Perpustakaan Digital ITB

Pada era dimana teknologi informasi dan komunikasi telah berkembang sangat pesat, terdapat banyak pula kesempatan untuk melakukan kejahatan siber. Salah satunya dengan tersebarnya malware. Malware pada umumnya memerlukan komunikasi dengan pusat kendali atau server. Cara untuk berkomunikasinya salah satunya dengan menggunakan protokol HTTP. Namun, pada era sekarang protokol HTTP telah mendapatkan peningkatan, yaitu dengan adanya HTTPS atau HTTP Secure. Seluruh payload yang dikomunikasikan melalui HTTPS akan di enkripsi secara end-to-end sehingga mesin pendeteksi (IDS) tidak dapat mengetahui payload yang dikomunikasikan dan tidak dapat menganalisanya. Sehingga pada Tugas Akhir ini akan dibangun sebuah sistem yang dapat mendeteksi malware pada jaringan komputer yang terenkripsi, terkhusus pada protokol HTTPS. Pada Tugas Akhir ini, untuk mendeteksi malware akan digunakan pendekatan berbasis signature, dengan data yang dianalisa adalah paket data yang dikirimkan pada protokol HTTPS. Oleh karena itu, diperlukan cara untuk mendapatkan payload yang terenkripsi tersebut. Sehingga digunakan pendekatan dengan menggunakan TLS inspection dengan menggunakan SSLSplit untuk mendapatkan payload. Pada sistem yang dikembangkan dilakukan modifikasi pada SSLSplit dengan menambahkan filter exception list. Hal ini dilakukan untuk mengurangi beban pada DPI Server dan untuk menjaga privasi pengguna terkait informasi rahasia yang besar kemungkinan akan tercatat dalam log. Pada akhirnya, sistem yang dibangun dengan DPI Server berfungsi efektif untuk mendapatkan payload dari traffic HTTPS. Kemudian payload tersebut dapat digunakan untuk mendeteksi malware oleh IDS Konvensional (Suricata), kemudian peringatan adanya malware dapat dilihat pada dashboard (EveBox). Sistem yang telah dikembangkan memiliki kinerja yang baik, yaitu dengan penggunaan CPU (2 core, high-end class CPU) sebesar 30.7% untuk traffic sebesar 662 Mbps. Serta terdapat kenaikan latency dari 2.34 ms ke 19.74 ms.