Deteksi serangan malware dengan domain Generation Algorithm berdasarkan analisis traffic DNS

Show simple item record

dc.contributor.advisor Wijaya, Chandra
dc.contributor.author Nusantara, Andi Tangguh Kippi
dc.date.accessioned 2021-05-21T06:29:55Z
dc.date.available 2021-05-21T06:29:55Z
dc.date.issued 2020
dc.identifier.other skp39879
dc.identifier.uri http://hdl.handle.net/123456789/11510
dc.description 1708 - FTIS en_US
dc.description.abstract Teknik penanganan terhadap penyerangan botnet telah berkembang. Namun, penyerang menemukan teknik lain dalam menghindari pendeteksian dan blokade sehingga dapat bertahan hidup lebih lama. Domain Generation Algorithm (DGA) merupakan salah satu algoritma yang digunakan oleh penyerang untuk membangkitkan domain dengan karakteristik dan pola penamaan yang acak dalam jumlah besar, tetapi hanya sebagian dari domain tersebut yang digunakan botnet untuk berkomunikasi dalam kanal command and control (C&C). Penyerang memanfaatkan DGA untuk dapat berkomunikasi lebih lama dalam kanal C&C. Adanya pembangkitan domain dengan karakteristik dan pola penamaan yang acak dalam jumlah besar membuat penyerang dapat dengan mudah mengganti domain untuk komunikasi dengan domain lain jika pada suatu waktu terjadi pemblokiran domain yang sedang digunakan. Teknik terbaru untuk mendeteksi serangan DGA adalah dengan menganalisis response Non-eXistent Domain (NXDOMAIN). NXDOMAIN merupakan salah satu jenis DNS response yang memiliki RCODE bernilai 3, yang menunjukkan domain tersebut tidak tersedia di DNS server. NXDOMAIN dapat dimanfaatkan dalam pendeteksian karena sebagian domain hasil malware dengan DGA yang tidak aktif akan menghasilkan response NXDOMAIN saat botnet ingin mencari domain yang menjadi titik temu komunikasi dalam C&C. Analisis dapat dilakukan dengan menangkap dan melakukan parsing traffic DNS query dan response, sehingga response NXDOMAIN yang dimiliki tiap domain dapat digunakan untuk menentukan apakah suatu domain merupakan hasil serangan DGA atau tidak. Skripsi ini membuat sebuah perangkat lunak untuk mendeteksi domain serangan DGA dengan menganalisis jumlah NXDOMAIN yang diberikan tiap domain. Metode yang digunakan adalah dengan menghitung jumlah response NXDOMAIN dan jika suatu domain memiliki jumlah response NXDOMAIN lebih dari dua akan dianggap sebagai domain hasil malware dengan DGA. Hasil yang diberikan adalah sekumpulan domain dan rekapitulasi jumlah domain DGA dan non-DGA dari penangkapan traffic DNS menggunakan perangkat lunak yang dibuat dan dataset malware traffic yang disediakan oleh Stratosphere IPS. Tingkat akurasi dari perangkat lunak yang dibuat diukur dengan menghitung nilai precision, recall dan F1 score pada sampel pcap CTU-Malware-Capture-Botnet-91, CTU-Malware-Capture-Botnet-221-1, dan CTU-Malware- Capture-Botnet-25-4. Nilai terbaik dihasilkan dari analisis terhadap sampel CTU-Malware- Capture-Botnet-25-4 dengan precision sebesar 0,999, recall sebesar 0,994, dan F1 Score sebesar 0,997 yang menunjukkan metode dapat digunakan dalam mendeteksi domain serangan malware dengan DGA. en_US
dc.language.iso Indonesia en_US
dc.publisher Program Studi Teknik Informatika Fakultas Teknologi Informasi dan Sains - UNPAR en_US
dc.subject botnet en_US
dc.subject Command and Control (C&C) en_US
dc.subject DNS en_US
dc.subject Domain Generation Algorithm (DGA) en_US
dc.subject Non-eXistent Domain (NXDOMAIN) en_US
dc.title Deteksi serangan malware dengan domain Generation Algorithm berdasarkan analisis traffic DNS en_US
dc.type Undergraduate Theses en_US
dc.identifier.nim/npm NPM2015730017
dc.identifier.nidn/nidk NIDN0401068901
dc.identifier.kodeprodi KODEPRODI618#Teknik Informatika


Files in this item

This item appears in the following Collection(s)

Show simple item record

Search UNPAR-IR


Advanced Search

Browse

My Account