Pengembangan sistem deteksi serangan (IDS) menghadapi masalah berkait komputasi dan arsitektur. Deteksi berbasis pengklusteran menggunakan basis pengetahuannya berupa pusat kluster. Kinerja deteksi terhadap serangan yang sudah ada maupun serangan jenis baru masih belum sebaik kinerja deteksi berbasis klasifikasi seperti jaringan saraf tiruan (JST). Pengklusteran hirarkis membutuhkan sumber daya komputasi besar, apalagi menghadapi data dimensi tinggi pada pengembangan IDS. Kmeans yang berciri partisional mampu memproses data berukuran besar namun membutuhkan inisiasi jumlah kluster di awal.
Pengklusteran koloni semut atau ant colony clustering (ACC) diinspirasi oleh perilaku brood care dan cemetery organisation berciri hirarkis-partisional tidak memerlukan inisiasi jumlah kluster, seperti ACC model Lumer-Faieta (LF). Sejumlah semut yang dikembangkan mampu menjelajah ruang pencarian 2D (toroid) secara konstan tanpa supervisi, melakukan pekerjaan sederhana, mengumpulkan objek yang mirip untuk menemukan kluster-kluster. Pusat kluster dijadikan sebagai basis pengetahuan untuk mendeteksi serangan seperti DoS (denial of service). ACC masih menghadapi kendala seperti tingkat deteksi dan tingkat alarm palsu yang belum ideal, lalu lintas data yang besar menghasilkan beban perhitungan yang memberatkan.
Dari sisi arsitektur, masalah serangan tersebar dan terkoordinasi seperti DDoS (distributed DoS) dalam lingkungan botnet masih sulit diatasi karena memerlukan sejumlah besar informasi yang tersebar pula, kerjasama antarkomponen deteksi untuk sinkronisasi informasi sulit, beban lalu lintas jaringan karena informasi yang tersebar menjadi besar, dan penggunaan arsitektur hirarkis terpusat memungkinkan penyerang memotong jalur komunikasi dan perintah ke komponen pusat.
Kendala data berdimensi tinggi diatasi melalui ekstraksi dan pemilihan fitur berbasis PCA (principal component analysis) untuk reduksi dimensi data pada NSL-KDD (serangan DoS) dan data serangan botnet CTU13-ISCX (serangan DDoS). Fitur awal numerik sejumlah 32 fitur (NSL-KDD) diubah ke fitur baru dalam dimensi yang lebih kecil hingga tereduksi 65.63% (11 fitur). Pada
CTU13-ISCX sejumlah 71 fitur numerik diubah menjadi hanya 11 fitur baru (reduksi 84.51%). Subset dengan 11 fitur ini digunakan dalam pengembangan ACC untuk keperluan deteksi.
ACC model LF-DBSCAN digunakan untuk menentukan pusat kluster sebagai basis pengetahuan deteksi. Percobaan 10 kali pada grid 100x100, dengan jumlah objek 1.198 (NSL-KDD) dan 1.445 (CTU13-ISCX) dilanjutkan penentuan kluster menggunakan DBSCAN didapatkan pusat kluster serangan (DoS/DDoS) dan aktivitas normal. Penggunaan Subset dengan 11 fitur baru memiliki parameter indeks kualitas kluster rand index, jaccard coefficient, dan fowlkes-mallow maksimum, serta davies-bouldin index minimum.
Kinerja ACC tidak berkurang dalam mendeteksi serangan DoS jenis baru, nilainilai seperti TPR, TNR, ACU, PRE, dan FM tidak menunjukkan perbedaan signifikan antara tiga skenario serangan berbeda, yakni serangan sederhana (satu jenis serangan pada protokol tunggal), serangan umum (beberapa jenis serangan pada beberapa protokol), dan serangan umum yang terdapat jenis serangan DoS baru dan tidak disertakan selama proses penentuan pusat kluster. Kinerja ACC pada deteksi DoS melebihi pengklusteran Kmeans pada gabungan tiga skenario serangan, dilihat dari kurva ROC yang lebih mendekati bentuk ideal dan luas area di bawah kurva ROC yang lebih luas. Terdapat perbedaan signifikan kinerja deteksi DDoS antara ACC model LF-DBSCAN dengan pengklusteran Kmeans, dilihat dari TPR, TNR, ACU, PRE, dan FM yang lebih tinggi dibandingkan Kmeans, sedangkan nilai FPR dan FNR lebih rendah dibandingkan Kmeans. Begitupun dengan kurva ROC yang lebih mendekati bentuk ideal dan luas area di bawah kurva yang lebih luas dibandingkan Kmeans.
IDS berbasis ACC mampu saling bekerjasama tanpa keberadaan komponen terpusat dalam membangun pusat kluster bersama sebagai basis pengetahuan deteksi serangan DoS/DDoS menggunakan gosip acak. Gosip acak antaragen menunjukkan konvergensi nilai-nilai fitur menuju pusat kluster baru sebagai basis pengetahuan deteksi bersama. Gosip acak mendukung pengembangan arsitektur IDS tersebar berbasis ACC dengan ketiadaan komponen terpusat tanpa hirarki untuk menutup celah kerentanan. Pusat kluster hasil gosip acak ternyata dapat digunakan untuk deteksi serangan dan mampu meningkatkan ukuran TPR, TNR, ACU, PRE, dan FM pada deteksi DoS hingga 57% dan DDoS hingga 25%, serta menurunkan FPR dan FNR pada deteksi DoS hingga 73% serta DDoS hingga 41%, dibandingkan tanpa gosip acak serta pengklusteran Kmeans.
Penelitian ini mengusulkan pengembangan arsitektur IDS tersebar berbasis ACC melalui kerjasama antaragen untuk mengenali jenis serangan DoS dan serangan DDoS di jaringan botnet.