bab ii kajian teorieprints.umm.ac.id/42336/3/bab ii.pdf · 2018. 12. 20. · cowrie merupakan...
TRANSCRIPT
6
BAB II
KAJIAN TEORI
2.1. Pengertian Jaringan Internet
Internet merupakan suatu jaringan komputer yang besar, terdiri dari jutaan
komputer yang saling terhubung melalui suatu protocol untuk pertukaran informasi
antar komputer yang terhubung tersebut[10]. Semua komputer terhubung satu sama
lain dengan menggunakan satu transmisi pertukaran informasi dengan
menggunakan TCP/IP (Transmission Control Protocol/Internet Protocol). Intenet
menggunakan data yang di akses dari layanan komunikasi yang berasal dari
sumberdaya komputer yang terhubung untuk jutaan pemakainya yang tersebar di
seluruh dunia.
Internet memberikan dampak keuntungan dalam bidang bisnis, akademis,
pendidikan, pemerintahan, organisasi danlainsebagainya. Dengan adanya intenet
manfaat yang dapat diperoleh antara lain. Komunikasi interaktif, akses data dan
ilmu ke pakar, akses data pembelajaran perpustakaan, membantu banyak penelitian
untuk mengembangkan ilmu pengetahuan, pertukaran data, dan juga kolaborasi.
Dengan menggunakan intertnet telah banyak dimanfaatkan untuk e-
comerse, e-banking, e-government, e-learning, dan yang lainnya. Karena kita dapat
menggunakan jasa layanan tersebut dengan memanfaatkan jaringan intenet.
Aktifitas jual beli yang dapat dilakukan melalui jaringan internet memberikan
wujud penerapan teknologi informasi di bidang jual beli yang nyata namun tidak
berinteraksi langsung dengan penjual melainkan melalui jaringan intenet. Dengan
kata lain internet menjembatani kominikasi tersebut.
2.2. Serangan pada jaringan internet
Internet yang membantu dalam menyelesaikan masalah – masalah atau
untuk sebagai komunikasi dan hiburan seperti blog, video, dan juga service –
service web, telah banyak digunakan oleh berbagai kalangan, mulai dari website
pribadi perkantoran, pemerintahan, juga finansial. Dari website tersebut maka tidak
lepas dari serangan siber yang datang menuju server mereka.
Seperti layanan bank yang menggunakan internet sebagai media
komunikasinya maka bank memerlukan keamanan dari serangan jaringan[11],
7
jaringan internet sendiri pada mulanya hanya dapat di gunakan untuk kebutuhan
akademis (penelitian dan pendidikan). Namun sejak 1995 internet menjadi di
gunakan untuk keperluan bisnis.
Banyak bentuk bentuk serangan yang ada di jaringan internet yang dapat
mengganggu jalannya servis pada jaringan. Seperti gambar dibawah ini yang
menggambarkan titik rawan dalam jaringan internet.
Gambar 2.1. Titik rawan dalam hubugan internet[11]
Dalam kasus Gambar 2.2 di atas terdapat berapa serangan dari penyadapan
pada komputer pengguna yang di lakukan oleh virus Trojan horse, kemudian
terdapat juga serangan yang melibatkan isp, dan ada juga serangan dalam bentuk
DoS.
2.3. Macam macam serangan jaringan
Dalam jaringan terdaapat macam – macam serangan, serangan jaringan
terbagi menjadi beberapa jenis untuk serangan dalam penelitian ini menggunakan
DoS dan DDoS dalam penyerangan nya berikut ini pengertian DoS dan DDoS, dan
juga port scanning untuk melihat service yang terbuka.
2.3.1. DoS
Jenis seranganyang di lakukan dengan menghambat atau memutus
ketersediaan informasi ketika di butuhkan seperti Denial of Service (DoS) attack,
akan membuat server kehilangan ketersediaannya. Proses serangan ini di lakukan
oleh seorang penyerang jaringan dengan cara mengirimkan layanan permintaan
dimana permintaan tersebut di kirimkan secara terus menerus. Ketika paket
dikirimkan terus server tidak akan dapat melayani permintaan lain bahkan server
bisa down, hang dan crash apabila serangan tidak kunjung di hentikan[12]. Pada
umumnya serangan DoS dan DDoS menargetkan serangan pada bandwith jaringan
8
komputer dengan trafict yang tinggi. Dengan membanjiri jaringan komputer atau
koneksi jaringan.
2.3.2. DDoS
Sebuah serangan yang menggunakan DoS namun terdistribusi sehingga
serangan ini melibatkan banyak komputer yang saling terhubung dan melakukan
serangan pada target komputer, host yang melakukan serangan DDoS disebut
komputer Zombie. Dengan cara dilakukan remote dari sebuah master yang natinya
master akan memerintahkan kepada kumpulan zombie komputer untuk menyerang
target yang perintahkan. Dengan kata lain serangan ini dilakukan dengan cara
beramai ramai yang menyebabkan banjirnya request dari user dan server tidak
mampu melayani user[5].
Serangan DDoS akan menyerang resource komputer yang di gunakan
untuk melakukan komunikasi untuk membalas request client atau dengan kata lain
bandwith jaringan. Dengan demikian komputer yang terkena serangan ini tidak
akan bisa memberikan ketersediaan CPU, Memory, ataupun penyimpanan pada
sebuah system, karena sumberdaya bandwith telah penuh dan tidak mampu
memberikan layanan. DDoS memakan banyak proses sistem karena menggunakan
banyak zombie komputer yang di gunakan untuk menghabiskan resource sitem
tersebut. Ketika serangan berlangsung sistem komputer akan menjadi sangat sibuk
karena kebanjiran request. Bot-net di gunakan untuk melancarkan serangan DDoS
Flooding dalam proses attacking serangan ini terdapat beberapa peranan seperti
Master, Handler, Agen dan korban.
Dalam sebuah contoh terdapat sebuah website yang sering di kunjungi
ketika di lakukan DDoS maka website itu akan down, tidak dapat memberikan
informasi. Beberapa website yang di serang dengan menggunakan prinsip DDoS
adalah EBay, Amazon, Buy.com, CNN.com dan Yahoo.com karena begitu hebatnya
efek dari serangan DDoS tersebut website yang telah terkena serangan mengalami
kerugian yang cukup banyak[12].
2.3.3. Port Scaning
Serangan jaringan dengan port scanning merupakan metode untuk
menemukan jalur komunikasi yang dapat di eksploitasi. Jalur tersebut di gunakan
penyedia layanan atau server pada waktu yang lama[13]. Tujuan utamanya untuk
9
menyelidiki jalur pada jaringan berbentuk port yang sedang berjalan pada sebuah
server. Beberapa sudut pandang menyatakan bahwa serangan Port Scanning
merupakan serangan yang tidak merugikan namun juga di anggap sebagai metode
untuk menemukan sebuah kemungkinan yang bisa membuat kerugian pada sistem.
Telah banyak teknik yang dapat di gunakan untuk melakukan port scanning, seperti
port scanningpada TCP, TCP Half-connect scanning, Stealth scanning, Xmass Tree
scanning dan NULL scanning. Semua dari teknik di atas memerlukan paket TCP
untuk proses scanning nya.
TCP Connect merupakan metode scanning yang masih belum sempurna
dengan menggunakan handshaking tiga arah. Sistem yang di gunakan pada Port
Scanning dengan menyerang dengan mengirim dengan Flag SYN ke korban
kemudian menunggu balasan paket. Untuk mengidentifikasikan port yang sedang
terbuka, host target akan mengirimkan balasan paket berupa SYN/ACK. Namun jika
port tidak merespon maka server akan memberikan paket kembali berupa
RST/ACK. Setelah itu attacker akan mengirimkan paket ACK dengan koneksi penuh
namun dengan TCP Setengah terhubung saja. Di sisi lain juga akan menggunakan
paket RST untuk segera menutup koneksi.
Stealth atau TCP FIN merupakan Pemindaian dengan mempermainkan
peran serangan dengan mengirim paket dengan Flag FIN ke lawan atau target.
Sebuah paket RST / ACK akan di berikan dari server jika port host target sedang
tertutup, namun ketika port server korban terbuka, attacker tidak akan menerima
paket apapun dari target.
XMass Tree memberikan server host target dengan paket TCP dengan Flag
FIN / URG / PSH. Untuk scanning dengan NULL Scanning mengirimkan paket
namun tidak menyertakan Flag ke host target. XMass Three dan NULL Scanning
sama sama melakukan listen Paket RST / ACK untuk menunjukkan bahwa port
sedang tertutup dan tidak ada paket balasan jika terdapat port yang terbutka.
2.4. Honeypot
Honeypot adalah sistem yang didesain menyerupai system yang asli dan di
buat untuk tujuan di serang atau di susupi, sehingga system yang asli tetap aman
dari serangan[14]. Honeypot menyediakan layanan dimana akan menjadi sebuah
umpan untuk attacker, honeypot terdiri dari banyak kumpulan sebuah sistem
10
contohnya kippo, dionaea, dll. Bekerja pada host yang di sebut sensor host. Sistem
ini akan mengumpulkan banyak data dari serangan attacker dan sistem ini akan
melindungi sistem server maka server masih bisa melakukan layanan. Jika suatu
serangan di lancarkan oleh attacker maka honeypot seakan akan menjadi sebuah
server yang telah di serang. Dalam honeypot trafik jaringan tidak benah benar
merupakan server asli, karena di dalamnya tidak ada sebuah sistem yang benar-
benar menyatakan suatu server yang sedang berjalan[7]. Honeypot di manfaatkan
oleh peneliti atau perusahaan untuk mendapatkan sebuah modus yang di lakukan,
untuk apa penyerang melakukannya atau apa yang sedang di serang.
Dalam honeypot dapat menyimpan semua data informasi penyerang dari
waktu, tanggal, ip, port source, port destination. Honeypot menghasilkan sebuah
log yang dapat digunakan untuk untuk analisa dan mengetahui informasi dari hasil
analisa tersebut.
2.5. Macam macam Honeypot
Honeypot memiliki berbagai jenis dan tujuan masing masing, terdapat
honeypot yang di gunakan untuk menangkap malware, ada yang di gunakan untuk
mencatat serangan DoS, honeypot yang di tujukan untuk serangan Brute Force pada
ssh dan shell interaction. Berikut ini contoh dan pengertian dari beberapa honeypot.
2.5.1. Dionaea
Dionaea merupakan sebuah software yang dapat dilakukan ekploitasi.
Hasil dari eksploitasi menghasilkan sebuah log yang di simpan. Ketika Dionaea
menerima serangan sebenarnya Dionaea sedanga melakukan sebuah jebakan untuk
penyerang agar dapat di ambil datanya. Dionaea dapat mengambil sample dari
malware yang menyenrang dirinya.
2.5.2. Cowrie
Cowrie merupakan honeypot yang bejalan menyerupai ssh dan telnet.
Cowrie akan mencatat serangan yang berasal dari brute force dan shell interaction
kemudian menyimpan serangan bruteforce hasil username dan passowrd yang telah
dicobakan kedalam honeypot cowrie. Cowrie juga mampu memberikan penyerang
halaman shell yang bejalan dengan user root, attacker dapat melakukan apaun
dengan shell tersebut namun tidak ada efek yang berjalan. Dalam shell tersebut
11
semua aktifitas akan di rekam oleh cowrie. Serangan yang masuk pada cowrie dapat
dipelajari dengan memanfaatkan hasil log dan shell interaction-nya.
Dari beberapa honeypot yang ada di atas terdapat honeypot yang dapat di
gunakan dalam penelitian ini. Dionaea dapat mendeteksi serangan yang berupa Port
Scanning dari software NMAP, dan dapat mendetksi serangan DoS menggunakan
Aplikasi LOIC dan serangan DDoS pada port yang di targetkan. Dionaea akan di
pasang pada sistem penelitian ini dengan tujuan untuk mengambil data serangannya
yang berada pada log.
2.6. Software yang di gunakan dalam penelitian
Untuk memenuhi kelengkapan software yang di perlukan dalam penelitian
ini akan di perjelas software yang akan di pakai dan beberapa teknik dalam
melakukan konfigurasi agar sistem dapat berjalan. Beberapa software di bawah ini
merupakan software yang bersifat opensouce dan berjalan stabil pada versi tertentu.
2.6.1. Ubuntu server
Ubuntu merupakan sistem operasi opensource yang banyak di gunakan
untuk desktop dan server. Ubuntu merupakan sistem operasi turunan dari debian
yang di kembangkan lagi hingga saat ini berversi 18.04. Ubuntu server dapat di
gunakan server web, server aplikasi, dan banyak lagi.
2.6.2. Proxmox VE
Proxmox VE merupakan program sistem operasi opensource penuh yang
di gunakan untuk managements server Virtual Machine (VM). Proxmox di bekali
dengan visualisasi untuk melakukan management servernya dengan memanfaatkan
browser. Proxmox merupakan Virtualisasi yang berbasiskan pada Kernel-based
Virtual machine (KVM) virtualization dan Container-Base virtualization. Proxmox
dapat di gunakan untuk melakukan management Virtual Machine (VM), Storage,
Virtual Network, dan High Availability (HA) Clustering. Untuk proxmox kelas
enterprise memiliki fitur yang lebih banyak dengan membantu user untuk
menaikkan resources yang di milikinya dan membantuk mengurangi biaya untuk
hardware dan juga waktu administrasi.
2.6.3. Modern honeypot network (MHN)
Modern Honeypot Network (MHN) merupakan system opensource
management yang dapat di gunakan untuk melakukan management sensor
honeypot dengan jumlah yang banyak tanpa konfigurasi yang banyak[15]. MHN
12
juga digunakan untuk mengumpulkan data yang berasal dari honeypot. Data attack
akan di kumpulkan dengan berdasarkan id masing masing dari sensor pada MHN.
MHN menyedikan world map yang dapat di gunakan untuk melihat dari negara
mana serangan itu datang. namun tidak untuk API nya. Lokasi asal serangan akan
di tampilkan secara live saat terjadi serangan.
Untuk instalasi sensor, MHN sudah dibekali script yang dapat digunakan
untuk instalasi sensor pada halaman deploy. Hal ini akan memudahkan untuk
pemasangan banyak sensor tanpa konfigurasi masing masing sensor yang di install,
apalagi sensor yang di pasang merupakan sensor yang berbeda. Konfigurasi akan
berbeda jika jenis honeypot berbeda pula, karena beberapa honeypot dibuat untuk
sistem yang berbeda.
MHN menyediakan API yang dapat digunakan untuk third party software,
API tersebut nantinya di gunakan untuk mengambil data untuk analisa K-Means.
Walaupun ketika instalasi berlangsung sudah terdapat pertanyaan untuk instalasi
software Splunk dan ELK yang merupakan software third party yang dapat
memberikan visualisasi, namun tidak memberikan hasil K-Means.
2.6.4. Honeypot yang terdapat di MHN
MHN yang merupakan sotftware management honeypot memiliki halaman
yang dapat di gunakan untuk installasi sensor, seperti yang dijelaskan pada sub bab
2.6.3, honeypot dapat secara mudah di install tanpa banyak konfigurasi, ketika
dilakukan installasi, sensor dapat langsung terhubung dengan MHN. Terdapat
beberapa honeypot yang ada pada MHN karena service ini dapat menampung data
dari berbagai honeypot maka satu server MHN dapat menampung honeypot dari
beberapa sensor honeypot yang sama.
Gambar 2.2. Macam - macam honeypot pada MHN
13
2.6.5. Mikrotik
Mikrotik adalah sebuah Router dimana menggunakan Mikrotik RouterOS
sebagai sistem operasinya[16]. Mikrotik RouterOS dibuat dan didesain untuk
memudahkan dalam penggunaannya. Dimana sangat baik di gunakan dalam sistem
jaringan yang berskala kecil hingga yang kompleks.
Mikrotik RouterBOARD merupakan kombinasi antara sistem operasi dan
juga hardware yang di buat oleh perusahaan MikoTik Ltd, yang di pasarkan ke
Internet service provider kecil hingga pada yang menengah ke atas.
2.6.5.1. Fungsi mikrotik
Mikrotik pada standarnya merupakan perangkat keras jaringanyang.
Kualitas control dan fleksiblitas untuk berbagai jenis dari paket data dan
penanganan Routing. Mikrotik juga dapat di gunakan sebagai manajemen bandwith,
firewall, wireless (Untuk Mikrotik AP), sistem hotspot, Virtual Private Network
(VPN), dan juga Mikrotik yang telah support dengan Virtualization.
2.6.5.2. NAT Mikrotik (Port Forwarding)
Network Address Translation (NAT) merupakan menu firewall yang ada
pada mikrotik. Menu ini dapat di gunakan untuk beberapa fungsi, untuk melakukan
Forwarding port, untuk membelokkan Port atau merubah port, Untuk memberikan
keamanan berupa firewall untuk keamanan jaringan. Port forwarding di gunakan
untuk meneruskan paket yang di tuju ke selain destination port awal. Jika ip A di
gunakan untuk akses pertama dan di teruskan ke ip B maka, yang terjadi jika port
contohnya port 80 di teruskan, ketika melakukan request web yang keluar adalah
port dari IP B karena paket sudah di teruskan ke IP dan Port B.
2.7. K-Means
Data cluster merupakan salah satu metode dari data mining yang bersifat
tanpa arahan. Ada dua jenis dari clustering data yang di perlukan dalam
pengelompokkan data yaitu hierarchical (hirarki) dan clustering data non-
hirarchical (non-hirarki). K-Means merupakan tiple clustering data non-hirarki
dengan mengelompookan data dalam bentuk cluster atau kelompok sehingga data
yang telah tercluster memiliki karakteristik yang sama dengan masing masing
cluster[17].
Data clustering secara umum dalam pengelompokan data di lakukan
dengan algoritma datar sebagai berikut ini.
14
a. Tentukan jumlah cluster.
b. Alokasikan data ke dalam cluster secara random.
c. Hitung centerouid rata rata dari data yang ada di masing masing cluster.
d. Alokasikan masing masing data ke centeroid atau rata rata terdekat.
e. Kembali pada step c, apabila masing terdapat data yang berpindah
cluster atau apabila perubahan nilai centeroid, ada yang di atas nilai
threshold yang di tentukan atau apabila perubahan paka nilai objective
function yang di gunakan di atas nilai threshold yang di tentukan.
2.7.1. Analisa serangan dengan metode K-Means
Dengan menggukan algoritma K-Mean untuk melakukan cluster pada data
log digunakan Rumus Euclidiant distance. Dengan memberikan nilai centroid
secara random pada awal inisialisasi agar dapat menentukan lokasi centroid
berdasarkan data waktu pada data log. Kemudian di hitung masing masing antara
objek waktu untuk menghitung jarak antar centeroid. Dan setelah di lakukan maka
di tentukan persamaan antar object kemudian jika nilai konvergen dari masing
masing centeroid belum tercapai di lakukan iterasi sampa nilai centeroid tepat[9].
Clustering merupakan suatu proses untuk mengelompokkan suatu data
pada masing-masing cluster, dimana masing masing data memiliki sebuah
kesamaan satu sama lain. Dengan menggunakan k–means data akan di
kelompokkan dari jarak antara data satu dengan data yang lain terhadap suatu
centeroid data[9]. Hasil centeroid akan di tentukan dari sebuah looping dari semua
data yang ada hingga menemukan titik pas centeroid.
Metode K–Mean clustering di analogikan dalam suatu metode sebagai berikut
1. Inisialisasi dengan cara menentukan suatu Nilai K menjadi sebuah
Centroid dan matrik yang memiliki tidak kemiripan jarak yang di
inginkan. Jika perlu, di tetapkan suatu ambang batas dari perubahan objek
dan ambang batas perubahan posisi tersebut.
Rumus menentukan nilai K
15
2. Membangkitkan centeroid awal secara randon dari objek yang sudah
tersedia pada sebanyak cluster yang di tetapkan. Lalu menghitung
centeroid untuk di tetapkan pada posisi yang tepat.
Rumus pembangkitan Centeroid
3. Menghitung jarak setiap object pada masing-masing nilai dari centeroid.
Untuk melakukan perhitungan pada jarak antar objek di lakukan dengan
cara menggunakan euclidiean distance.
Rumus menghitung jarak tiap objek dari Centeroid
Untuk mendapatkan data yang tepat harus di lakukan:
a. Pengalokasian masing-masing suatu objek ke dalam centeroid
yang paling terdekat.
b. Melakukan proses iterasi dan menentukan posisi centeroid baru
menggunakan cara ke 2.
c. Mengulangi langkah terakhir hingga kondisi dari hasil yang di
dapat konvergen tercapai, dengan syarat:
i. Perubahan fungsi objective sudah di ambang bawah batas
yang di tentukan.
ii. Tidak ada data yang berpindah cluster Perubahan
centeroid sudah di bawah ambang batas yang sudah di
tetapkan
2.8. Silhoulete Coefficient
Silhoulete coefficient di gunakan untuk menghitung jumlah cluster yang
optimal pada data hasil K-Means dengan total n cluster. Kekuatan cluster akan
terlihat dengan nilai tertinggi setelah uji Silhoulete di lakukan. Metode silhoulete
merupakan suatu gabungan metode cohestion dan sparation[18].
16
Untuk perhitungan dari nilai silhoulete menggunakan rumus berikut ini:
a) Hitung rata-rata jarak dari suatu dokumen misalkan i dengan
semua dokumen lain yang berada dalam satu cluster.
𝑎(𝑖) = 1
|𝐴|−1 ∑ 𝑗 ∈𝐴,≠𝑖 𝑑(𝑖,𝑗) (1)
dengan j adalah dokumen lain dalam satu cluster A dan d(i,j)
adalah jarak antara dokumen i dengan j.
b) Hitung rata-rata jarak dari dokumen i tersebut dengan semua
dokumen di cluster lain, dan diambil nilai terkecilnya.
Dengan d(i,C) adalah jarak rata-rata dokumen i dengan semua
objek pada cluster lain C dimana A ≠ C
(𝑖) = min 𝐶 ≠ 𝐴 (𝑖, 𝐶) (2)
c) Nilai Silhouette Coefficient nya adalah :
𝑠(𝑖) =𝑏(𝑖)− 𝑎(𝑖)
𝑚𝑎𝑥(𝑎(𝑖),𝑏(𝑖)) (3)
2.9. Real time
Real time merupakan pengondisian dari suatu sistem yang memiliki
rentang waktu dan tenggang waktu tertentu. Untuk menggambarkan suatu data
mining dalam mengoperasikan agoritmanya, di gunakan Real – time untuk
memproses data tersebut dengan hasil yang relative sama terhadap waktu yang ada.
Tapa menggunakan metode data mining konvensional yang berjalan dengan mode
batch[19]. Real – time akan memperbarui data yang akan di pakai dalam model
lama. Setiap data yang akan di gunakan di perbarui tanpa perlu mengumpulkan data
lama dan baru.
2.10. Referensi
Referensi penelitian merupakan suatu acuan penulis sebagai bahan
pendukung penelitian. Kontribusi penelitian menghindarkan penulis dari sebuah
pengulangan dari penelitian sebelumnya yang sudah di buat. Berikut kontribusi
penelitian yang berkaitan dengan penelitian yang di lakukan.
17
Tabel 2.1. Kontribusi penelitian
Nama
penulis
Judul Penelitian Metode
K-
Means
Realtime Honeypot Web
browser
MHN
Winda
Andrini
Wulandari
PENGGUNAAN
ALGORITMA K-
MEANS PADA
DATALOG
HONEYNET
UNTUK
PROFILING
SERANGAN
DDOS[9]
√ √ √
A SRONI ,
R ONALD
A DRIAN
Penerapan
Metode K-Means
Untuk Clustering
Mahasiswa
Berdasarkan Nilai
Akademik
√
Dengan Weka
Interface Studi
Kasus Pada
Jurusan Teknik
Informatika
UMM
Magelang[20]
18
Nama
penulis
Judul Penelitian Metode
K-
Means
Realtime Honeypot Web
browser
MHN
Bayu Setia
Candra
ANALISIS
PENERAPAN
JARINGAN
KEAMANAN
MENGUNAKAN
IDS DAN
HONEYPOT[21]
√
Triawan
Adi
Cahyanto,
Hardian
Oktavianto,
Agil
Wahyu
Royan
Analisis dan
Implementasi
Honeypot
Menggunakan
Dionaea
Sebagai
Penunjang
Keamanan
Jaringan[14]
√
Denni
septian
hermawan
Analisa Real-
Time data log
honeypot dengan
menggunakan
Algoritma K-
Means pada
serangan
Distributed
Denial of Service
(DDoS)
√ √ √ √ √
19
2.11. Kontribusi penelitian
Perbedaan antara penelitian sebelumnya dengan penelitian yang akan di
lakukan antara lain penerapan sistem realtime yang akan memberikan informasi
secara terus menerus ketika sistem analisa di gunakan. Pada penelitian sebelumnya
data yang di gunakan adalah data yang berasal dari log honeypot yang di rubah
dalam bentuk csv. Dengan data rentang tiga tahun dan pengambilan datanya di
lakukan dengan cara pengambilan sample satu data setiap harinya. Maka dengan
menggunakan konsep realtime data akan di tampilkan dengan menggunakan
aplikasi web yang menampilkan datanya secara realtime. selain itu pengambilan ip
penyerang terbanyak dalam melakukan serangan akan di tampilkan berdasarkan
serangan terbanyak tiap cluster. Waktu yang di tampilkan dapat berupa realtime
waktu dalam kurun waktu satu hari 24 jam ketika menjalakan sistem analisa.