Electronic Theses and Dissertation

Seiring meningkatnya ancaman siber, deteksi aktivitas jaringan berbahaya secara akurat dan efisien menjadi tantangan krusial, terutama pada protokol secure shell (ssh) yang sering menjadi target serangan brute force. penelitian ini bertujuan untuk merancang, mengembangkan, dan mengevaluasi model machine learning yang mengklasifikasikan lalu lintas jaringan sebagai normal atau berbahaya (brute force) dengan memanfaatkan integrasi log dari ids suricata dan honeypot cowrie. penelitian ini dilakukan dengan mengumpulkan dan mengkorelasikan log dari kedua sistem untuk membangun dataset yang dilabeli secara otomatis. tahap prapemrosesan meliputi pembersihan data, encoding, dan penanganan ketidakseimbangan kelas menggunakan teknik random oversampling. empat algoritma klasifikasi, yaitu k-nearest neighbors (knn), xgboost, decision tree, dan random forest, dilatih dan dievaluasi kinerjanya. hasil pengujian menunjukkan bahwa integrasi log suricata dan cowrie efektif dalam meningkatkan kualitas deteksi. keempat model yang diuji berhasil mencapai tingkat akurasi sebesar 99%. secara spesifik, random forest terbukti sebagai model terbaik dengan nilai presisi 100% dan f1-score 98%, menjadikannya sangat andal dalam meminimalkan false positive. sementara itu, knn mencatatkan nilai recall tertinggi sebesar 99%, yang unggul dalam meminimalkan serangan yang lolos dari deteksi. penelitian ini menyimpulkan bahwa korelasi log ids dan honeypot yang dikombinasikan dengan algoritma random forest merupakan pendekatan yang sangat efektif untuk mendeteksi serangan ssh brute force.

With the escalating sophistication of cyber threats, the accurate and efficient detection of malicious network activities constitutes a critical challenge, particularly regarding the Secure Shell (SSH) protocol, a frequent target for Bruteforce attacks. This study aims to design, develop, and evaluate machine learning models capable of classifying network traffic as benign or Brute-force by leveraging the integration of logs from the Suricata Intrusion Detection System (IDS) and the Cowrie honeypot. The methodology involves the aggregation and correlation of logs from both systems to construct an automatically labeled dataset. The preprocessing phase encompasses data cleaning, feature encoding, and the mitigation of class imbalance through Random Oversampling techniques. Four classification algorithms K-Nearest Neighbors (KNN), XGBoost, Decision Tree, and Random Forest were trained and evaluated. Experimental results demonstrate that the integration of Suricata and Cowrie logs effectively enhances detection quality. All four evaluated models achieved an accuracy rate of 99%. Specifically, Random Forest emerged as the optimal model, registering a Precision of 100% and an F1-Score of 98%, thereby demonstrating superior reliability in minimizing false positives. Conversely, KNN recorded the highest Recall at 99%, excelling in minimizing false negatives (undetected attacks). The study concludes that correlating IDS and honeypot logs, combined with the Random Forest algorithm, provides a highly effective approach for detecting SSH Brute-force intrusions.