مرکز منطقه ای اطلاع رسانی علوم و فناوری فصلنامه مهندسی برق و مهندسی کامپيوتر ايران 16823745 14 1 2016 3 21 Botnet Detection Based on Computing Negative Reputation Score by Use of a Clustering Method and DNS Traffic استفاده از یک روش خوشه‌بندی و محاسبه شهرت منفی هر میزبان به منظور تشخیص بات‌نت‌ها با استفاده از ترافیک DNS 63 72 fa رضا شریف‌نیای دیزبنی آناهیتا منافی مورکانی 2017 7 13 Today, botnets are known as one of the most important threats against Internet infrastructure. A botnet is a network of compromised hosts (bots) remotely controlled by a so-called botmaster through one or more command and control (C&C) servers. Since DNS is one of the most important services on Internet, botmasters use it to resistance their botnet. By use of DNS service, botmasters implement two techniques: IP-flux and domain-flux. These techniques help an attacker to dynamically change C&C server addresses and prevent it from becoming blacklisted. In this paper, we propose a reputation system used a clustering method and DNS traffic for online fluxing botnets detection .we first cluster DNS queries with similar characteristics at the end of each time period. We then identify hosts that generate suspicious domain names and add them to a so-called suspicious group activity matrix. We finally calculate the negative reputation score of each host in the matrix and detect hosts with high negative reputation scores as bot-infected. The experimental results show that it can successfully detect fluxing botnets with a high detection rate and a low false alarm rate. امروزه بات‌نت‌ها به عنوان یکی از مهم‌ترین تهدیدها در برابر زیرساخت اینترنت شناخته می‌شوند. هر بات‌نت گروهی از میزبان‌های آلوده‌شده با کد مخرب یکسان است که توسط مهاجم و از طریق یک یا چند سرویس‌دهنده فرمان و کنترل از راه دور هدایت می‌شوند. از آنجایی‌که سرویس DNS یکی از مهم‌ترین سرویس‌ها در شبکه اینترنت است، مهاجمین از آن جهت مقاو‌م‌سازی بات‌نت خود استفاده می‌‌کنند. مهاجمین با استفاده از این سرویس دو تکنیک تغییر پی‌در‌پی آدرس IP و تغییر پی‌در‌پی نام دامنه را پیاده‌سازی می‌کنند. این تکنیک‌ها به مهاجم کمک می‌کنند تا مکان سرویس‌دهنده‌های فرمان و کنترل خود را به صورت پویا تغییر داده و از قرارگرفتن آدرس‌های آنها در فهرست‌های سیاه جلوگیری کنند. در این مقاله، یک روش خوشه‌بندی به همراه محاسبه شهرت منفی هر میزبان به منظور تشخیص برخط بات‌نت‌هایی پیشنهاد می‌شود که از سرویس DNS در مراحل مختلف از چرخه حیات خود استفاده می‌کنند. در روش پیشنهادی در پایان هر پنجره زمانی، ابتدا پرس و جوهای DNS با ویژگی‌های مشابه با استفاده از یک الگوریتم خوشه‌بندی انتخاب شده و در خوشه‌های جداگا‌نه‌ای قرار می‌گیرند. سپس میزبان‌های مشکوک شناسایی شده و به ماتریس فعالیت‌های گروهی مشکوک اضافه می‌شوند. در نهایت، شهرت منفی میزبان‌های موجود در این ماتریس محاسبه شده و میزبان‌هایی که شهرت منفی بالایی دارند به عنوان میزبان‌های آلوده به بات گزارش می‌شوند. نتایج آزمایش‌های انجام‌شده نشان می‌دهد که روش پیشنهادی قادر است بات‌نت‌هایی را که از پرس و جوهای DNS در مراحل مختلف چرخه حیات خود استفاده می‌کنند با دقت بالا و نرخ هشدار نادرست پایین تشخیص دهد. تشخیص بات‌نت محاسبه شهرت منفی تغییر پی‌در‌پی آدرس IP تغییر پی‌در‌پی نام دامنه خوشه‌بندی پرس و جوی DNS http://ijece.org/fa/Article/Download/28166