Mengenal Botnet

Botnet adalah salah satu jenis ancaman yang ada diinternet. Botnet  menjadi salah satu ancaman paling serius terhadap keamanan internet. Hal ini  disebabkan karena Botnet  mampu menyediakan  platform  yang dapat didistribusikan pada kegiatan ilegal seperti serangan-serangan di internet, termasuk  spam, phishing, click fraud,  pencurian  password  dan  Distributed Denial of Service (DDoS) attack. Salah satu kemampuan dari  Botnet  yang membedakannya dari  malware  yang lain adalah  Botnet  dapat dikendalikan dari jauh oleh seseorang (Botmaster) dibawah suatu infrastruktur yang disebut  Command and Control (C & C) channel. Botnet pada umumnya adalah menyebarkan aplikasi yang akan menginfeksi  host  yang rentan terhadap serangan dengan mengeksploitasi aktivitas untuk memperluas jangkauan mereka. Beberapa contoh botnet diantaranya adalah AgoBot, SDBot, Zotob, Phatbot, dan Peacomm.

Teknik Deteksi Botnet

Ada dua pendekatan  utama  dalam  deteksi  Botnet  yaitu dengan  metode Honeynet  dan passive network monitoring.

1.      Honeynet

Honeynet merupakan suatu jaringan yang terdiri dari satu  honeypot  ataupun lebih. Sedangkan honeypot sendiri  adalah  perangkap yang bertindak sebagai umpan untuk memikat  client  yang berpotensi sebagai penyerang  yang mecoba masuk secara paksa ke dalam suatu sistem.  Honeypot  digunakan untuk memantau dan mempelajari metode yang digunakan hacker untuk menembus suatu sistem. Informasi yang didapatkan akan digunakan sebagai tindakan prefentif dimasa mendatang

2.      Passive network monitoring

Pendekatan lain untuk deteksi  Botnet  dilakukan melalui pendekatan  passive network monitoring. Teknik ini dilakukan dengan memonitor  lalu lintas  yang melewati suatu jaringan dan kemudian dilakukan analisis untuk mengidentifikasi keberadaan  dan memahami karakteristik  Botnet.  Teknik ini dapat diklasifikasikan menjadi signature-based, anomaly-based, DNS-based, dan  mining-based.

·         Signature-based Detection

Teknik  signature-based  mengidentifikasi paket  yang melewati suatu  jaringan  dan  kemudian mencocokannya dengan informasi-informasi yang diperoleh dari penelitian yang sebelumnya. Bagian paket yang diteliti dapat berupa  signature,  perilaku maupun  ukuran  dari paket.  Dalam hal ini,  signature  adalah kode ataupun  perilaku  yang secara unik mengidentifikasikan  Botnet  tertentu. Kelemahan dari teknik ini adalah tidak dapat diterapkan untuk mendeteksi Botnet yang belum diketahui.

·         Anomaly-based

Anomaly-based detection  melakukan pendekatan untuk mendeteksi  Botnet  berdasarkan pada beberapa anomali lalu lintas jaringan seperti latensi jaringan yang tinggi, volume lalu lintas yang tinggi, lalu lintas yang tidak biasa di port, dan perilaku sistem yang tidak biasa yang dapat mengindikasikan potensi ancaman adanya bot berbahaya dalam jaringan. Pendeteksian model ini didasarkan pada perubahan dalam pola pemakaian atau kelakuan sistem.

·         DNS-based

DNS-based Detection dilakukan  berdasarkan informasi DNS yang dihasilkan oleh sebuah  Botnet.  Teknik DNS-based mirip dengan teknik anomaly-based sebagaimana menerapkan algoritma deteksi anomali untuk diterapkan pada  deteksi  DNS. Bot  biasanya  melakukan  koneksi dengan  C & C  server  untuk mendapatkan perintah  ataupun  update. Untuk mengakses C & C server, bot  melakukan query DNS untuk menemukan  lokasi  C & C  server.  Jadi, sangatlah memungkinkan  untuk mendeteksi Botnet dengan memonitor dan mendeteksi lalu lintas DNS.

·         Mining-based

Data mining umumnya mengacu pada model proses otomatisasi untuk pengauditan data dalam jumlah besar.  Perkembangan dalam proses data mining telah diterapkan untuk  algoritm pada  machine learning, pattern recognition  machine  dan lainnya.  Keuntungan utama dari pendekatan ini adalah bahwa penggalian informasi terhadap kumpulan data yang besar dapat dilakukan secara otomatis untuk  dapat menghasilkan model deteksi ringkas dan akurat. Tujuan utama dari teknik ini adalah untuk mendeteksi penyebaran Botnet dan menemukan C & C server berdasarkan logfiles yang telah dikumpulkan.