REKONSTRUKSI KEJAHATAN INTERNET MENGGUNAKAN METODE PAYLOAD ATTRIBUTION WINNOWING MULTIHASHING

Penulis

Irwan Sembiring

Pembimbing: Prof.Drs.Jazi Eko Istiyanto,M.Sc.,Ph.D ; Drs.Edi Winarko,M.Sc.,Ph.D;Dr.tech.Ahmad Ashari,M.I.Kom


ABSTRACT: The increasing number of internet crimes causing escalation of deprivation, thereby the need of investigating and identifying the source of the attacker becomes very important. The process of recording, capturing and traffic analysis is an effort to investigate and find the attacker. Header and payload, the major component of network traffic, become the source of information to find the perpetrators. Analysis of header and payload which carried out comprehensively, require a large storage space. Capturing all the traffic in the WAN requires approximately 10 GB memory space per day. Large databases (volume of evidence) and identification of the attacker at the level data link layer using header and payload are the major problems solved by this research. Novelty of this research is to find a machine model of internet crime reconstruction using Payload Attribution Winnowing Multihashing (PAWMH) methode and Jaccard Similarity. This model works on the data link layer (data link layer identification) to execute the extraction rules reconstruction. The difference of this research and the previous one is the rules reconstruction generated from payload digest. This research combine the Intrusion Detection System and Method Jaccard Similarity, affecting the memory savings. The main characteristic of Winnowing which hides the digital fingerprinting on each partition, become the major premise of this model. This model acts to identify and investigate the subject and the object of attacker in the datalink layer and save the memory space in approximately 30 percent. If the percentage similarity attains to 80% of the minimum standard, the results of the comparison are considered to be similar, so the model just use the reference payload as the payload referral. The merge of reconstruction system using modified rules of network forensic generic models with payload attribution WMH, yields the information in investigation and identification of Internet crime. Fingerprint value generated by this model are classified based on the type of attack. Each formed fingerprint value will be compared with the antemortem data to get a percentage similarity value. The gained advantage using PAWMH method are (1) more complete and original result analysis. (2) Encryption techniques do not affect the identification process because the process is at a datalink layer. (3) Smaller memory size and faster reconstruction time. Comparison between total alerts trapped compare to unique alerts, fingerprint length and similarity value become a major parameter in calculating the size of the diminution results

INTISARI: Jumlah kejahatan internet yang semakin tinggi menyebabkan peningkatan kerugian..Kebutuhan untuk melakukan investigasi dan identifikasi sumber penyerang menjadi sangat penting. Proses rekam, tangkap dan analisa trafik merupakan langkah investigasi dalam menemukan sumber penyerang. Network Trafik terdiri dari header dan payload yang menjadi sumber informasi dalam menemukan pelaku kejahatan. Analisa header dan payload yang dilakukan secara komprehenshif membutuhkan ruang penyimpanan yang besar. Penangkapan semua trafik dalam WAN membutuhkan kapasitas memory sekitar 10 GB per hari. Permasalahan yang dipecahkan dalam penelitian ini adalah masalah database yang besar (volume of evidence) dan identifikasi penyerang pada level datalink layer menggunakan header dan payload. Kontribusi penelitian ini adalah menemukan model mesin rekonstruksi kejahatan internet menggunakan metode Payload Attribution Winnowing Multihashing (PAWMH) dan Jaccard Similarity. Model ini bekerja pada datalink layer (data link layer identification) untuk melakukan ekstraksi rules rekonstruksi. Perbedaan mendasar penelitian ini dibanding penelitian sebelumnya adalah adanya rules rekonstruksi yang dihasilkan dari payload digest. Penelitian ini melakukan kombinasi antara Intrusion Detection System dan Metode Jaccard Similarity yang berdampak pada penghematan memori. Alasan pemilihan metode ini adalah ciri khas utama dari winnowing yang menyembunyikan digital fingerprinting secara merata pada setiap partisi. Model ini berfungsi melakukan identifikasi dan investigasi subjek dan objek penyerang pada datalink layer serta dapat melakukan penghematan memori kurang lebih 30 persen. Apabila persentase kemiripan mencapai angka standar minimal 80%, maka hasil perbandingan dianggap sama sehingga cukup menggunakan payload reference sebagai payload rujukan. Penggabungan rekonstruksi menggunakan kaidah modifikasi model network forensic generic dengan payload attribution WMH menghasilkan informasi untuk kepentingan investigasi dan identifikasi kejahatan internet. Nilai fingerprint yang dihasilkan oleh model ini diklasifikasikan berdasarkan jenis serangan. Setiap nilai fingerprint yang terbentuk akan dibandingkan dengan data antemortem yang ada untuk mendapatkan persentase nilai kemiripan Keuntungan yang diperoleh dengan menggunakan metode PAWMH adalah (1) Hasil analisa lebih lengkap dan original meliputi subyek dan obyek penyerang. (2) Identifikasi dilakukan pada datalink layer sehingga tidak terpengaruh pada teknik enkripsi. (3) Penghematan memori dan waktu rekonstruksi yang lebih cepat. Perbandingan antara total alert yang ditangkap dibandingkan dengan alert unik, panjang fingerprint dan nilai kemiripan menjadi parameter utama dalam menghitung besar kecilnya penghematan yang dihasilkan.

Kata kunci Payload attribution, WMH, Jaccard Similarity, Network forensic
Program Studi S3 Ilmu Komputer UGM
No Inventaris
Deskripsi
Bahasa Indonesia
Jenis Disertasi
Penerbit [Yogyakarta] : Universitas Gadjah Mada, 2016
Lokasi Perpustakaan Pusat UGM
File Tulisan Lengkap dapat Dibaca di Ruang Tesis/Disertasi
  • Anda dapat mengecek ketersediaan versi cetak dari penelitian ini melalui petugas kami dengan mencatat nomor inventaris di atas (apabila ada)
  • Ketentuan Layanan:
    1. Pemustaka diperkenankan mengkopi cover, abstrak, daftar isi, bab pendahuluan, bab penutup/ kesimpulan, daftar pusatak
    2. Tidak diperbolehkan mengkopi Bab Tinjauan Pustaka, Bab Pembahasan dan Lampiran (data perusahaan/ lembaga tempat penelitian)
    3. Mengisi surat pernyataan, menyertakakan FC kartu identitas yang berlaku

<< kembali