بسم الله الرحمن الرحیم

1. بسم الله الرحمن الرحیم

2. مروری بر روش­های کشف شبکه­روباتیبه وسیله پروتکل جریان­شبکه پدرام امینی استاد راهنما: دکتر عراقی زاده

3. فهرست مطالب • مقدمه • مسئله و اهداف اصلی تحقیق • تعریف مفاهیم • مطالعات انجام گرفته • روش­های تشخیص • منابع

4. مقدمه (1 از 3) • پیشرفت سازمان­ها نیازمندی به اطلاعات و مبادله آن را افزایش داده است. از این رو راهکارهای امنیتی متعددی تولید و پیشنهاد شده است: دیوارهای آتش، آنتی­ویروس­ها، سیستم­های تشخیص نفوذ، سیستم­های حفاظت از نفوذ، سیستم­های کنترل دسترسی • بکارگیری این تجهیزات امنیتی به صورت مستقل ناکارآمد است و باعث تولید حجم عظیمی از رویدادهای امنیتی و از بین رفتن تمرکز تصمیمات مدیریتی و عدم هماهنگی سازمانی می­شود [1].

5. مقدمه (2 از 3) • سامانه مرکز عملیات امنیت راهکاری است که برای تجمیع تصمیمات مدیریتی، هدایت و کنترل مستمر فرماندهی، و هماهنگی راهکارهای امنیتی و حفاظتی ارائه شده است که با بهره­مندی از هوشمندی، امکان مدیریت رویدادها را جهت کشف بی­درنگ حملات و تهدیدات فراهم می­سازد [2]. • یکی از تهدیداتی که شبکه اطلاعاتی سازمان­ها را دچار آسیب و اختلال می­کند، اشباع لینک ارتباطی است. پروتکل جریان­شبکه که وظیفه آنالیز ترافیک و ذخیره اطلاعاتی درباره ماهیت ترافیک شبکه را دارد، در عیب­یابی شبکه، بهبود عملکرد و افزایش دسترس­پذیری کاربران، نقش اساسی ایفا می­کند [3].

6. مقدمه (1 از 3) • پیشرفت سازمان­ها نیازمندی به اطلاعات و مبادله آن را افزایش داده است. از این رو راهکارهای امنیتی متعددی تولید و پیشنهاد شده است: دیوارهای آتش، آنتی­ویروس­ها، سیستم­های تشخیص نفوذ، سیستم­های حفاظت از نفوذ، سیستم­های کنترل دسترسی • بکارگیری این تجهیزات امنیتی به صورت مستقل ناکارآمد است و باعث تولید حجم عظیمی از رویدادهای امنیتی و از بین رفتن تمرکز تصمیمات مدیریتی و عدم هماهنگی سازمانی می­شود [1].

7. مقدمه (3 از 3) • پروتکل جریان شبکه در شناسایی عامل­های تولیدکننده بار اضافی به شبکه، مفید است. از این رو در شناسایی برنامه­های غیرمتعارف تولیدکننده ترافیک غیرمجاز یا بار اضافی به شبکه و تشخیص شبکه روبات­ها بسیار موثر است [2]. • شبکه روباتی مجموعه­ای از روبات­های نرم­افزاری هوشمند و مرتبط به­هم هستند که از طریق کرم­ها، اسب­های تروجان یا سایر کدهای مخرب اجرا می­شوند تا گروهی از عملیات­های سایبری را در شبکه انجام دهند [4].

8. مسئله و اهداف اصلی تحقیق • این تحقیقدر راستای بیان الگوریتم­های موجود، جهت کشف شبکه روباتی به وسیله پروتکل جریان شبکه است. • این الگوریتم­ها، روش­هایی هستند که توسط مقالات علمی معتبر ارائه و اثبات شده­اند یا این­که پیشنهاد شده­اند. • هدف اصلی این تحقیق، مرور این روش­ها و ارائه مستندی که شامل مجموعه همه روش­های موجود است.

9. تعریف مفاهیم – SOC ( 1 از 4) • سامانه مرکز عملیات امنیت، با اعلان هشدار به کارشناسان مرکز امنیت، آنان را در واکنش سریع و به موقع، نسبت به حمله یا تهدید صورت گرفته، یاری می­رساند. مدیریت موثر رویدادها، بررسی ترافیک شبکه به صورت متمرکز و بی­درنگ، تحلیل ریسک شبکه، مدیریت موثر وصله­های امنیتی و بروزرسانی نرم­افزارها، از مهمترین قابلیت­های SOC محسوب می­شوند [2].

10. تعریف مفاهیم – SOC ( 2 از 4) • دیوارهای آتش، آنتی­ویروس­ها، سیستم­های تشخیص نفوذ، سیستم­های حفاظت از نفوذ، سیستم­های کنترل دسترسی و ... منابع تولیدکننده رویدادهای امنیتی محسوب شده و معمولا حسگرهای مرکز عملیات امنیت نامیده می­شوند.

11. تعریف مفاهیم – SOC ( 3 از 4) • واحدهای تجمیع رویدادها، رویدادهای امنیتی حسگرها را جمع­آوری می­کنند و پس از پردازش اولیه، با قالبی یکسان در بانک اطلاعاتی رویدادها ذخیره می­کنند. • یک واحد هوشمند وظیفه تحلیل این رویدادها را به منظور کشف همبستگی بین رویدادها، حملات و تهدیدات به صورت بلادرنگ دارند تا در صورت تشخیص هر تهدید، واکنش مناسب را انجام دهد.

12. تعریف مفاهیم – SOC ( 4 از 4) • این تحلیل­ها، براساس مقایسه رویدادهای تولید شده با اطلاعات پایگاه دانش رویدادها ( که بر مبنای سیاست­ها، آسیب­پذیری­ها، الگوهای حمله، وضعیت­های صحیح تجهیزات و ... به­روزرسانی می­شود، ) است. • در صورت کشف هر تهدید، واکنش­های اولیه انجام می­شود تا از آسیب­پذیری بیشتر جلوگیری شود. • سپس رویدادهای امنیتی تولیدشده بررسی شده، وصله­ها و پیکربندی­های لازم اعمال می­شود تا از تهدیدات مشابه جلوگیری گردد [2].

13. تعریف مفاهیم – Netflow ( 1 از 4) • جریان­شبکه یک پروتکل شبکه است که وظیفه آنالیز ترافیک را برعهده دارد. این پروتکل اطلاعاتی درباره ماهیت ترافیک ذخیره می­کند؛ در واقع اطلاعاتی درباره این­که چه کسی، چه وقت و چگونه از ترافیک شبکه استفاده کرده است را نگهداری می­کند. • در گذشته، رصد ترافیک شبکه به وسیله پروتکل SNMP صورت می­گرفت که با توجه به کاستی­های این پروتکل و نیازمندی­های جدید (برای مثال پروتکل SNMPبرای این­که مشخص کند چه کسی از پهنای باند استفاده کرده است زیاد مفید نیست)، پروتکل جریان­شبکه جهت جمع­آوری اطلاعات ترافیک لایه IP طراحی و تولید شده است [3].

14. تعریف مفاهیم – Netflow ( 2 از 4) • پس از فعال شدن پروتکل جریان­شبکه روی رابط­های روتر یا سوئیچ، رصد اطلاعات ترافیک آغاز می­شود. • پس از پایان یافتن هر جریان، اطلاعات هر جریان در قالب پروتکل UDP، روی پورت تنظیم شده (که معمولا یکی از پورت­های 2055، 9555 یا 9995 انتخاب می­شود،) به جمع­آورکننده جریان شبکه ارسال می­شود. • به طور کلی از هر جریان، این اطلاعات ذخیره می­شود: رابط ورودی، IP مبدا، IP مقصد، پورت مبدا، پورت مقصد، نوع پروتکل لایه 3، نوع سرویس [3].

15. تعریف مفاهیم – Netflow ( 3 از 4)

16. تعریف مفاهیم – Netflow ( 4 از 4) • داده­های جریان­شبکه محدودیت­هایی دارند [6]: • آن­ها شامل ظرفیت انتقال نمی­شوند. • نمی­توانند مدت و تعدادهای انتقال­یافته یک جریان را مشخص سازند. • این پروتکل، فقط می­تواند داده­های یک جهت ارتباط شبکه را رصد کند و از این رو half-duplexمحسوب می­شود. • نمونه­برداری از شبکه­های تحت نظارت به صورت چنددسته­ی بزرگ یا با حذف ترافیک واقعی جمع­آوری می­شود.

17. تعریف مفاهیم – Botnet (1 از 2) • شبکه­روبات­ها به سه دسته تقسیم می­شوند [5]: • متمرکز: روبات سرور مرکزی دستورات را به روبات­های کلاینت ارسال می­کند. • P2P: هر روبات با روبات دیگر ارتباط برقرار می­کند. • غیرساخت­یافته: روبات­ها از یکدیگر اطلاعی ندارند و پیوسته شبکه را پویش می­کنند تا اتصالی که از طرف مهاجم می­آید را شناسایی کنند.

18. تعریف مفاهیم – Botnet (2 از 2)

19. مطالعات انجام گرفته (1 از 4) • با هدف برطرف شدن بسیاری از چالش­های امنیتی شبکه­ها، پروتکل جریان­شبکه ارائه شد [7]. • پروتکل جریان­شبکه اطلاعاتی را تولید می­کند که در رصد و امنیت شبکه­ها موثر است [9]. • داده­های پروتکل جریان­شبکه در تشخیص تهدیداتی مانند انکار سرویس [14]، SYN/RST، RST/FIN [8] و کشف هرزنامه­ها [13] موثر هستند.

20. مطالعات انجام گرفته (2 از 4) • برای کشف شبکه­روبات­ها، مرجع [10] روشی برپایه رفتار ماشین­های آلوده به روبات و [12] روشی برای کشف شبکه­روبات P2P ارائه کرده است. • مرجع [11] روشی برپایه جریان شبکه، داده­کاوی و الگوریتم PageRank پیشنهاد داده و مرجع [6] روشی برپایه همبستگی افقی و عمودی روبات­ها، بیان کرده است.

21. مطالعات انجام گرفته (3 از 4) • مرجع [15] مروری بر روش­های کشف شبکه­روبات­ها داشته و آن را به چهار دسته کشف براساس امضا، ناهنجاری، DNS و داده­کاوی تقسیم­بندی کرده است. • مرجع [16] تحقیقات روی شبکه­روبات­ها را به سه دسته روش­های درک، کشف و ردیابی، و دفاع برابر شبکه­روبات­ها کلاس­بندی کرده است. • مراجع [17] و [18] نیز مروری بر مطالعات حوزه شبکه­روبات­ها داشته­اند. • مرجع [19]، مروری بر جدیدترین حملات و راه­های دفاع در برابر این حملات داشته و مرجع [20] که طبقه­بندی بر مطالعات در سه حوزه رفتار، کشف و دفاع در برابر شبکه­روبات­ها داشته است.

22. مطالعات انجام گرفته (4 از 4) • مراجع [21] و [22] مروری کوتاه بر کاربرد پروتکل جریان­شبکه در تشخیص شبکه­روبات­ها انجام شده است.

23. روش­های تشخیص • همبستگی داده­ها • IRC • PageRank • DNS • MapReduce • روابط آماری • یادگیری ماشینی

24. روش­های تشخیص – 1-همبستگی داده ها • تشخیص از طریق همبستگی عمودی، کشف کانال و دستورات داده شده توسط سرور به روبات­ها را بیان می­کند. تشخیص از طریق همبستگی افقی، کشف شبکه­روبات­ها براساس الگوی رفتاری جمعیت که توسط مجموعه­ای از روبات­ها در پاسخ به دستورات بر خود جای می­گذارند را بیان می­کند [6]. • Bilgeو همکارانش در مرجع [6] روشی برای متمایز کردن کانال سرور روبات­ها از کانال ترافیک عادی شبکه براساس سه ویژگی پروتکل جریان­شبکه، ویژگی­های مبتنی بر اندازه جریان (که تعداد بایت­های انتقال یافته در یک جهت بین دو نقطه نهایی را برای جریانی خاص مشخص می­کند)، ویژگی­های مبتنی بر الگوهای دسترسی کلاینت (الگوی ایجاد ارتباط بین کلاینت­های آلوده با سرور بدخواه)، و ویژگی­های مبتنی بر زمان (کلاینت­های آلوده و سرور بدخواه در دوره­های زمانی مختلفی باهم ارتباط برقرار می­کنند)، ارائه کرده­اند.

25. روش­های تشخیص – 2-سرور IRC (1 از 4) • پروتکل Internet Relay Chat، یک سیستم چت مبتنی بر متن است که در ارتباطات گروهی همزمان استفاده می­شود. تفسیر دستورات ساده، ارائه پشتیبانی مدیریتی، پیشنهاد بازی­های ساده و بازیابی اطلاعات سیستم­عامل­ها، ورودها به سیستم، آدرس­های ایمیل، نام­های مستعار و غیره را دارد [24]. • IRCمفهومی است که به کاربران اجازه ارتباط با یکدیگر را به صورت بلادرنگ می­دهد. هر شبکه مجزا که سرور IRC نامیده می­شود، شامل چندین هزار کاربر است که به شبکه متصل شده­اند.

26. روش­های تشخیص – 2-سرور IRC (2 از 4) • هر شبکه شامل اتاق­های گفتگو مختلفی است که کانال نامیده می­شوند. کاربران براساس علاقه­مندی خود به کانال­ها وصل می­شوند. ارتباطات درون کانال­ها به صورت خصوصی، عمومی یا کلاینت به کلاینت می­تواند باشد. سرورها اطلاعات را به و از سرورهای دیگر روی شبکه IRC یکسان بازپخش می­کنند [10].

27. روش­های تشخیص – 2-سرور IRC (3 از 4) • یکی از روش­های متداول برای ارتباط مهاجم با شبکه­روبات­ها استفاده از IRC است؛ ماشین­های آلوده به صورت خودکار به یک کانال خاص روی یک سرور عمومی یا خصوصی IRC وصل می­شوند تا دستورالعمل­ها را دریافت کنند. به هر کاربر که ارتباطی با سرور IRC برقرار می­کند، نام یکتایی تعلق می­گیرد که نام مستعار خوانده می­شود [10]. • این پروتکل جهت کشف میزبان­های آلوده به روبات­ها استفاده می­شود. • Goebel و Holz در مرجع [10] متدولوژی جهت کشف شبکه­روبات ارائه می­کنند که برای هر ارتباط IRC، یک شی ارتباط ایجاد می­شود و اطلاعات زمان ارتباط مشکوک، آدرس IP و پورت میزبان منبع مشکوک، آدرس IP و پورت سرور IRC مقصد، کانال و نام مستعار به همراه یک شناسه ذخیره می­شود.

28. روش­های تشخیص – 2-سرور IRC (4 از 4) • شناسه ترکیب IP مبدا و مقصد و پورت مقصد است. • زمانی که اتصالی به یک کانال ایجاد می­شود، اگر شی با شناسه بیان شده وجود نداشته باشد، ایجاد می­شود، در غیر این صورت به­روزرسانی می­شود. صفی از اشیاء ایجاد می­شود و زمانی که شی­ای به روزرسانی یا ایجاد می­شود، به جلو صف انتقال می­یابد و با قطع هر ارتباط، شی مربوطه از صف حذف می­شود. • پس از استخراج اطلاعات تحلیل انجام می­شود و هشدارهای لازم مرتبط با هر شناسه تولید می­شود.

29. روش­های تشخیص – 3-PageRank (1 از 4) • الگوریتم PageRank یک الگوریتم آنالیز خطی است که توسط موتور جستجو Google استفاده می­شود تا اهمیتی نسبتی به هر صفحه وب روی اینترنت بدهد. • PageRank امتیاز هر صفحه وب را براساس ساختار لینک روی اینترنت تعیین می­کند. هرچه یک صفحه توسط صفحه­های دیگر بیشتر مورد ارجاع باشد، نشان­دهنده اهمیت بیشتر آن است. • مقیاس­پذیری و بهره­وری فوق العاده PageRank سبب شده تا کاندیدی ایده­آل برای تجزیه و تحلیل ساختار لینک میان میزبان برقراری ارتباط در شبکه­هایی با مقیاس بزرگ باشد.

30. روش­های تشخیص – 3-PageRank (2 از 4) • از PageRank برای شناسایی شبکه­روباتی P2P استفاده می­شود؛ چون هر روبات باید با تعداد زیادی از روبات­ها ارتباطات آغاز کند و مقصد ارتباط تعداد زیادی از روبات­ها باشد [11]. Francois و همکارانش در مرجع [11] معماری­ای به نام BotTrackارائه داده­اند که برپایه تحلیل داده­های پروتکل جریان­شبکه و الگوریتم PageRank است.

31. روش­های تشخیص – 3-PageRank (3 از 4) • در این معماری، روترها ترافیک شبکه را رصد می­کنند و داده­های جریان­شبکه را به جمع­کننده می­فرستند. سپس داده­ها به BotTrackارسال می­شود تا تحلیل داده­ها انجام شود. • در گام اول فعل­وانفعالات بین سیستم­ها در قالب یک گراف وابستگی رسم می­شود. • سپس این گراف توسط الگوریتم PageRank تحلیل می­شود تا گره­هایی که ارتباطات زیادی با سایر گره­ها داشته­اند استخراج شوند. • در گام سوم، گره­های مشکوک با توجه به نقش و ارتباطاتشان بررسی می­شوند تا با دقت بیشتری تشخیص انجام شود. • در پایان از تکنیک­های کاهش استفاده می­شود تا با توجه به گره­های آلوده شناخته شده از قبل و خوشه­ها، گروه­های روبات تشخیص داده شود [11].

32. روش­های تشخیص – 3-PageRank (4 از 4)

33. روش­های تشخیص – 4-DNS(1 از 2) • این روش براساس تعریف الگوریتمی برای تمایز قائل شدن بین درخواست­های قانونی از DNS با درخواست­های روبات­ها از DNS است [28]. • Vleik در مرجع [13] روشی برپایه تحلیل داده­های NetFlow و DNS پیشنهاد کرده است.

34. روش­های تشخیص – 4-DNS(2 از 2) • Fast Flux مکانیزمی است که یک مجموعه از تغییرات آدرس­های IP را به یک نام دامنه یکتا مرتبط می­کند. • Domain Flux مکانیزمی است که یک مجموعه از نام­ها دامنه را به صورت خودکار و در فواصل زمانی معین به یک آدرس IP یکتا مرتبط می­کند. • این دو مکانیزم، راه­های جدیدی برای جلوگیری از کشف روبات­ها هستند [19]. • Hangو همکارانش در مرجع [19] مروری بر تکنیک­های کشف روبات­های FF و DF با استفاده از DNS و آنالیز ترافیک شبکه دارند.

35. روش­های تشخیص – 5-MapReduce(1 از 2) • MapReduce یک مدل برنامه­نویسی برای پردازش مجموعه داده­های بزرگ با الگوریتم موازی توزیع شده روی یک خوشه و پیاده­سازی­ای مرتبط برای پردازش و تولید مجموعه داده­های بزرگ است که تابع طیف گسترده­ای از وظایف در دنیای واقعی است. • کاربران تابع Mapای که یک زوج کلید/مقدار را پردازش می­کند تا یک مجموعه از زوج کلید/مقدار واسطه تولید کند و یک تابع Reduce که همه مقادیر واسطه مرتبط با کلید واسطه یکسان را ادغام کند را مشخص می­کنند. برنامه­های نوشته شده در این سبک تابع به صورت خودکار موازی هستند و روی یک خوشه بزرگی از ماشین­ها اجرا می­شوند [26]. • به طور خلاصه MapReduce انتزاعی سطح بالا از پردازش موازی معرفی شده توسط Google است [27].

36. روش­های تشخیص – 5-MapReduce(2 از 2) • در مرجع [25]، Hong-ling و همکارانش روشی برای تشخیص برخط شبکه­روباتی براساس MapReduce پیشنهاد کرده­اند. این روش تشخیص شبکه­روباتی برپایه تجزیه و تحلیل ترافیک شبکه و استخراج روابط دورن جریان­ها است. تجزیه و تحلیل داده­ها در بستری ابری انجام می­شود که باعث می­شود تسخیر داده­ها و تجزیه و تحلیل آن به طور همزمان انجام شود و تشخیص به صورت برخط گزارش شود. • Francois و همکارانش در مرجع [27] برپایه پروتکل جریان­شبکه و MapReduce متدولوژی معرفی می­کنند که می­تواند در تشخیص شبکه­روبات­های P2P بکار گرفته شود. براساس این متدولوژی، داده­های NetFlow تجزیه و تحلیل می­شود و گراف وابستگی رسم می­شود. الگوریتم PageRank و MapReduce روی گراف وابستگی اجرا می­شوند تا تشخیص صورت بپذیرد.

37. روش­های تشخیص – 6- روابط آماری • بیشتر روش­هایی که برای کشف شبکه­باتی ارائه شده­اند، از مباحث آماری استفاده نموده­اند. • Karasaridis و همکارانش متدولوژی برپایه محاسبات ارائه کرده­اند. این متدولوژی برای کشف شبکه­بات­ها در شبکه بزرگ Tier 1 ISP بکار می­رود. متدولوژی ارائه شده براساس 4 سطح ارائه شده است: • عامل­های متراکم، شناسایی میزبان­هایی با رفتار مشکوک و جداسازی رکوردهای جریان به/از آن میزبان­ها • تجزیه و تحلیل فعالیت­های جریان تا شناسایی جریان­های کنترل کاندید و خلاصه آن­ها به مکالمات • متراکم­سازی و تجزیه و تحلیل مکالمات کنترل کاندید تا جداسازی کنترلرهای مشکوک و پورت­های کنترل­کننده • ارسال گزارش­ها و هشدارها

38. روش­های تشخیص – 7- یادگیری ماشینی • یادگیری ماشینی مجموعه­ای از روش­های محاسباتی مبتنی بر تجربه و تحلیل هستند و معمولا با پیش­بینی­های دقیق، موجب بهبود عملکرد می­شوند. • Livadasو همکارانش در مرجع، روشی برپایه یادگیری ماشینی ارائه می­کنند تا جریان­های تولید شده توسط بات­ها تشخیص داده شوند. این روش برای تشخیص بات­های IRC در دو گام ارائه شده است؛ در گام اول، تمام ارتباطات به جز TCP نادیده گرفته شده (چون بات­های IRC از TCP استفاده می­کنند) و در بین ارتباطات باقی­مانده، جریان­های چت از غیرچت جدا می­شوند. گام دوم، جریان­های چت با استفاده از یادگیری ماشینی به دو کلاس جریان­های چت واقعی و جریان­های چت بات­ها، تقسیم­بندی می­شوند.

39. نتیجه گیری • راهکارهای متعددی برای کشف شبکه­روبات­ها ارائه شده است؛ یکی از این راهکارها، استفاده از داده­های پروتکل جریان­شبکه است. • حجم کم داده­ها، سادگی محاسبات، مثبت­کاذب پایین و برخط بودن، برخی از معیارهای برتری این روش بر سایر روش­ها است. • پیاده­سازی الگوریتم­های کشف شبکه­روبات­ها با استفاده از داده­های پروتکل جریان شبکه بر روی سامانه­های مرکز عملیات امنیت مانند OSSIM، سبب تشخیص برخط و سریع تهدیدات شبکه­بات­ها با پایین­ترین درصد مثبت­کاذب در شبکه می­شوند.

40. منابع(1 از 9) 1- علی امیری، علیرضا نوروزی، پیاده­سازی مرکز عملیات امنیت به صورت نرم­افزاری، دومین کنفرانس ملی مهندسی نرم­افزار لاهیجان، دانشگاه آزاد اسلامی واحد لاهیجان، 10 و 11 آبان 1391. 2- ضرورت ایجاد مرکز عملیات امنیت از نگاه پدافند غیرعامل، مرکز پدافند غیرعامل فاوا، آدرس: http://www.ic4i.ir/portal/index.php?option=com_docman&task=doc_download&gid=244&Itemid=125. 3- IdilioDrago, Rafael R. R. Barbosa, RaminSadre, AikoPras, Jürgen Schönwälder, Report of the Second Workshop on the Usage of NetFlow/IPFIX in Network Management, Journal of Network and Systems Management, Vol. 19, Issue 2, pp. 298-304, June 2011.

41. منابع(2 از 9) 4- سید حسین رجاء، بررسی و ارائه مقایسه بین Botnetهای مبتنی بر سرور و Botnetهای مبتنی بر کلاینت، دومین همایش ملی مهندسی کامپیوتر، برق و فناوری اطلاعات، دانشگاه آزاد اسلامی واحد خمین، اردیبهشت 1391. 5- محسن رضوانی، ابولفضل سرکرده­یی، بررسی روش­های تشخیص Botnetها، سومین همایش ملی مهندسی کامپیوتر و فناوری اطلاعات، مرکز آموزش و فرهنگی سما همدان، بهمن 1389. 6- LeylaBilge, DavideBalzarroti, William Robertson, EnginKirda, Christopher Kruegle, DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis, Proceedings of the 28th Annual Computer Security Applications Conference, New York, pp. 129-138, 2012.

42. منابع(3 از 9) 7- Myungjin Lee, Nick Duffield, RamanaRaoKompella, Two Samples are Enough: Opportunistic Flow-level Latency Estimation using NetFlow, Proceedings of the 29th conference on Information, IEEE Press Piscataway, pp. 2196-2204, 2010. 8- ShivamChoudhary, BhargavSrinivasan, Usage of Netflow in Security and Monitoring of Computer Networks, International Journal of Computer Applications, April 2013, Volume 68, No.24. 9- Christian Dietz, Passive Remote Detection of Network Address Translation (NAT) by using NetFlow, University of Applied Sciences, February 2013.

43. منابع(4 از 9) 10- Jan Goebel, Thorsten Holz, Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation, Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, Berkeley, 2007. 11- Jerome Francois, Shaonan Wang, Radu State, and Thomas Engel, BotTrack: Tracking Botnets using NetFlow and PageRank, Proceedings of the 10th International IFIP TC 6 Conference on Networking, Berlin, pp. 1-14, 2011. 12- ReinierSchoof, Ralph Koning, Detecting Peer-to-Peer Botnets, February 2007. 13- GertVliek, Detecting spam machines, a Netfow-data based approach, University of Twente, Netherlands, February 2009.

44. منابع(5 از 9) 14- Gao, Y., Li, Z., and Chen, Y, “A DoS Resilient Flow-Level Intrusion Detection Approach for High-Speed Networks”, Proceedings of the 26th IEEE International Conference on Distributed Computing Systems, pp. 39, 2006. 15- Feily, M., Shahrestani, A., and Ramadass, S., “A Survey of Botnet and Botnet Detection”, Proceedings of the Third International Conference on Emerging Security Information, Systems and Technologies, Athens, pp. 268-273, June 2009. 16- Zhaosheng, Z., Guohan, L. Yan C., Zhi F., Roberts, P., and Keesook H., “Botnet Research Survey”, Proceedings of the 32nd Annual IEEE International Computer Software and Applications, Turku, pp. 967-972. July 2008.

45. منابع(6 از 9) 17- Bailey, M., Cooke, E., Jahanian, F., Yunjing, X., and Karir, M., “A Survey of Botnet Technology and Defenses”, Proceedings of the Conference For Homeland Security, Cybersecurity Applications & Technology, Washington, pp. 299-304, March 2009. 18- Li, C., Jiang, W., and Zou, X., “Botnet: Survey and Case Study”, Proceedings of the Fourth International Conference on Innovative Computing, Information and Control, Kaohsiung, pp. 1184 - 1187, December 2009. 19- Lei Z., Shui, Y., Di, W., and Watters, P., “A Survey on Latest Botnet Attack and Defense”, Proceedings of the 10th International Conference on Trust, Security and Privacy in Computing and Communications, Changsha, pp. 53 – 60, November 2011.

46. منابع(7 از 9) 20- Khattak, S., Ramay, N., Khan, K., Syed, A., and Khayam, S., “A Taxonomy of Botnet Behavior, Detection, and Defense”, Journal of Communications Surveys & Tutorials, IEEE, Vol. PP,  Issue 99, pp. 1-27, October 2013. 21- Li, B., Springer, J., Bebis, G., and Gunes, Mehmet H., “A Survey of Network Flow Application”, Journal of Network and Computer Application, pp. 567-581, 2013. 22- Sperotto, A. Schaffrath, G., Sadre, R., Morariu, C., Pars, A., and Stiller, B., “An Overview of IP Flow-based Intrusion Detection”, Communications Surveys & Tutorials, IEEE, Vol. 12,  Issue 3, pp. 343-356, Third Quarter 2010.

47. منابع(8 از 9) 23- Strayer, W. T., Lapsely, D., Walsh, R., and Livadas, C., “Botnet Detection Based on Network Behavior”, Botnet Detect, Springer, pp. 1-24, 2008. 24- Thapliyal, M., Bijalwan, A., Garg, N., and Pilli, Emmanuel S., “A Generic Process Model for Botnet Forensic Analysis”, Proceedings of the Conference on Advances in Communication and Control Systems, 2013. 25- Hong-ling, J., Xiu-li, S., and Yao-fang, L., “Online Botnet Detection Algorithm Using MapReduce”, Journal of Electronics & Information Technology, Vol. 35, Issue 7, pp. 1732-1738, July 2013.

48. منابع(9 از 9) 26- Dean, J., and Ghemawat, S., “MapReduce: Simplified Data Processing on Large Clusters”, Communications of the ACM, Vol. 51, Issue 1, pp. 107-113, January 2008. 27- Francois, J., Wang, S., Bronzi, W., State, R., and Engle, T., “BotTrack: Detecting Botnets using MapReduce”, Proceedings of the IEEE International Workshop on Information Forensics and Security, Iguacu Falls, pp. 1-6, December 2011. 28- Choi, H., Lee, H., Lee, H., and Kim, H., “Botnet Detection by Monitoring Group Activities in DNS Traffic”, Proceedings of the 7th IEEE International Conference on Computer and Information Technology, Fukushima, pp. 715 – 720, October 2007.