DARPA MIT vs ITD

by on February 19, 2012

Begitu mungkin judul yang pas untuk sharing kali ini, dimana setelah berjibaku selama hampir 6 bulan akhirnya Data set selesai dan sesuai kesepakatan antara team diberi nama Intrusion Threat Detection (ITD). Sekitar 2 minggu ini saya kembali disibukan dengan bagaimana caranya membandingkan DARPA MIT dengan ITD, pusing dibuatnya akhirnya kembali lagi melakukan penggalian dari sana-sini paper dari IEEE & Science Direct.

Adalah menemukan beberapa petunjuk awal yaitu untuk membandingkannya dapat menggunakan Snort, namun semuanya masih terlihat kabur, setelah membedah anatomy snort akhirnya ditemukan bahwa kita dapat membandingkannya dengan bantuan Alert yang dikeluarkannya. Snort memang program analysis dan detection yang luar biasa, double thumbs pada programmer dan dukungan ribuan member forum snort dan beberapa komunitas serupa untuk terus meningkatkan kemampuan Snort.

Setelah dilakukan percobaan awal menggunakan Snort 2.8.2 (build 75) dan Snort 2.8.5 (build 121) dengan membandingkan DARPA MIT dan ITD data sets, hasil awal yang cukup mencengangkan. Data DARPA menggunakan data di tahun 1998 di second week (tcpdump file) dan fourth week pada Wednesday yang merupakan bagian di tahun 1999 (outside_tcpdump and inside_tcpdump file), dimana ITD dikenali ada sebanyak 120 type of attack yang dinyatakan oleh Alert snort, sebaliknya DARPA MIT hanya dikenali sebanyak 27 type saja.

Kedepan membandingkan dengan algorithma dan system yang saya buat menjadi mutlak. Serta hal yang ditunggu-tunggu adalah apakah algorithma saya dapat mengenalinya lebih baik dari snort dan membagi attack dalam beberapa type: Probe, U2R, R2L, dan DoS. Namun ada masalah lain yang harus diselesaikan yaitu” raw data” harus dapat di ekstrak terlebih dahulu.