Pendekatan Baru dalam Anomaly Detection IoT dengan System Calls

Perkembangan pesat Internet of Things (IoT) membawa peluang besar sekaligus risiko serius bagi keamanan siber. Jutaan perangkat IoT kini terhubung untuk mendukung berbagai sektor, mulai dari industri, kesehatan, hingga rumah tangga. Namun, di balik manfaatnya, banyak perangkat ini memiliki celah keamanan yang dapat dieksploitasi. Kondisi ini menegaskan pentingnya Anomaly Detection IoT sebagai mekanisme pertahanan proaktif, yang mampu mengenali perilaku abnormal sejak dini sebelum berkembang menjadi insiden besar. Salah satu pendekatan yang menjanjikan adalah melalui analisis system calls, karena metode ini bekerja di level rendah sistem operasi sehingga dapat memberikan deteksi anomali yang lebih presisi dan sulit dimanipulasi.

Apa Itu Anomaly Detection IoT?

Anomaly detection dalam konteks Internet of Things (IoT) adalah teknik untuk mengidentifikasi pola perilaku yang menyimpang dari aktivitas normal perangkat atau sistem. Tujuannya adalah mendeteksi ancaman yang tidak dapat dikenali oleh metode tradisional, terutama karena IoT terdiri dari perangkat dengan fungsi terbatas namun jumlahnya masif dan heterogen. Menurut Shamim et al. dalam jurnal Computers & Security berjudul Integrating system calls and position-specific scoring for enhanced anomaly detection in Internet of Things environments (2025), pendekatan ini bekerja dengan membangun baseline aktivitas normal perangkat IoT, lalu memantau setiap penyimpangan yang bisa menandakan adanya serangan atau kerusakan sistem.

Dalam praktiknya, ada dua metode utama: signature-based detection dan anomaly-based detection. Signature-based detection bergantung pada basis data tanda tangan serangan yang sudah diketahui, sehingga cepat dalam mengidentifikasi ancaman lama namun gagal menghadapi serangan baru. Sebaliknya, anomaly-based detection belajar dari pola normal sistem, lalu menandai setiap penyimpangan sebagai potensi ancaman. Seperti dijelaskan oleh Abusitta et al. (2023) dalam Journal of Information Security and Applications, metode anomaly-based sangat relevan di IoT karena mampu mengenali serangan baru tanpa perlu pembaruan tanda tangan, meskipun berisiko menghasilkan lebih banyak false positives.

Kelebihan utama anomaly detection di IoT adalah kemampuannya mendeteksi serangan zero-day dan aktivitas abnormal yang tidak terduga. Namun, tantangannya juga signifikan, mulai dari tingginya false positive rate (FPR), keterbatasan ketersediaan data normal untuk melatih model, hingga keragaman arsitektur perangkat IoT yang membuat generalisasi sulit dicapai. Liao et al. (2022) dalam Future Generation Computer Systems juga menekankan bahwa heterogenitas perangkat IoT mempersulit pengembangan model anomaly detection yang universal. Oleh karena itu, inovasi metode seperti analisis berbasis system calls dan position-specific scoring yang ditawarkan Shamim et al. (2025) menjadi langkah penting untuk meningkatkan akurasi sekaligus mengurangi FPR dalam deteksi anomali pada IoT.

Baca juga: 7 Fase Penting dalam Respons Insiden Siber yang Wajib Diketahui

Peran System Calls dalam Anomaly Detection IoT

System calls adalah fungsi tingkat rendah yang menjadi penghubung antara aplikasi dengan kernel sistem operasi. Setiap aktivitas perangkat, seperti membuka file, membuat koneksi jaringan, atau menjalankan proses, terekam dalam jejak system calls yang disebut system call traces. Dalam konteks IoT, jejak ini biasanya lebih sederhana dibanding komputer umum karena perangkat IoT hanya menjalankan tugas terbatas. Menurut Shamim et al. (2025) karakteristik ini membuat system calls sangat cocok digunakan sebagai sumber data untuk Anomaly Detection IoT, karena pola yang muncul konsisten dan perubahan kecil sering kali mengindikasikan adanya serangan.

Keunggulan utama penggunaan system calls terletak pada tingkat presisinya. Karena dieksekusi di level kernel, data system calls relatif sulit dimanipulasi oleh penyerang. Selain itu, perubahan urutan atau penambahan system calls biasanya hanya terjadi jika ada aktivitas abnormal, misalnya code injection atau eksekusi proses berbahaya. Studi Forrest et al. (2008) yang menjadi fondasi penelitian di bidang ini membuktikan bahwa analisis urutan system calls dapat mengungkap anomali pada sistem Linux, sementara penelitian lanjutan oleh Gu et al. (2021) menggunakan model CNN dan LSTM untuk menganalisis pola system calls dalam deteksi serangan di lingkungan IoT.

Meski menjanjikan, pendekatan berbasis system calls juga menghadapi tantangan. Trace system calls dapat sangat panjang atau bervariasi antar proses, sehingga sulit dianalisis dengan metode tradisional. Selain itu, model deteksi yang tidak tepat berisiko menghasilkan false positives tinggi. Karena itu, Shamim et al. (2025) mengusulkan metode baru dengan position-specific scoring untuk memisahkan analisis konten dan struktur system calls. Pendekatan ini terbukti menurunkan false positive rate secara signifikan, sekaligus mempertahankan akurasi tinggi. Dengan demikian, penggunaan system calls dalam anomaly detection bukan hanya memberikan deteksi lebih presisi, tetapi juga menjadi fondasi penting bagi solusi keamanan IoT yang efisien dan adaptif.

Tantangan Deteksi Anomali Berbasis System Calls

Menurut Shamim et al. (2025), meskipun system calls terbukti efektif untuk meningkatkan akurasi Anomaly Detection IoT, masih ada sejumlah tantangan teknis yang harus diselesaikan agar metode ini benar-benar dapat diandalkan dalam skala luas. Tantangan tersebut dapat dijelaskan secara lebih rinci sebagai berikut:

Trace Bervariasi

Panjang trace system calls sangat bervariasi, baik yang dihasilkan dari satu proses (single process) maupun gabungan banyak proses (multi-process). Pada single process, jejak system calls bisa sangat panjang dan kompleks, sedangkan pada multi-process cenderung lebih pendek dan tidak selalu memiliki pola berulang. Variasi ini membuat proses pemodelan lebih sulit, karena sistem deteksi harus mampu mengidentifikasi perilaku normal dari trace yang panjang, sederhana, maupun campuran, tanpa kehilangan konteks yang penting.

Segmentasi dan Window Size

Banyak pendekatan tradisional menggunakan segmentasi dengan menentukan ukuran window tertentu untuk memproses system calls. Sayangnya, penentuan window size yang tepat sering kali dilakukan secara trial and error dan tidak bisa langsung diterapkan ke semua jenis perangkat IoT yang sangat beragam. Jika window terlalu kecil, pola penting bisa terpotong; sebaliknya jika terlalu besar, model bisa menjadi berat dan lambat. Hal ini menimbulkan masalah efisiensi sekaligus risiko terlewatnya pola anomali yang seharusnya terdeteksi.

Anomaly Threshold

Penentuan ambang batas anomali atau anomaly threshold juga menjadi tantangan signifikan. Model konvensional biasanya mengandalkan threshold statis, padahal perilaku sistem IoT dapat berubah sesuai konteks, beban kerja, atau interaksi perangkat lain. Jika threshold ditetapkan terlalu ketat, banyak aktivitas normal akan dianggap anomali, menghasilkan false positives yang tinggi. Sebaliknya, jika threshold terlalu longgar, ada risiko aktivitas berbahaya justru tidak terdeteksi, sehingga mengurangi efektivitas sistem.

False Positive Rate Tinggi

Tantangan lain yang sering ditemui adalah tingginya false positive rate (FPR) pada model tradisional. Hal ini terjadi karena aktivitas normal yang jarang muncul atau tidak tercatat dalam data pelatihan sering kali diklasifikasikan sebagai anomali. Akibatnya, sistem memberikan terlalu banyak alarm palsu yang tidak relevan, membebani analis keamanan, dan dapat mengurangi kepercayaan pengguna terhadap sistem deteksi. Masalah ini menunjukkan perlunya pendekatan baru yang lebih presisi, seperti pemisahan analisis konten dan struktur system calls yang diajukan oleh Shamim et al. (2025), agar FPR dapat ditekan seminimal mungkin tanpa mengurangi tingkat deteksi.

Pendekatan Baru: Position-Specific Scoring (PSS)

Mengacu pada Shamim et al. dalam jurnal Computers & Security berjudul Integrating system calls and position-specific scoring for enhanced anomaly detection in Internet of Things environments (2025), Computers & Security (2025), pendekatan Position-Specific Scoring (PSS) awalnya dipakai dalam bioinformatika untuk menganalisis urutan DNA atau protein, lalu diadaptasi ke dunia IoT. Prinsipnya, setiap jejak system calls dipetakan ke dalam bentuk matriks dan diberi skor berdasarkan posisi kemunculannya. Dengan cara ini, sistem bisa membandingkan apakah jejak baru sesuai dengan pola normal atau tidak. Keunggulannya, metode ini tidak butuh pemotongan jejak ke ukuran tertentu (segmentation), karena ambang batas ditentukan secara otomatis berdasarkan panjang trace, sehingga tetap ringan dan cocok untuk perangkat IoT yang terbatas kemampuannya.

Untuk meningkatkan ketepatan, analisis dibagi menjadi dua sudut pandang: berbasis konten dan berbasis struktur. Analisis konten fokus pada apa saja system calls yang muncul, dengan mereduksi jejak ke dalam bentuk content vector. Sementara analisis struktur fokus pada bagaimana urutan panggilan tersebut terjadi, misalnya apakah ada penyisipan, pengulangan, atau perubahan posisi. Dengan memisahkan keduanya, sistem bisa lebih jelas membedakan antara perubahan yang wajar dan aktivitas yang benar-benar mencurigakan.

Kedua pendekatan ini kemudian digabung dalam model Combined Anomaly Detection (CoAD). Sebuah jejak hanya dianggap normal bila lolos dari sisi konten dan struktur sekaligus. Kombinasi ini membuat sistem jauh lebih akurat: tidak perlu segmentasi tetap, ambang batas menyesuaikan panjang jejak secara otomatis, dan hasilnya lebih presisi. Uji coba pada dataset UNM dan ADFA-LD menunjukkan CoAD mampu mencapai tingkat deteksi 100% dengan tingkat kesalahan sangat rendah (false positive rate hanya 0.001–0.017), sekaligus tetap efisien untuk dijalankan di perangkat IoT.

Evaluasi dan Hasil Eksperimen

Menurut Shamim et al. dalam jurnal Computers & Security berjudul Integrating system calls and position-specific scoring for enhanced anomaly detection in Internet of Things environments (2025), Computers & Security (2025), model Position-Specific Scoring (PSS) dievaluasi menggunakan dua dataset utama: ADFA-LD yang merepresentasikan sistem modern dengan serangan kontemporer, serta UNM dataset yang berisi jejak system calls dari program Linux dengan pola panjang dan berulang. Kedua dataset ini dipilih karena mewakili kondisi berbeda—ADFA-LD dengan jejak singkat dari banyak proses, sedangkan UNM dengan jejak panjang dari eksekusi program tunggal—sehingga pengujian bisa menggambarkan performa model di berbagai skenario IoT.

Hasil pengujian menunjukkan performa yang sangat kuat. Model gabungan Combined Anomaly Detection (CoAD) mampu mencapai true positive rate (TPR) hingga 100%, artinya semua serangan berhasil dideteksi. Lebih penting lagi, tingkat kesalahan deteksi atau false positive rate (FPR) sangat rendah, hanya berkisar antara 0.001–0.017, jauh lebih baik dibandingkan metode lain yang diuji pada dataset serupa. CoAD secara konsisten unggul dibandingkan model berbasis konten saja (CAD) maupun berbasis struktur saja (SAD), karena mampu menyeimbangkan kepekaan (sensitivity) dengan ketepatan (precision).

Implikasinya, pendekatan ini sangat praktis untuk diterapkan pada perangkat IoT yang umumnya memiliki keterbatasan sumber daya komputasi. Dengan akurasi tinggi dan FPR rendah, CoAD mampu memberikan sistem deteksi serangan yang tidak hanya efektif, tetapi juga ringan dijalankan. Hal ini menjadikannya solusi ideal bagi IoT yang digunakan di lingkungan industri, rumah tangga, maupun perangkat kritis, karena mampu memberikan perlindungan real-time tanpa membebani kinerja utama perangkat.

Manfaat dan Implikasi Pendekatan Baru

Dalam penelitian yang dipublikasikan Shamim et al. (2025), pendekatan Position-Specific Scoring (PSS) dan model gabungan CoAD tidak hanya terbukti unggul dalam uji teknis, tetapi juga memiliki berbagai manfaat praktis yang relevan untuk dunia nyata. Berikut adalah uraian lebih detail dari setiap poin manfaatnya:

Beban Komputasi Lebih Ringan

Salah satu nilai tambah utama dari pendekatan ini adalah kemampuannya mengurangi beban komputasi pada perangkat IoT. Karena IoT umumnya beroperasi dengan daya, memori, dan prosesor yang terbatas, metode deteksi anomali yang kompleks akan sulit diterapkan. CoAD mengatasi hal ini dengan menghilangkan kebutuhan segmentasi tetap serta menerapkan ambang batas dinamis berdasarkan panjang jejak system calls. Hal ini membuat sistem mampu beroperasi lebih efisien tanpa mengorbankan akurasi, sehingga perangkat IoT tetap bisa menjalankan fungsi utamanya dengan lancar.

Deteksi Serangan Zero-Day Lebih Andal

Keunggulan berikutnya adalah peningkatan keandalan dalam mendeteksi serangan zero-day, yakni ancaman yang sama sekali baru dan belum terdaftar di basis data tanda tangan. Dengan menganalisis pola system calls yang menyimpang dari perilaku normal, CoAD dapat menangkap aktivitas abnormal meski serangan tersebut belum pernah dilaporkan sebelumnya. Hal ini memberi perlindungan tambahan yang sangat dibutuhkan di era ketika ancaman siber berkembang sangat cepat, sehingga organisasi tidak hanya bergantung pada pembaruan tanda tangan untuk bertahan dari serangan.

Fondasi untuk Deteksi Real-Time

Pendekatan baru ini juga membangun dasar yang kuat untuk implementasi deteksi anomali secara real-time. Kemampuan ini sangat penting mengingat serangan IoT seperti botnet Mirai dapat menyebar dalam hitungan menit dengan mengeksploitasi perangkat yang rentan. Dengan CoAD, sistem mampu mengenali adanya aktivitas abnormal segera setelah muncul, sehingga administrator bisa melakukan isolasi perangkat atau langkah mitigasi lain sebelum serangan berkembang menjadi insiden berskala besar.

Potensi Integrasi Teknologi Lanjutan

Selain manfaat langsung, metode ini juga memiliki fleksibilitas untuk diintegrasikan dengan berbagai teknologi keamanan modern. Misalnya, eBPF (extended Berkeley Packet Filter) dapat digunakan untuk melakukan observasi kernel secara efisien, sementara pendekatan federated learning memungkinkan pelatihan model anomaly detection secara kolaboratif tanpa harus memindahkan data mentah dari perangkat. Lebih jauh lagi, integrasi dengan arsitektur cloud-edge IoT security memberi peluang untuk menyeimbangkan analisis ringan di perangkat dengan pemrosesan yang lebih berat di cloud. Kombinasi ini menjanjikan perlindungan IoT yang lebih adaptif, hemat sumber daya, dan siap menghadapi ancaman masa depan.

Baca juga: Era IoT dan CPS: Tantangan Baru dalam Keamanan Digital

Kesimpulan

Pendekatan Anomaly Detection IoT berbasis system calls dengan metode Position-Specific Scoring (PSS) menghadirkan solusi yang lebih akurat, efisien, dan adaptif dibandingkan metode tradisional. Dengan kemampuan menekan false positive rate serta menyesuaikan ambang deteksi secara otomatis, metode ini mampu memperkuat ekosistem IoT dari ancaman siber tanpa menambah beban signifikan pada perangkat yang memiliki sumber daya terbatas. Ke depan, riset di bidang ini masih terbuka luas, mulai dari peningkatan toleransi terhadap variasi jejak system calls, pengembangan deteksi anomali secara real-time, hingga integrasi dengan standar keamanan IoT global, sehingga teknologi ini dapat menjadi fondasi penting bagi keamanan perangkat terhubung di masa depan.