengandungi semua atribut yang ada dalam set
data. 9 lipatan akan digunakan untuk ujian dan 1 lipatan akan
digunakan untuk mengesahkan set data latihan. Hasil ketepatan akan
dipaparkan. Pengiraan menggunakan algoritma ini adalah mungkin
dengan membuat andaian bahawa semua atribut bebas bersyarat
memandangkan nilai kelas. Naïve Bayes sebagai kaedah klasifikasi
standard dalam pembelajaran mesin digunakan dengan baik kerana
mudah diprogramkan, intuitif dan cepat melatih dan dapat menangani
atribut yang hilang dengan mudah. Semua lapan set data akan
7. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
dijalankan dengan pengelasan ini dan ketepatannya akan digunakan
untuk perbandingan dengan model penapis.
Rajah 3.0: Aliran Model Hibrid untuk Pendekatan Analisis Data
4.0 Hasil dan Perbincangan
Jadual 1 merupakan klasifikasi fitur botnet digunakan sebagai
metrik pengukuran prestasi dalam menilai model pengesanan. Model yang
baik akan menunjukkan kadar ketepatan pengesanan yang lebih tinggi
yang baik untuk meramalkan tingkah laku tidak normal dalam lalu lintas
rangkaian, sehingga berkesan dapat mengesan serangan botnet P2P.
port_a sack_pkts_sent_b2a actual_data_bytes_b2a
port_b dsack_pkts_sent_a2b rexmt_data_pkts_a2b
total_packets_a2b dsack_pkts_sent_b2a rexmt_data_pkts_b2a
total_packets_b2a max_sack_blks/ack_a2b rexmt_data_bytes_a2b
resets_sent_a2b max_sack_blks/ack_b2a rexmt_data_bytes_b2a
resets_sent_b2a unique_bytes_sent_a2b zwnd_probe_pkts_a2b
ack_pkts_sent_a2b unique_bytes_sent_b2a zwnd_probe_pkts_b2a
ack_pkts_sent_b2a actual_data_pkts_a2b zwnd_probe_bytes_a2b
pure_acks_sent_a2b actual_data_pkts_b2a zwnd_probe_bytes_b2a
8. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
pure_acks_sent_b2a actual_data_bytes_a2b outoforder_pkts_a2b
sack_pkts_sent_a2b sack_pkts_sent_b2a outoforder_pkts_b2a
req_1323_ts_a2b avg_segm_size_b2a pushed_data_pkts_a2b
req_1323_ts_b2a max_win_adv_a2b pushed_data_pkts_b2a
adv_wind_scale_a2b max_win_adv_b2a SYN _pkts_sent_a2b
adv_wind_scale_b2a min_win_adv_a2b SYN _pkts_sent_b2a
req_sack_a2b min_win_adv_b2a initial_window_bytes_b2
a
req_sack_b2a zero_win_adv_a2b initial_window_pkts_a2b
sacks_sent_a2b zero_win_adv_b2a initial_window_pkts_b2a
sacks_sent_b2a avg_win_adv_a2b truncated_data_a2b
urgent_data_pkts_a2b avg_win_adv_b2a truncated_data_b2a
urgent_data_pkts_b2a initial_window_bytes_a2b truncated_packets_a2b
idletime_max_b2a throughput_a2b truncated_packets_b2a
hardware_dups_a2b throughput_b2a data_xmit_time_a2b
hardware_dups_b2a class data_xmit_time_b2a
FIN_pkts_sent_a2b req_1323_ws _a2b idletime_max_a2b
FIN_pkts_sent_b2a req_1323_ws _b2a
Jadual 1: Fitur Botnet yang digunakan dalam kajian ini
Dalam makalah ini, kami menjalankan teknik klasifikasi untuk
membersihkan dan menormalkan set data yang menghasilkan 77 atribut
dari 89 atribut dipilih dan diuji. Terdapat tujuh varian Botnet P2P yang
telah dikenal pasti untuk digunakan dalam eksperimen ini seperti
ditunjukkan dalam Jadual 2. Set data dari 7 varian botnet dibahas
melalui dua teknik pemilihan ciri yang berbeza dengan wrapper dan tanpa
wrapper menurut Model Filter dan Hybrid Model. Hasil kedua model yang
diuji berdasarkan ketepatan akan dibandingkan dan dianalisis.
CSV Names Botnet Type of Traffic
Cryptowall.csv Cryptowall 1.42MB 5088 4 = Abnormal
0 =Normal
Kelihos.csv Kelihos 11.6MB 42450 2= Abnormal
0= Normal
Neris.csv Neris 7.25MB 26592 8= Abnormal
0=Normal
Rbot.csv Rbot 1.46MB 5237 7=Abnormal
0=Normal
Tbot.csv Tbot 1.45MB 5179 3=Abnormal
0=Normal
Zbot.csv Zbot 3.51MB 11644 6= Abnormal
0=Normal
Zeroaccess.csv Zeroaccess 1.43MB 5131 9 = Abnormal
0=Normal
Jadual 2: Perincian Analisis Set Data
9. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
5.0 Keputusan
Bahagian ini memaparkan semua hasil jadual klasifikasi untuk setiap
model dalam model filter dan model hibrid dengan membandingkan antara
semua varian botnet kumpulan data.
Jadual 3: Ketepatan untuk setiap model
Jadual 4: Graf perbandingan ketepatan untuk pengesanan model
Penapis dan Hibrid.
Terdapat lapan trafik rangkaian dengan label berlainan data.
Terdapat trafik rangkaian biasa yang dilabel sebagai 0, CryptoWall botnet
dilabel sebagai 4, Neris dilabel sebagai 8, Kelihos dilabelkan sebagai 2, Rbot
dilabelkan sebagai 7, Tbot dilabelkan sebagai 3, Zbot dilabelkan sebagai 6,
dan ZeroAccess dilabel sebagai 1. Model penapis digunakan Naïve
10. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Klasifikasi Bayes sementara model Hybrid menggunakan Algoritma Genetik
(GA) dan Naïve Bayes.
Dalam setiap kumpulan data varian botnet, pengesanan botnet model
hybrid mempunyai hasil yang lebih baik dibandingkan dengan model filter
yang digunakan dalam mengesan botnet. Ketujuh varian botnet
menunjukkan peningkatan dalam prestasi ketepatan ketika model hibrid
digunakan sebagai kerangka pengesanan botnet dan bukan hanya
menggunakan model penapis. Ini bermaksud setiap varian botnet
menunjukkan peningkatan pengesanan pada model hibrida dibandingkan
dengan model penapis.
Untuk memperkukuhkan perbandingan kedua model ini, wakil varian
baru dari setiap model yang dilabelkan sebagai FullBotnet telah dibuat yang
terdiri dari semua 7 varian botnet. Dalam set data bonet penuh juga diuji
dan hasilnya dalam Jadual 3. Manakala Jadual 4 menunjukkan
peningkatan ketepatan dari 69.89% hingga 87.82% pengesanan botnet pada
model hibrid berbanding model penapis.
6.0 Kesimpulan
Ringkasnya, hasil pengujian disahkan menggunakan pengesahan
silang 10 kali ganda. Dari hasil pengujian, terbukti bahawa dengan
menggunakan model hibrid untuk pemilihan fitur, yang dalam projek ini
adalah Genetik Algoritma sebagai pembungkus dan Naïve Bayes sebagai
klasifikasi, ketepatan pengesanan botnet ditingkatkan. Oleh itu, hasilnya
jelas menunjukkan bahawa model hibrid lebih baik dalam mengenali
pengesanan dan ketepatan botnet P2P berbanding dengan model penapis.
Penghargaan
Penulis ingin mengucapkan terima kasih kepada Kolej Komuniti
Masjid Tanah dan Insfornet Universiti Teknikal Malaysia Melaka atas
sokongan luar biasa mereka dengan menyediakan kemudahan untuk
menjalankan kajian ini.
Rujukan
Abdullah, R. & Abdollah, M., 2013. Revealing the Criterion on Botnet
Detection Technique. IJCSI International Journal of Computer Science
Issues, 10(2), pp.208–215.
Abdullah, R. & Ud, M.M., 2011. Recognizing P2P Botnets Characteristic
Through TCP Distinctive Behaviour. IJCSI International Journal of
Computer Science Issues, 9(12), pp.12–16.
Ahamad, M. et al., 2009. Emerging Cyber Threats Report for 2009.
Cu360, 34(21), pp.4–5.
Bailey, M. et al., 2006. A Survey of Botnet Technology and Defenses.
Baptiste, P., 2005. Attacks on peer-to-peer networks. Dept. of
Computer Science, Swiss Federal Institute of, pp.85–90.
Bhuyan, M.H., Bhattacharyya, D.K. & Kalita, J.K., 2014. Network
Anomaly Detection: Methods, Systems and Tools. IEEE
Communications Surveys & Tutorials, 16(1), pp.303–336.
11. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Binsalleeh, H. et al., 2010. On the analysis of the Zeus botnet crimeware
toolkit. PST 2010: 2010 8th International Conference on Privacy,
Security and Trust, pp.31–38.
Bolón-Canedo, V., Sánchez-Maroño, N. & Alonso-Betanzos, a., 2011.
Feature selection and classification in multiple class datasets: An
application to KDD Cup 99 dataset. Expert Systems with Applications,
38(5), pp.5947–5957.
Cisco, Defenses Against TCP SYN Flooding Attacks - The Internet Protocol
Journal - Volume 9, Number 4. Available at:
http://www.cisco.com/web/about/ac123/ac147/archived_issues/
ipj_9-4/syn_flooding_attacks.html [Accessed May 11, 2015].
Cybercrime.org.za, 2015. Botnet Definition | Cybercrime.org.za | Safety
& Security Guide. Available at: http://cybercrime.org.za/botnet/
[Accessed April 30, 2020].
Eant, G., Im, U. & Emre, Y., 2011. A Literature Survey About Recent Botnet
Trends., pp.1–14.
Engen, V., 2010. Machine Learning for Network Based Intrusion Detection.
International Journal.
ESET Research, 2010. Top 10 signs your computer may be part of a
Botnet. Available at:
http://www.welivesecurity.com/2010/04/21/top-10-signs-your-
computer-may-be-part-of-a-botnet/ [Accessed May 1, 2020].
Eslahi, M., Salleh, R. & Anuar, N.B., 2013. Bots and botnets: An overview of
characteristics, detection and challenges. Proceedings - 2012 IEEE
International Conference on Control System, Computing and
Engineering, ICCSCE 2012, pp.349–354.
Fortinet, 2013. Anatomy of a Botnet. MalwareCity News.
Ge, Z. et al., 2003. Modeling peer-peer file sharing systems. IEEE
INFOCOM 2003. Twenty-second Annual Joint Conference of the IEEE
Computer and Communications Societies (IEEE Cat. No.03CH37428),
3(C).
Grizzard, J.B. et al., 2007. Peer-to-peer botnets: overview and case study.
HotBots’07 Proceedings of the first conference on First Workshop on
Hot Topics in Understanding Botnets, p.1.
Hefeeda, M., 2004. Peer-to-Peer Systems ∗. School of Computing
Science Simon Fraser university, (1), pp.1–16.
Hofmann, a. & Sick, B., 2003. Evolutionary optimization of radial basis
function networks for intrusion detection. Proceedings of the
International Joint Conference on Neural Networks, 2003., 1,
pp.415–420.
Hofmann, A., Horeis, T. & Sick, B., 2004. Feature Selection for Intrusion
Detection: An Evolutionary Wrapper Approach. IEEE International Joint
Conference on Neural Networks (IEEE Cat. No.04CH37541), 2, pp.1563–
1568.
12. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Huawei, 2013. 2013 Botnets and DDoS Attacks Report.
Huda, S. et al., 2014. Hybrids of support vector machine wrapper and
filter based framework for malware detection. Future Generation
Computer Systems.
Hyperion University, 2011. HYPERION INTERNATIONAL JOURNAL
OF ECONOPHYSICS & NEW ECONOMY, In, C.S., Mongkonchai,
N. & Aimtongkham, P., 2014. An Evaluation of Data Mining
Classification Models for Network Intrusion Detection., pp.90–94.
Insights, G., Strategies, D. & Methods, M., 2009. Protecting IP Services
from the Latest Trends in Botnet and DDoS Attacks.
Irestig, M. et al., 2005. Peer-to-peer computing in health-promoting
voluntary organizations: A system design analysis. Journal of
Medical Systems, 29(5), pp.425–440.
Kaspersky, 2013. What is a Botnet? -Kaspersky Daily | Kaspersky Lab
Official Blog. Available at: http://blog.kaspersky.com/botnet/
[Accessed April 30, 2020].
Khattak, S. et al., 2014. A Taxonomy of botnet behavior, detection, and
defense. IEEE Communications Surveys and Tutorials, 16(2),
pp.898–924.
Kirk, P., 2003. Gnutella - A Protocol for a Revolution.
Kononenko, I., 2007. MACHINE LEARNING AND DATA MINING
(Introduction to Principles and Algorithms),
Kotsiantis, S.B., Zaharakis, I.D. & Pintelas, P.E., 2006. Machine learning: A
review of classification and combining techniques. Artificial
Intelligence Review, 26(3), pp.159–190.
Liao, W. & Chang, C.-C., 2010. Peer to Peer Botnet Detection Using Data
Mining Scheme. 2010 International Conference on Internet
Technology and Applications, pp.1–4.
Livadas, C. et al., 2006. Usilng Machine Learning Technliques to Identify
Botnet Traffic. Proceedings. 2006 31st IEEE Conference on Local
Computer Networks, (1).
Lui, S.M. & Kwok, S.H., 2002. Interoperability of peer-to-peer file sharing
protocols. ACM SIGecom Exchanges, 3(3), pp.25–33.
Mahoney, M.V. & Chan, P.K., 2003. Learning rules for anomaly detection
of
hostile network traffic. Third IEEE International Conference on Data
Mining, pp.2–5.
March, D., 2006. P2P Survey 2006. October, (October).
Masud, M.M. et al., 2008. Flow-based identification of botnet traffic by
mining multiple log files. 2008 1st International Conference on
Distributed Frameworks and Application, DFmA 2008, pp.200–206.
13. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Melanie, M., 1996. An introduction to genetic algorithms, Miquélez, T.,
Bengoetxea, E. & Larrañaga, P., 2004. Evolutionary computation
based on Bayesian classifiers. International Journal of Applied
Mathematics and Computer Science, 14(3), pp.335–349.
Morales, J.A. et al., 2010. Symptoms-based detection of bot processes.
Lecture Notes in Computer Science (including subseries Lecture
Notes in Artificial Intelligence and Lecture Notes in Bioinformatics),
6258 LNCS (1), pp.229–241.
MyCERT, 2014. MyCERT Incident Statistics. Available at:
https://www.mycert.org.my/statistics/2014.php [Accessed April 27,
2020].
Narang, P., Reddy, J.M. & Hota, C., 2013. Feature Selection for Detection
of Peer-to-Peer Botnet Traffic. Proceedings of the 6th ACM India
Computing Convention on - Compute ’13, pp.1–9.
Nogueira, A., Salvador, P. & Blessa, F., 2010. A Botnet Detection System
Based on Neural Networks. Digital Telecommunications (ICDT),
2010 Fifth International Conference on, pp.57–62.
Norton Symantec, Bots and Botnets—A Growing Threat. Available at:
http://us.norton.com/botnet/ [Accessed May 2, 2020].
Papadakis, H. et al., 2002. DESIGN AND IMPLEMENTATION OF A HYBRID
P2P-BASED GRID RESOURCE DISCOVERY SYSTEM. Most. Postel,
J., 1981a. RFC: 791. Available at: https://www.rfc-
editor.org/rfc/rfc791.txt [Accessed June 2, 2015].
Postel, J., 1981b. TRANSMISSION CONTROL PROTOCOL. RFC:793.
Available at: https://www.ietf.org/rfc/rfc793.txt [Accessed May 11,
2020].
Raghava, N.S., Sahgal, D. & Chandna, S., 2012. Classification of
Botnet detection based on botnet architechture. Proceedings -
International Conference on Communication Systems and Network
Technologies, CSNT 2012, pp.569–572.
Rossow, C. & Andriesse, D., 2013. Sok: P2pwned-modeling and
evaluating the resilience of peer-to-peer botnets. Security and
Privacy.
Saad, S. et al., 2011. Detecting P2P botnets through network behavior
analysis and machine learning. 2011 9th Annual International
Conference on Privacy, Security and Trust, PST 2011, pp.174–180.
Saroiu, S., Gummadi, P.K. & Gribble, S.D., 2002. A Measurement Study
of Peer-to-Peer File Sharing Systems. Proc. MMCN.
Sharma, R. & Chandel, G., 2012. Botnet detection and resolution
challenges: a survey paper. International Journal of Computer,
Information, (1), pp.10–15.
Shazzad, K.M., 2005. Optimization of Intrusion Detection through Fast
14. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Hybrid Feature Selection. Sixth International Conference on Parallel
and Distributed Computing Applications and Technologies
(PDCAT’05), pp.264– 267.
Simon, S., 1991. Peer-to-peer network management in an IBM SNA network.
IEEE Network, 5(2), pp.30–34.
Stevanovic, M. & Pedersen, J., 2013. Machine learning for identifying botnet
network traffic. Forskningsbasen.Deff.Dk.
Stock, B. et al., 2010. Walowdac - Analysis of a peer-to-peer botnet.
EC2ND 2009 - European Conference on Computer Network Defense,
pp.13–20.
Strayer, W.T. et al., 2008. Botnet Detection Based on Network Behavior.
Botnet Detection, 36(August), pp.1–24.
Stretch, 2011. TCP Flags: PSH and URG - PacketLife.net. PacketLife.
Available at: http://packetlife.net/blog/2011/mar/2/tcp-flags-psh-
and-urg/ [Accessed May 11, 2015].
Tanenbaum, A., 2003. Computer Networks Fourth Edi Tarng, W., Ou, K.
& Chen, M., 2011. The Analysis and Identification of P2P Botnet’s
Traffic Flows. International Journal of Communication Networks &
Information Security, 3(2), pp.138–149.
Tyagi, A.K. & Aghila, G., 2011. A Wide Scale Survey on Botnet. International
Journal of Computer Applications, 34(9), pp.9–22.
Tyson, J., 2000. How the Old Napster Worked – How Stuff Works.
Available
at: http://computer.howstuffworks.com/napster.htm [Accessed
April 21, 2015].
Vu, Q.H., Lupu, M. & Ooi, B.C., 2010. Peer-to-peer computing: Principles
and applications. Peer-to-Peer Computing: Principles and Applications,
pp.1– 317.
Wang, P. et al., 2009. A systematic study on peer-to-peer botnets.
Proceedings - International Conference on Computer
Communications and Networks, ICCCN.
Wang, P., Aslam, B. & Zou, C., 2010. Peer-to-peer botnets. Handbook of
Information and Communication …, p.25.
Wang, P., Sparks, S. & Cou, C., 2008. An advanced hybrid peerto- peer
botnet. 1st Workshop on Hot Topics in Understanding Botnets, 7(2),
p.2. Witten, I.H., Frank, E. & Hall, M. a, 2011. Data Mining:
Practical Machine Learning Tools and Techniques (Google eBook),
Available at:
http://books.google.com/books?id=bDtLM8CODsQC&pgis=1.
Yeshwantrao, S. a & Jadhav, P.V.J., 2014. Threats of Botnet to
Internet Security and Respective Defense Strategies., 4(1),
pp.121–127.
15. Seminar Pembelajaran Sepanjang Hayat Peringkat Kebangsaan (SPSH2020)
Zhaosheng, Z. et al., 2008. Botnet Research Survey. Computer Software and
Applications, 2008. COMPSAC ’08. 32nd Annual IEEE International,
pp.967– 972.