تشخیص بات نت به وسیله تحلیل فعالیت های گروهی و پاسخ های ناموفق ترافیک شبکه

یکی از تهدیدات روزافزون در اینترنت و شبکه های کامپیوتری بات نت­ها هستند. بات نت، شبکه ای از کامپیوترهای آلوده متصل به اینترنت است که تحت کنترل سرور فرماندهی و کنترل قرار می گیرد و برای حملات اینترنتی همچون حملات ممانعت از سرویس و فرستادن هرزنامه، مورد استفاده قرار می گیرد. بات نت با شناسایی دستگاه های آسیب پذیر موجود در شبکه و به مصالحه درآوردن آن ها، حیطه تحت کنترل خود را گسترش می دهد. بات­ نت ها به سرعت در حال پیشرفت هستند و از فناوری های جدید همچون DNS و تغییرات پی درپی سریع، برای به دام انداختن کاربران و افزایش حفاظت از کامپیوترهای آلوده خود بهره می برند. یکی از انواع تغییرات پی درپی سریع، استفاده از الگوریتم تولید نام دامنه است. مهاجمین با استفاده از این روش از قرار گرفتن نام دامنه سرویس­دهنده­های فرماندهی و کنترل خود در فهرست­های سیاه جلوگیری می­نمایند. بسیاری از روش های تشخیص بات­نت، مبتنی بر تحلیل فعالیت گروهی بات­نت­ها هستند، اما استفاده از این روش به تنهایی، در شبکه های کوچک و متوسط کارایی مناسبی ندارد. هدف ما در این مقاله ارائه روشی جامع و کامل برای تشخیص بات­نت­هایی است که از تغییرات پی­درپی نام دامنه در ترافیک استفاده می­کنند و به صورت الگوریتمی تولید می شوند. روش ما قابلیت تشخیص بات نت­های شناخته شده و همچنین ناشناخته­ای که از این روش استفاده می کنند را دارا هست. در این روش، تشخیص بات­نت­ها بر اساس پاسخ های ناموفق یا NXDomain در هر میزبان صورت می­گیرد. این ویژگی باعث می­شود که دقت تشخیص در   شبکه­های کوچک و متوسط افزایش یابد. این روش در شبکه های آلوده به بات­نت­های کانفیکر و کراکن آزمایش و اطلاعات به دست آمده از آن مورد تجزیه و تحلیل قرارگرفته است.