Luận án Nghiên cứu các kỹ thuật phát hiện DGA Botnet

Bot là một loại phần mềm độc hại cho phép kẻ tấn công giành quyền kiểm soát
máy tính, hoặc thiết bị tính toán bị lây nhiễm. Máy tính bị nhiễm bot thường được
gọi là zombie hay là máy tính ma. Trên thực tế có hàng ngàn, hàng trăm ngàn máy
tính và thiết bị tính toán có kết nối Internet bị nhiễm một số loại bot mà người dùng
không biết và không nhận ra chúng. Kẻ tấn công có thể truy cập các zombie và kích
hoạt chúng thực thi các cuộc tấn công từ chối dịch vụ, hoặc gửi hàng loạt thư rác. Khi
thực hiện truy vết ngược lại nguồn khởi phát các cuộc tấn công, người ta thường tìm
thấy các zombie - cũng là nạn nhân chứ không phải là kẻ tấn công thực sự. Các bot
do một hoặc một nhóm kẻ tấn công thông qua một hoặc một số máy tính (gọi là
botmaster) kiểm soát và chúng được liên kết tạo thành một mạng lưới các máy bị
kiểm soát được gọi là botnet. Botmaster thường điều khiển các bot trong botnet do
mình kiểm soát thông qua hệ thống các máy chủ chỉ huy và kiểm soát (Command and
Control, hoặc C&C, hoặc CnC), như minh họa trên Hình 1.1. Kênh giao tiếp giữa
các bot và các máy chủ CnC trong một botnet có thể là IRC, HTTP hoặc giao thức
truyền thông khác. 
pdf 159 trang phubao 26/12/2022 4862
Bạn đang xem 20 trang mẫu của tài liệu "Luận án Nghiên cứu các kỹ thuật phát hiện DGA Botnet", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfluan_an_nghien_cuu_cac_ky_thuat_phat_hien_dga_botnet.pdf
  • pdfLA_Vũ Xuân Hạnh_TT.pdf
  • pdfVũ Xuân Hạnh_E.pdf
  • pdfVũ Xuân Hạnh_V.pdf

Nội dung text: Luận án Nghiên cứu các kỹ thuật phát hiện DGA Botnet

  1. 126 Hình 3.7: Mô hình phát hiện kết hợp của Charan Rezaei [76] đề xuất phương pháp nhằm mục đích tạo ra một mô hình học kết hợp bằng cách sử dụng các phương pháp học máy tốt nhất giữa học có giám sát, học không giám sát và học hồi quy để tối ưu hóa độ chính xác của việc phát hiện botnet trên IoT và giảm thiểu số lượng tính năng được yêu cầu. Trong nghiên cứu này, một thuật toán học máy mới (học kết hợp) cho phát hiện botnet và bot trong mạng IoT đã được đề xuất bằng cách kết hợp hai thuật toán tốt nhất được lựa chọn từ một số phương pháp học có giám sát, học không giám sát và phương pháp học hồi quy được chọn, đó là: (i) ANN và (ii) DT. Thông qua thuật toán học kết hợp, độ chính xác đã đạt được hơn 99.00% chỉ trong thời gian 11.36 giây, chỉ yêu cầu sử dụng 20 đặc trưng để phát hiện botnet và bot trong mạng IoT. Nghiên cứu này cũng so sánh kết quả với các nghiên cứu trước đây đã được thực hiện trong lĩnh vực này, cho thấy nghiên cứu này đạt được độ chính xác cao nhất so với các nghiên cứu trước đó. Có một vài điểm trở ngại của nghiên cứu này. Thuật toán học máy không thể được kiểm tra trong bất kỳ mạng thực nào và chỉ có thể được kiểm tra trong môi trường phòng thí nghiệm. Điều này gây ra một số hạn chế về tập dữ liệu. Một trong những hạn chế là có quyền
  2. 128 CTU(46), CTU(50) và CTU(54) với các thuật toán học máy SVM, Naïve Beyes và cây quyết định cho hiệu suất chung đạt trên 99.00%. 3.2.2. Ưu, nhược điểm của các đề xuất phát hiện botnet dựa trên học kết hợp Qua các khảo sát ở trên cho thấy, các phương pháp đã sử dụng các thuật toán học kết hợp có thể kể đến như Adaboost, Stacking, Bagging và các phương pháp học kết hợp khác làm tăng hiệu quả phát hiện đáng kể. Chẳng hạn, như đề xuất của Bijanwan và cộng sự [1] kết quả cho thấy rằng bộ phân loại kết hợp sử dụng phương pháp voting cho độ chính xác tăng từ 93.37% lên 96.41%. Các đề xuất của Rezaei [76], Liu và cộng sự [49] đều cho hiệu suất chung đạt tỷ lệ trên 99.00%. Trong các phương pháp phát hiện botnet dựa trên kết hợp nêu trên đều có sử dụng đến các đặc trưng mạng. Khi sử dụng các đặc trưng mạng đòi hỏi nhiều các chi phí liên quan đến lưu trữ, xử lý tài nguyên mạng lớn. Cũng với phương pháp học kết hợp được nêu ở trên, phần còn lại của chương này đề xuất mô hình phát hiện DGA botnet dựa trên học kết hợp giữa 2 mô hình đã đề xuất ở chương 2 đó là: mô hình CDM và mô hình WDM. 3.3. MÔ HÌNH PHÁT HIỆN DGA BOTNET DỰA TRÊN HỌC KẾT HỢP 3.3.1. Giới thiệu mô hình Từ kết quả 2 mô hình phát hiện character-based DGA botnet (CDM) và word- based DGA botnet (WDM) đã được trình bày tại mục 2.2 và mục 2.3, có thể thấy mỗi mô hình đều có điểm mạnh và điểm yếu riêng. Mô hình CDM có khả năng phát hiện hiệu quả các character-based DGA botnet, nhưng hầu như không thể phát hiện các word-based DGA botnet. Ngược lại, mô hình WDM có khả năng phát hiện hiệu quả các word-based DGA botnet, nhưng tỷ lệ phát hiện các character-based DGA botnet của WDM nói chung thấp hơn CDM. Do vậy, phần này đề xuất mô hình dựa trên học kết hợp để hợp nhất 2 mô hình CDM và WDM nhằm phát huy ưu điểm của cả hai mô hình trong một mô hình phát hiện DGA botnet thống nhất.
  3. 130 Mô hình được đề xuất là một kiểu kết hợp “muộn” trong học kết hợp, ở mô hình này CDM và WDM tạo ra kết quả của riêng chúng và kết quả cuối cùng là sự kết hợp của cả hai mô hình. Để tìm ra phương pháp kết hợp hiệu quả nhất, thực hiện kết hợp “sớm” giữa CDM và WDM, sau đó so sánh với kết quả của kết hợp “muộn” của mô hình được đề xuất. Trong phương pháp kết hợp “sớm”, việc kết hợp mô hình được thực hiện ở bước trích xuất đặc trưng. Theo cách tiếp cận này, mô hình “tập hợp ban đầu” được xây dựng bằng cách sử dụng bộ 38 đặc trưng kết hợp gồm 24 đặc trưng ký tự của CDM và các 16 đặc trưng từ của WDM trong giai đoạn huấn luyện. Trong giai đoạn phát hiện, mỗi tên miền được giám sát sẽ được xử lý và chuyển đổi thành một vector gồm 38 đặc trưng để phân loại nhằm xác định xem đó là tên miền thông thường hay DGA. 3.3.2. Tập dữ liệu huấn luyện và kiểm thử Dữ liệu huấn luyện: Đối với mô hình học kết hợp đề xuất, sử dụng bộ phân loại đã được huấn luyện từ hai mô hình CDM và WDM đề xuất tại chương 2. Để tăng hiệu quả của phương pháp kết hợp khi số mẫu CDM phán đoán sai sẽ được WDM phán đoán, do đó các tính năng và thuật toán trong CDM và WDM sẽ khác nhau. Dữ liệu kiểm thử: như đã đề cập ở trên, để so sánh hiệu suất của các mô hình, tập dữ liệu kiểm thử sẽ được lấy từ tệp dữ liệu kiểm thử trong mô hình phát hiện character-based DGA botnet được trình bày tại mục 2.2.3. Dữ liệu kiểm thử gồm các tên miền của 39 họ DGA botnet với 71,393 mẫu tên miền DGA botnet. Ngoài ra, sử dụng 31,000 tên miền DGA botnet với 7 họ trên tập dữ liệu UMUDGA để đánh giá khả năng phát hiện các tên miền DGA botnet mới, không tồn tại trong tập dữ liệu huấn luyện lấy từ Netlab360. 3.3.3. Tiền xử lý, huấn luyện và phát hiện Trong giai đoạn huấn luyện xây dựng mô hình, khâu tiền xử lý dữ liệu được thực hiện riêng với từng mô hình phát hiện thành phần: 24 đặc trưng từ được trích xuất với mô hình CDM và 16 đặc trưng từ được trích xuất với mô hình WDM. Việc huấn luyện được thực hiện riêng với mỗi mô hình CDM và WDM. Trong quá trình
  4. 132 23 Pykspa_v2_fake 799 98.87 61.08 99.25 24 Locky 1158 99.05 83.16 99.14 25 Pykspa_v2_real 199 98.99 63.32 98.99 26 Shifu 2546 98.59 34.92 98.82 27 Matsnu 881 12.15 98.41 98.64 28 Proslikefan 100 98.00 50.00 98.00 29 Tempedreve 195 97.44 64.62 97.44 30 Vawtrak 827 96.61 61.67 97.10 31 Symmi 1200 96.58 31.67 96.83 32 Suppobox 2205 19.27 92.83 96.05 33 Nymaim 480 94.79 61.25 95.21 34 Mydoom 50 88.00 74.00 94.00 Tổng cộng 65299 95.59 77.18 99.53 Bảng 3.2: Các DGA botnet có tỷ lệ DR nhỏ hơn 90% với mô hình đề xuất STT Họ botnet Số lượng CDM % WDM % Kết hợp % 1 Conficker 495 89.29 52.93 89.49 2 Bigviktor 999 11.11 70.97 76.18 3 Gspy 100 76.00 8.00 76.00 4 Enviserv 500 50.40 19.40 52.00 5 Banjori 4000 0.00 0.00 0.00 Tổng cộng 6094 14.46 17.66 25.24 Bảng 3.3: Tỷ lệ phát hiện đối với tập dữ liệu UMUDGA STT Họ botnet Số lượng CDM % WDM % Kết hợp % 1 Alureon 5,000 98.22 85.32 98.94 2 Bedep 5,000 99.82 97.80 99.92 3 Corebot 5,000 99.76 98.24 99.94 4 Kraken 2,000 98.40 69.50 99.10 5 Pushdo 5,000 94.36 35.90 95.08 6 Zeus 5,000 100.00 99.96 100.00 27,000 98.43 82.41 98.80 7 Pizd 4,000 16.05 97.93 98.05 Tổng cộng 31,000 87.80 84.41 98.70 Bảng 3.4: Tỷ lệ phát hiện giữa CDM, WDM, mô hình kết hợp đề xuất và kết hợp “sớm” Tỷ lệ phát hiện (DR%) Kiểu STT Họ botnet Kết hợp Kết hợp DGA CDM WDM đề xuất "sớm”
  5. 134 3.3.5. Đánh giá Bảng 3.1 thống kê các botnet có tỷ lệ DR lớn hơn 90% khi sử dụng mô hình kết hợp đề xuất, trong tổng số 39 họ DGA botnet thì có 34 họ cho DR lớn hơn 94.00%. 12 họ DGA botnet có DR đạt 100%, gồm Rovnix, Dyre, Chinad, Fobber_v1, Tinynuke, Gameover, Murofet, Cryptolocker, Padcrypt, Dircrypt, Fobber_v2 và Vidro. Tỷ lệ phát hiện trung bình của nhóm này đạt tới 99.53%. Bảng 3.2 liệt kê 5 họ DGA botnet có DR không cao khi sử dụng mô hình kết hợp. Trong đó, Conficker có DR đạt 89.49%, Bigviktor và Gspy có DR đạt khoảng 76%, Enviserv có DR đạt 52%. Đặc biệt, mô hình kết hợp không thể phát hiện Banjori botnet do các mô hình thành phần cũng không thể phát hiện botnet này. Bảng 3.3 thể hiện tỷ lệ phát hiện của các mô hình CDM, WDM và kết hợp đối với tệp dữ liệu kiểm thử lấy từ tập UMUDGA. Kết quả cho thấy, đối với các character-based DGA botnet (6 họ botnet đầu danh sách), mô hình CDM cho tỷ lệ phát hiện đạt 98.43%. Đối với ‘Pizd’ là word-based DGA botnet, mô hình kết hợp cho tỷ lệ phát hiện đạt 98.05%. Tỷ lệ phát hiện tổng thể của mô hình kết hợp đạt 98.70% đối với 31,000 tên miền DGA botnet, bao gồm cả character-based và word- based DGA botnet. Mô hình phát hiện botnet DGA được đề xuất dựa trên học kết hợp “muộn” có thể phát hiện hiệu quả hầu hết các botnet DGA, bao gồm character-based và word- based DGA botnet vì nó có thể tận dụng lợi thế của cả mô hình CDM và WDM thành phần. Kết quả thực nghiệm đưa ra trong Bảng 3.4 cho thấy mô hình kết hợp được đề xuất có khả năng phát hiện hiệu quả 37 trong số 39 họ botnet DGA có DR> 89%, trong đó 12 họ botnet DGA có DR = 100% và 31 botnet có DR> 97%. Bảng 3.4 cũng cho thấy mô hình kết hợp “muộn” được đề xuất hoạt động tốt hơn nhiều so với mô hình kết hợp “sớm”. Tỷ lệ phát hiện (DR) của mô hình kết hợp “muộn” được đề xuất cao hơn đáng kể so với mô hình kết hợp “sớm” cho tất cả các họ botnet, ngoại trừ
  6. 136 phát hiện DR từ 94% trở lên với 34 họ DGA botnet, trong đó 12 họ botnet có DR đạt 100%. Mô hình kết hợp chỉ không thể phát hiện 1 họ botnet là Banjori do các mô hình thành phần cũng không thể phát hiện botnet này. Mô hình kết hợp đề xuất và kết quả thử nghiệm, đánh giá được đăng trên bài báo “Một mô hình phát hiện DGA botnet dựa trên học kết hợp”, tạp chí Khoa học Công nghệ Thông tin và Truyền trông, ISSN: 2525-2224, Vol. 1, No. 1, 2022 [CT3]. KẾT LUẬN Botnet đã và đang trở thành một trong các nguy cơ gây mất an toàn thông tin hàng đầu do chúng không ngừng phát triển về cả quy mô và mức độ tinh vi trong các kỹ thuật chỉ huy và kiểm soát. Nhiều dạng botnet sử dụng kỹ thuật DGA để sinh và đăng ký nhiều tên miền ngẫu nhiên khác nhau cho máy chủ CnC của chúng nhằm chống lại việc bị kiểm soát và vô hiệu hóa. Các DGA botnet thường khai thác hệ thống DNS để duy trì hoạt động, do vậy việc phân tích phát hiện các tên miền truy vấn hệ thống DNS có thể giúp phát hiện các hoạt động của botnet. Luận án này tập trung giải quyết hai vấn đề: (1) nghiên cứu, đề xuất tập đặc trưng phân loại tên miền mới phù hợp hơn cho xây dựng các mô hình phát hiện DGA botnet, nhằm tăng tỷ lệ
  7. 138 có khả năng phát hiện hiệu quả các word-based DGA botnet, cũng như có khả năng phát hiện tốt nhiều character-based DGA botnet với độ đo F1 đạt trên 95%. Trong các thuật toán học máy sử dụng, thuật toán học máy cây quyết định J48 cho hiệu xuất phát hiện tổng thể tốt nhất trong các thuật toán thử nghiệm. Như vậy có thể khẳng định tập 16 đặc trưng từ sử dụng trong mô hình WDM là phù hợp cho phát hiện các họ word-based DGA botnet. Tuy nhiên, hạn chế của mô hình đề xuất này là giới hạn phạm vi các word-based DGA botnet dựa trên từ điển tiếng Anh, chưa sử dụng các bộ từ điển khác ở dạng chữ Latin hoặc tiếng Việt không dấu. Đây cũng chính là hướng mở cho những nghiên cứu tiếp theo. Với vấn đề (2) nghiên cứu, lựa chọn sử dụng phương pháp học máy phù hợp cho xây dựng các mô hình phát hiện DGA botnet, nhằm xây dựng một mô hình phát hiện thống nhất cho phép phát hiện hiệu quả nhiều dạng DGA botnet, luận án đề xuất mô hình phát hiện DGA botnet dựa trên học kết hợp. Mô hình phát hiện kết hợp đề xuất nhằm khai thác điểm mạnh của 2 mô hình thành phần là CDM và WDM: mô hình phát hiện kết hợp có khả năng phát hiện hiệu quả hầu hết các DGA botnet, bao gồm cả character-based DGA botnet và word-based DGA botnet. Các kết quả thử nghiệm cho thấy, mô hình phát hiện dựa trên học kết hợp đạt tỷ lệ phát hiện trung bình là 99.53% trên 39 họ DGA botnet thử nghiệm. Cụ thể, mô hình kết hợp có tỷ lệ phát hiện đạt từ 94% trở lên với 34 họ DGA botnet, trong đó 12 họ botnet có tỷ lệ phát hiện đạt 100%. Trong số 39 họ DGA botnet, chỉ có 5 họ DGA botnet có tỷ lệ phát hiện dưới 90%. Ngoài ra, mô hình kết hợp cũng có khả năng phát hiện hiệu quả các character-based và word-based DGA botnet mới trong tập dữ liệu UMUDGA với tỷ lệ phát hiện trung bình đạt 98,70%. Các đề xuất phát hiện DGA botnet dựa trên tên miền thực thi hiệu quả hơn so với các phương pháp dựa trên lưu lượng mạng bởi giảm thiểu các đặc trưng, xử lý dữ liệu luồng và gói tin, do đó sẽ nhanh hơn, chi phí đỡ tốn kém hơn. Các mô hình khi đưa vào ứng sẽ được cài đặt tại DNS server nhằm ngăn chặn các bot có thể liên lạc được với CnC server hoặc trước firewall trong các hệ thống đơn lẻ nhằm phát hiện máy tính nào là bot.
  8. 140 DANH MỤC CÁC CÔNG TRÌNH CÔNG BỐ TẠP CHÍ KHOA HỌC [CT1] Xuan Dau Hoang, Xuan Hanh Vu, 2021: An improved model for detecting DGA botnets using random forest algorithm, Information Security Journal: A Global Perspective, DOI: 10.1080/19393555.2021.1934198. ESCI Scopus Q2. [CT2] Xuan Hanh Vu, Xuan Dau Hoang, 2021: An Novel Machine Learning-based Approach for Detecting Word-based Botnets, Journal of Theoretical and Applied Information Technology, Vol 99 – 24. Scopus Q4. [CT3] Vũ Xuân Hạnh, Hoàng Xuân Dậu, Đinh Trường Duy, 2022, “Một mô hình phát hiện DGA botnet dựa trên học kết hợp”, tạp chí Khoa học Công nghệ Thông tin và Truyền trông, ISSN: 2525-2224, Vol. 1, No. 1, 2022. HỘI THẢO KHOA HỌC [CT4] Hoang X.D., Vu X.H, 2021. An Enhanced Model for DGA Botnet Detection Using Supervised Machine Learning. Intelligent Systems and Networks, ICISN 2021. Lecture Notes in Networks and Systems, vol 243. Springer, Singapore. DOI: 10.1007/978-981-16-2094-2_6. Scopus Q4. [CT5] Vũ Xuân Hạnh, Hoàng Xuân Dậu, 2019. Phát hiện DGA Botnet sử dụng kết hợp nhiều nhóm đặc trưng phân loại tên miền. Hội nghị KHCN Quốc gia lần thứ XII (FAIR); Huế, ngày 07-08/6/2019. DOI: 10.15625/vap.2019.00047. [CT6] Nguyễn Trọng Hưng, Hoàng Xuân Dậu, Vũ Xuân Hạnh, 2018 “Phát hiện botnet dựa trên phân loại tên miền sử dụng kỹ thuật học máy”, Hội thảo lần III: Một số vấn đề lựa chọn về an toàn an ninh thông tin, Tạp chí Thông tin và truyền thông 12/2018, ISSN: 1859 – 3550.
  9. 142 18. Graham M. BotProbe - botnet traffic capture using IPFIX, in BSides. 2018: London. 19. Gu G., Zhang J., and Lee W. BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic. 2008. 20. Guofei G., Phillip P., Vinod Y., Martin F., and Wenke L. BotHunter: Detecting Malware Infection Through IDSDriven Dialog Correlation. 2007. 7: p. 12. 21. Guofei G., Roberto P., Junjie Z., and Wenke L. BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection. 2008. 139-154. 22. Hachem N., MustaphaYosra Y.B., Gonzalez B.M., and Debar H. Botnets: Lifecycle and Taxonomy. 2011. 23. Hao M. Botnet Trend Report. 2020; Available from: 24. Hoang D. and Nguyen C. Botnet Detection Based On Machine Learning Techniques Using DNS Query Data. Future Internet, 2018. 10. 25. Holz T., Steiner M., Dahl F., Biersack E., and Freiling F. Measurements and mitigation of peer-to-peer-based botnets: a case study on storm worm, in Proceedings of the 1st Usenix Workshop on Large-Scale Exploits and Emergent Threats. 2008, USENIX Association: San Francisco, California. p. Article 9. 26. Hong Z., Zhaobin C., Guangbin B., and Xiangyan Z. Malicious Domain Names Detection Algorithm Based on n-Gram. Journal of Computer Networks and Communications, 2019. 2019: p. 4612474. 27. Hossein Z., Mohammad S., Payam V.A., Safari M., and Zamani M. A taxonomy of Botnet detection techniques. Vol. 2. 2010. 158-162. 28. Hu X. and Knysz M. RB-Seeker: Auto-detection of Redirection Botnets. Vol. 0. 2009. 29. Huang S.-Y., Mao C.-H., and Lee H.-M. Fast-flux service network detection based on spatial snapshot mechanism for delay-free detection. 2010. 101-111. 30. Hyunsang C., Heejo L., and Hyogon K. BotGAD: Detecting botnets by capturing group activities in network traffic. 2009. 2. 31. Jaiswal S. Machine Leaning. 2019 [cited 2019; Available from: 32. Jérôme F., Shaonan W., Radu S., and Thomas E. BotTrack: Tracking Botnets Using NetFlow and PageRank. in NETWORKING 2011. 2011. Berlin, Heidelberg: Springer Berlin Heidelberg. 33. Jiang N., Cao J., Jin Y., Li L.E., and Zhang Z.-L. Identifying suspicious activities through DNS failure graph analysis, in Proceedings of the The 18th IEEE International Conference on Network Protocols. 2010, IEEE Computer Society. p. 144–153. 34. Johannes Bader B.Y. DGA algorithms. 2018 [cited 2021; Available from: 35. Jonathan W., H. A., Anjum A., and Daniel G. Predicting Domain Generation Algorithms with Long Short-Term Memory Networks. ArXiv, 2016. abs/1611.00791. 36. Kamal Alieyan A.A., Ahmad Manasrah & Mohammed M. Kadhum A survey of botnet detection based on DNS. Neural Computing and Applications, 2017. 28.
  10. 144 58. Marupally P.R. and Paruchuri V. Comparative Analysis and Evaluation of Botnet Command and Control Models. in 2010 24th IEEE International Conference on Advanced Information Networking and Applications. 2010. 59. Maryam F., Alireza S., and Sureswaran R. A Survey of Botnet and Botnet Detection. in Third International Conference on Emerging Security Information, Systems and Technologies. 2009. IEEE. 60. Mattia Zago, Manuel Gil Pérez, and Perez G.M. UMUDGA - University of Murcia Domain Generation Algorithm Dataset. 2020. 61. Michael B., Evan C., Farnam J., Yunjing X., and Manish K. A Survey of Botnet Technology and Defenses. Conference For Homeland Security, Cybersecurity Applications & Technology, 2009. 0: p. 299-304. 62. Micro T. Taxonomy of Botnet threats. TREND MICRO, 2006. 63. Mitchell T.M. Machine Learning. 1997: McGraw-Hill Science. 64. Mohssen Mohammed M.B.K., Eihab Bashier Mohammed Bashier. Machine Learning - Algorithms and Applications. 2017: Taylor & Francis. 65. Nilaykumar Kiran Sangani H.Z. Machine Learning in Application Security, in Advances in Security in Computing and Communications. 2017. 66. Paxton N., Ahn G., and Chu B. Towards Practical Framework for Collecting and Analyzing Network-Centric Attacks. in 2007 IEEE International Conference on Information Reuse and Integration. 2007. 67. PentaSecurity. Top 5 Botnets of 2017. 2018 [cited 2019 1/9]; Available from: 68. Perdisci R., Corona I., Dagon D., and Lee W. Detecting Malicious Flux Service Networks through Passive Analysis of Recursive DNS Traces. 2009. 311-320. 69. Pereira M., Coleman S., Yu B., DeCock M., and Nascimento A. Dictionary Extraction and Detection of Algorithmically Generated Domain Names in Passive DNS Traffic: 21st International Symposium, RAID 2018, Heraklion, Crete, Greece, September 10-12, 2018, Proceedings. 2018. p. 295-314. 70. Qiao Y., Zhang B., Zhang W., Sangaiah A.K., and Wu H. DGA Domain Name Classification Method Based on Long Short-Term Memory with Attention Mechanism. Applied Sciences, 2019. 9(20): p. 4205. 71. R. Z.H. and A. M.A. Botnet Command and Control Mechanisms. in Second International Conference on Computer and Electrical Engineering. 2009. IEEE. 72. Raghava N.S., Sahgal D., and Chandna S. Classification of Botnet Detection Based on Botnet Architechture. in 2012 International Conference on Communication Systems and Network Technologies. 2012. 73. Rahim A. and bin Muhaya F.T. Discovering the Botnet Detection Techniques. 2010. Berlin, Heidelberg: Springer Berlin Heidelberg. 74. Rajab M.A., Zarfoss J., Monrose F., and Terzis A. A multifaceted approach to understanding the botnet phenomenon, in Proceedings of the 6th ACM SIGCOMM conference on Internet measurement. 2006, Association for Computing Machinery: Rio de Janeriro, Brazil. p. 41–52. 75. Ramachandran A., Feamster N., and Dagon D. Revealing botnet membership using DNSBL counter-intelligence. Proceedings of the 2nd Workshop on Steps to Reducing Unwanted Traffic on the Internet (SRUTI), 2006. 2: p. 8-8. 76. Rezaei A. Using Ensemble Learning Technique for Detecting Botnet on IoT. SN Computer Science, 2021.
  11. 146 96. Truong D.T. and Cheng G. Detecting domain‐flux botnet based on DNS traffic features in managed network. Security and Communication Networks, 2016. 9(14): p. 2338-2347. 97. Umbrella C. Umbrella Popularity List. 2016; Available from: 1.amazonaws.com/umbrella-static/index.html. 98. Villamarin R. and Brustoloni J. Identifying Botnets Using Anomaly Detection Techniques Applied to DNS Traffic. 2008. 476-481. 99. Wang B., Li Z., Li D., Liu F., and Chen H. Modeling Connections Behavior for Web-Based Bots Detection. in 2010 2nd International Conference on E-business and Information System Security. 2010. 100. Wielogorska M.a.O.B., Darragh. DNS Traffic analysis for botnet detection. in 25th Irish Conference on Artificial Intelligence and Cognitive Science. 2017. CEUR- WS. 101. Xiang Z., Junbo Z., and Yann L. Character-level Convolutional Networks for Text Classification. in the 28th International Conference on Neural Information Processing Systems. 2015. MIT Press. 102. Yadav S., Reddy A., Reddy A., and Ranjan S. Detecting Algorithmically Generated Malicious Domain Names. 2010. 48-61. 103. Yong-lin Zhou Q.-s.L., Qidi Miao and Kangbin Yim. DGA-Based Botnet Detection Using DNS Traffic. Journal of Internet Services and Information Security (JISIS), 2013. 3: p. 116-123. 104. Zahraa A., Eman A., Dalia A.-W., and Radhwan H.A.A.-S. Botnet detection using ensemble classifiers of network flow. International Journal of Electrical and Computer Engineering, 2020. Volume 10: p. 2543-2550. 105. Zhaosheng Z., Guohan L., Yan C., Zhi F., Phil R., and Keesook H. Botnet Research Survey. 2008. 967-972. 106. Zhou Z.-H. Ensemble Methods. 2012: CRC Press, Taylor & Francis Group, LLC.