Ide Penelitian : Membangun Adaptive HTTP Firewall dengan Hidden Markov Model dan Artificial Immune System

Tulisan ini sebagai salah satu tugas dari mata kuliah Teknologi Komunikasi dan Informasi.

Abstrak - Perkembangan HTTP firewall sudah sampai pada bagaimana sistem bisa mengenali serangan berdasarkan pola yang sudah ditentukan. Akan tetapi umumnya masih bersifat pasif tanpa bisa mempelajari pola-pola baru dalam serangan. Adaptive HTTP firewall berbasis Hidden Markov Model (HMM) dan Artificial Immune Sytem merupakan (AIS) merupakan firewall untuk protokol HTTP (web) yang mampu memetakan pola-pola serangan (dengan HMM) dan mengadopsi sistem kerja imun manusia sehingga mampu secara aktif mempelajari, megenali, dan menyesuaikan diri dengan pola-pola serangan yang baru.

Kata Kunci: adaptive http firewall, artificial immune system, hidden markov model

Seiring dengan cepatnya perkembangan internet, banyak keperluan manusia yang bisa dilakukan secara virtual melalui aplikasi yang berbasis website seperti internet banking, toko online, penerimaan pegawai, penerimaan pelajar dan mahasiswa, hingga virtual learning.  Oleh sebab itu, keamanan pada website merupakan hal yang sangat penting mengingat banyak sekali data-data pengguna yang harus dilindungi dari orang-orang yang tidak bertanggung jawab.

HTTP firewall merupakan salah satu proteksi yang dikhusukan untuk melindungi protokol HTTP. Mengingat perannya yang begitu penting dan banyaknya kombinasi serangan yang bisa dilakukan oleh attacker, maka HTTP firewall berbasis Hidden Markov Model dan Artificial Immune System diharapkan dapat secara aktif mengenali dan mempelajari pola-pola serangan website yang beragam dan mampu melindungi semua resource website dari serangan attacker.

Dalam pendeteksian serangan, HTTP Firewall umumnya dibangun dengan dua model, yaitu model statis dan dinamis. Model statis yaitu HTTP Firewall berbasis pada algoritma pencocokan string seperti Algoritma Brute Force, Booyer Moore, dan Zhu Takaoka[1]. HTTP firewall yang dibangun dengan model dinamis dibangun dengan algoritma yang dapat merepresentasikan pola serangan seperti penggunaan Hidden Markov Model[2] dan Hidden Naïve Bayes[3].

Aplikasi HTTP Firewall berbasis server seperti ModeSecurity[4] mengacu pada kedua model tersebut sehingga firewall dapat mendeteksi serangan secara dinamis berdasarkan pola serangan atau pencocokan string serangan. Sedangkan aplikasi HTTP Firewall yang berbasis framewok[5] seperti NinjaFirewall[6] masih berbasis pada model statis.

Umumnya HTTP Firewall bersifat pasif, artinya firewall tersebut hanya bertugas untuk mendeteksi serangan atau mencocokan pola, lalu memberikan peringatan kepada administrator jaringan dengan cara mencatat log atau mengirimkan email. HTTP Firewall yang bersifat aktif dapat mempelajari serangan baru berdasarkan pola-pola sebelumnya dan menyimpannya ke dalam memori. Sifat aktif pada HTTP Firewall bisa juga diibaratkan dengan firewall yang didesain agar mampu memetakan pola-pola serangan, menambahkan pola dan rule pendeteksian secara mandiri, dan mampu beradaptasi dengan pola serangan yang beragam.

Penggunaan Algoritma cerdas seperti ANN, Fuzzy, Ant Colony, dan Genetika umumnya lebih banyak diteliti untuk ditanamkan pada Firewall jaringan[7][8] sebagai packet filtering[9] [10] dan penangkal serangan DoS. Pada paper ini penulis akan menerapkan salah satu algoritma cerdas yaitu Artificial Immune System (AIS) dan algoritma peramalan probabilitas Hidden Markov Model (HMM) untuk membangun HTTP Firewall yang mampu beradaptasi dengan pola-polas serangan yang berbeda.

Hidden Markov Model (HMM) adalah peluasan dari rantai Markov di mana state-nya tidak dapat diamati secara langsung (tersembunyi), tetapi hanya dapat diobservasi melalui suatu himpunan pengamatan lain[11]. Kondisi “tersembunyi” tersebut dapat digunakan untuk memetakan rangkaian string URL dan parameter pada HTTP Request sebagai pola-pola tertentu[2].

Parameter-parameter pada variabel HTTP Request akan dikelompokkan ke dalam tiga jenis data, numerik (0-9), huruf alfabet (a-z,A-Z), dan alfanumerik (0-9,a-z,A-Z, dan semua simbol yang ada dalam ascii). Ketiga jenis data tersebut akan menjadi dasar dalam pembuatan pola HTTP Request. Tabel 3.1 merupakan contoh pola pada HTTP Request. Pola /web/p1=N/p2=A/p3=AN menunjukkan alamata “web”, p1 = numerik (N), p2 = alfabet (A), p3 = alfanumerik (AN). Pada baris terakhir, URI Request dianggap tidak valid karena mempunyai pola yang berbeda dengan pola yang dipetakan sebelumnya. Penentuan pola seperti dapat digunakan untuk mendeteksi anomali pada HTTP Request yang berpotensi sebagai serangan.

Tabel 3.1 Contoh pola HTTP Request

Artificial Immune System merupakan algoritma yang mengadopsi cara kerja sistem imun (antibody) manusia. Dalam perspektif biologis, ketika ada antigen masuk ke dalam darah baik dari dalam atau dari luar tubuh, maka B-Cell yang ada pada sumsum tulang belakang akan memproduksi antibodi untuk menentralisir antigen. Awalnya antibodi akan mencoba untuk mengikat antigen, setelah itu atibodi yang bisa mengikat antigen akan menggandakan diri lalu melakukan seleksi dan mutasi. Antibodi yang tidak bisa mengikat antigen akan dihilangkan sedangkan yang bisa mengikat antigen akan diperbanyak.

Proses seleksi dan mutasi merupakan proses pengenalan dan penyesuaian diri antibodi terhadap antigen. Keluaran proses seleksi dan mutasi adalah antibodi yang memiliki memori (memory cell) tentang antigen yang sudah dipelajari. Apabila ada antigen baru dengan pola yang sama, maka antibodi yang sudah memiliki memori akan langsung menetralisir antigen tersebut. Namun jika ada antigen baru dengan pola yang berbeda, maka B-Cell akan kembali memproduksi antibodi, melakukan proses seleksi dan mutasi hingga antibody dapat menetralisir antigen yang baru tersebut. Ilustrasi proses antibodi mengikat antigen dapat dilihat pada Gambar 4.1.

Dalam HTTP Firewall, berikut pemetaan komponen pada Artificial Immune System (AIS) terhadap komponen-komponen pada HTTP Firewall.

Tabel 4.1 Pemetaan AIS dalam HTTP Firewall

A. Pendeteksian Serangan

Komunikasi data dalam protokol HTTP yaitu dengan mengirimkan HTTP Request dan meneriman HTTP Response. Serangan pada protokol ini yaitu dengan menginjeksikan data atau dengan memodifikasi parameter yang ada pada HTTP Request. Injeksi kode berupa potongan script atau kode yang dianggap merusak data umumnya juga dilakukan pada parameter pada URI.

Gambar 5.1 merupakan alur pendeteksian serangan pada HTTP Request. Untuk mendeteksi serangan pada protokol HTTP, maka yang diperiksa adalah setiap HTTP Request  yang dikirimkan oleh user. Dalam hal ini HTTP Request akan diparsing sesuai dengan parameter HTTP Request atau parameter pada URI. Selanjutnya data hasil parsing akan diperiksa berdasarkan pola yang sudah ada. Apabila HTTP Request memiliki pola yang sesuai dengan serangan, maka HTTP Request dapat di-drop atau dimodifikasi dengan salah satu pola yang.

B. Pengenalan Pola

HTTP Request dibagi menjadi dua bagian, valid dan tidak valid. Proses validasi dilakukan dengan perhitungan algoritma viterbi pada HMM. HTTP Request Dikatakan valid apabila cocok dengan pola data yang bukan serangan. Sedangkan dikatakan tidak valid apabila HTTP Request cocok dengan pola serangan. Apabila HTTP Request tidak cocok dengan kedua pola tersebut, maka HTTP Request untuk sementara akan dimasukkan ke dalam kelompok abu-abu. Selanjutnya HTTP Firewall akan melakukan pembelajaran terhadap pola tersebut dan memberikan pesan warning kepada administrator jaringan untuk ditindak lanjuti. Diagram pengenalan pola HTTP Request dijelaskan pada Gambar 5.2.

C. Proses Pembelajaran

Proses pembelajaran dilakukan apabila firewall menemukan pola yang tidak cocok dengan pola HTTP Request yang valid dan pola HTTP Request yang tidak valid. Pada Gambar 5.3, proses learning akan diawali dengan pembangkitan pola HTTP Request berdasarkan pola yang sudah ada secara acak. Untuk mendapatkan kecocokan antara pola dan HTTP Request maka pola akan melewati proses penggandaan dan mutasi. Proses mutasi berdasarkan tingkat error antara pola yang valid dengan pola yang tidak valid. Proses pembelajaran akan terus dilakukan hingga diperoleh pola yang paling mirip dengan HTTP Request yang dipelajari. Hasil dari pembelajaran ini adalah pola baru HTTP Request yang akan dikategorikan valid atau tidak valid. 

D.    Model Adaptif

Model adaptif pada HTTP Firewall ini adalah proses pendefinisian rule baru secara mandiri apabila ada pola baru pada HTTP Request. Pola baru tersebut meliputi pola serangan dan pola bukan serangan. Model Adaptif HTTP Firewall pada Gambar 5.4 diawali dengan parsing data HTTP Request kemudian perhitungan dengan algoritma Viterbi yang merupakan bagian dari Hidden Markov Model. Perhitungan dengan Viterbi akan dicocokkan dengan pola yang sudah ada dalam database.

Apabila tidak ada pola yang sesuai, maka sistem akan mempelajari pola Request dengan AIS dan akan menyimpan polabaru hasil pembelajarannya pada database. Apabila ada pola yang cocok, maka sistem akan mengeksekusi sesuai action yang telah didefinisikan oleh administrator.

Penggunaan web dalam berbagai keperluan menjadikan aspek sekuritas menjadi hal yang sangat penting. Untuk meningkatkan keamaan transaksi data maka dibutuhkan firewall yang khusus dibangun untuk protokol web yang mampu mendeteksi berbagai pola serangan yang sangat beragam dan harus mampu beradaptasi secara mandiri. Penggunaan algoritma Hidden Markov Model untuk mendeteksi serangan web berdasarkan pola serangan yang dikombinasikan dengan algoritma Artificial Immune System yang mampu mempelajari pola baru dapat menjadikan HTTP Firewall bersifat adaptif. Makalah ini masih membahas Adaptive HTTP Firewall secara konseptual dan diharapkan bisa dikembangkan ke ranah implementasi.

REFERENSI

1. Santoso, Hari. “Validasi HTTP Request dengan Algoritma Zhu-Takaoka”. Malang: 2010.

2. Mohammad Geraily dan Majid Vafaei Jahan, “Fuzzy Detection of Malicious Attacks on Web Applications based on Hidden Markov Model Ensemble”, IEEE Third International Conference on Intelligent Systems Modelling and Simulation, 2012.

3. Jia Wu, Shirui Pan, Xingquan Zhu, Zhihua Cai,Peng Zhang, Chengqi Zhang. “Self-adaptive attribute weighting for Naive Bayes classification”, Expert Systems with Applications Vol.42 p. 1487–1502. Elsevier, 2015.

4. ModSecurity: Open Source Web Application Firewall, https://www.modsecurity.org/

5. Igino Corona, Davide Ariu dan Giorgio Giacinto, HMM-Web: a framework for the detection of attacks against Web applications, Communications. ICC '09. IEEE International Conference, 2009.

6. NinjaFirewall : Web Application Firewall for PHP, http://ninjafirewall.com

7. Sindhu, S.S.S et all. A Neuro-genetic ensemble Short Term Forecasting Framework for Anomaly Intrusion Prediction, Advanced Computing and Communications, IEEE, 2006.

8. Borders, K. Falk, Laura ; Prakash, A. OpenFire: Using deception to reduce network attacks, Security and Privacy in Communications Networks and the Workshops, IEEE, 2007.

9. Reumann, J. Jamjoom, H.  Kang Shin, Adaptive packet filters, Global Telecommunications Conference, IEEE, 2001.

10. N.K. Sreelaja, G.A. Vijayalakshmi Pai1, Ant Colony Optimization based approach for efficient packet filtering in firewall, Applied Soft Computing, Vol. 10, Issue 4, Pages 1222–1236, Elsevier, 2010.

11. Firdaniza, Nurul Gusriani dan Akmal, Hidden Markov Model, Trend Penelitian dan Pembelajaran Matematika di Era ICT, 2006

Untuk versi PDF, silakan Download di SINI!