Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri 2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum Mehmet Kara, Necati E. Şişeci TÜBİTAK-BİLGEM UEKAE, Kocaeli [email protected], [email protected] Özet: Botnetler günümüzde verdiği zararlar ve uygulama alanları açısından zararlı yazılımlar içinde ön sıralarda yer almaktadır. 1999 yılından beri bilinmelerine karşın sürekli protokol ve uygulama açısından güncellendikleri için etkin bir mücadele yöntemi geliştirilememiştir. Botnetlerle mücadele kişisel ve kurumsal anlamda yapılsa bile büyük başarılar elde edilememektedir. Bu makalede botnetlerin genel yapısı, kullanım alanları, tespit yöntemleri, verdiği zararlar açısından dünyadaki ve Türkiye’deki durumları ele alınmış ve etkin bir mücadele için kurumlara arası ve ülkeler arası işbirliği ve koordinasyonun gerekliliği vurgulanmıştır. Anahtar Sözcükler: Botnet, Komuta Kontrol Merkezi, İstenmeyen Eposta, Dağıtık Servis Dışı Bırakma Atağı, Siber Ataklar. Fighting with Botnets in the World and Turkey Abstract: Botnets are the malicious software, known since 1999 at internet and computer networks. Because of fast changing applications and protocols of botnets there is not an effective prevention method. In this paper architecture, application fields, detection mechanisms and economics of botnets are investigated. General botnet and malware statistics is given in the world and Turkey. Individual and organizational prevention mechanism is not enough for total success. It is stated that strong collaboration and coordination require between organizations and countries. Keywords: Botnets, Command&Control Center, Spam, Distributed Denial of Service, Cyber Attack. 1. Giriş Botnetler son yıllarda siber ataklar başta olmak üzere geniş çaplı internet atakları için en yaygın kullanılan zararlı yazılımlardır. Bot kelimesi “Robot” kelimesinden türetilmiştir. Robot daha önceden planlanmış işleri yapan makinedir. Bu botların bir merkezden yönetilen büyük gruplarına botnet adı verilmektedir. Botnetler genellikle tek bir merkezden yönetilerek botların bir koordinasyon içerisinde belli amaçlar için yönlendirilmesinde kullanılırlar. Botnetler tarafından kontrol edilen bilgisayarlar botnet üyesi ya da köle bilgisayar (Zombie) olarak adlandırılmaktadır. Botnet tehdidi 1999 yılında win32/prettypark zararlı yazılımı ile ilk defa yapılan dağınık servis dışı bırakma (DDoS) atağından beri bilinmektedir. 2007 yılının sonunda tüm güvenlik endüstrisi, botnetleri güvenlik listelerinin en önemli tehdidi olarak kabul etmiştir. İlk botnetler IRC (Internet Relay Chat) protokolünü kullanmışlardır. Daha sonra IRC protokolünün kolayca fark edilmesi ve önlenebilmesinden dolayı http, https, P2P gibi yeni haberleşme protokolü arayışlarına girmişlerdir. 2007 Nisan ayında Panda software arka kapı sağlayan bir kodu açıklayarak ilk defa Zunker’i tanımlamıştır. Bu botnet dünyasında Botnet 1.0 495 Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum Mehmet Kara, Necati E. Şişeci mimarisinden Botnet 2.0 mimarisine geçiş olarak kabul edilmiştir [1]. Bu yapıda IRC değil http protokolü kullanılarak haberleşme sağlanmıştır. Bu yapıda kurban bilgisayar e-posta ile gelen açıklığı çalıştırarak ya da bir web sayfasını ziyaret ederek Zunker’in bilgisayarına bulaşmasını sağlıyordu. Bir defa zararlı yazılım bilgisayara bulaştıktan sonra bilgisayar korsanları bilgisayarı uzaktan kontrol edebiliyordu. Zunker web sunucu üzerinde çalışan çok iyi yazılmış php ve CGI betiklerinden oluşuyordu. Fakat sadece bir arayüzden ibaret olup, ancak kurbanları izleyebiliyordu. Doğrudan bilgisayarları tarayıp bulaşamıyordu. Daha sonra rootkit teknolojisini kullanarak şifreli haberleşmeleri dinleyen, dinlediği verileri MySQL’de sorgulama yapabilecek formatta gönderebilen Gozi botneti ortaya çıktı ve onu değişik yetenekler içeren Mpack, Dream Downloader, Storm worm izledi. Günümüzde de Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi botnetler çeşitli önlemler alınmasına karşı başta istenmeyen eposta olmak üzere pek çok atak yapmaktadır. 2009 yılı Aralık ayı verilerine göre her gün 85 milyar istenmeyen eposta botnetler tarafından gönderilmektedir [2]. Yaygın görülen botnetlerin 2008-2009 yıllarında yaydıkları istenmeyen eposta oranları Şekil 1’de verilmektedir. Bu aynı zamanda bu yıllardaki aktif botnetleri de göstermektedir [3]. Sıralama 2009 2008 Botnet Yüzde 2009 2008 1 14 Pandex 18% <1% 2 7 Rustock 15% 2% 3 3 Mega_d 10% 13% 4 10 Grum 8% 1% 5 19 Donbot 6% <1% 6 19 Xarvester 5% <1% 7 13 Bagle 5% <1% 8 6 Other botnets 5% 2% 9 9 Bobax 2% 2% 10 2 Gheg 2% 1% Şekil 1. Botnetlerin gönderdiği istenmeyen eposta oranları Günümüzde diğer zararlı yazılımlar gibi botnetler de çoğunlukla aşağıdaki yollardan birini kullanarak yayılmaktadır [4]. • • • Güvenlik olmayan ya da zayıf olan politikalardaki açıklıklar, BT (Bilişim Teknolojileri) ürünlerdeki güvenlik açıklıkları, Sosyal mühendislik taktikleri Botnetler, verdikleri zararlar ve uygulama alanları açısından zararlı yazılımlar içinde ön sıralarda bulunmaktadır. Botnetler çevrimiçi (online) bilgisayar sistemlerinin karşı karşıya olduğu en büyük tehdittir. Dağıtık bilgisayar sistemleri olan botnetler, finansal dolandırıcılık, siber ataklar, dağıtık servis dışı bırakma atakları (DDoS), istenmeyen eposta gönderme, ajan yazılımlar, yemleme (Phising) epostaları, yazılımların yasal olmayan dağıtımı, bilgi ve bilgisayar kaynaklarının çalınması, kimlik hırsızlığı gibi birçok bilgisayar saldırısı için de kullanılabilirler. Botnetler birkaç katmanlı C&C (komuta kontrol - Command&Control) merkezleri sayesinde değişik dillerdeki, değişik ülkelerdeki, değişik zaman dilimlerindeki, değişik yasalar altındaki bilgisayarları kontrol etmeyi sağlayan mekanizmalardır. Bu mekanizmalar botnetlerin izlerini sürmeyi zorlaştırdığı için onları bilişim suçları için çekici bir araç haline getirmektedir. Önceki nesil virüs ve kurtçuklarda olduğu gibi botnetler de kendi kendilerine açıklık içeren bilgisayarlara bulaşarak yayılan zararlı yazılımlardır. Buna karşın botnetleri diğerlerinden ayıran özellik C&C merkezi ile haberleşerek, kendilerini güncelleyebilmeleri ve yönetilebilmeleridir. Çok katmanlı komuta kontrol yapısı botnet yöneticilerini gizleyen yapılar sunmaktadır. Botnetler C&C merkezlerine göre IRC tabanlı, http tabanlı, P2P (Point To Point) tabanlı ve DNS tabanlı olmak üzere dört kategoride değerlendirilmektedir [2,4,5,6]. 496 Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri 2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya Tipik bir botnetin yaşam döngüsü, enfeksiyon, bilgi çalma, bağlantıyı sürdürme, zararlı faaliyetleri yerine getirme, enfekte etme ve botnet oluşturma olmak üzere beş fazdan oluşur. Şekil 2’de tipik bir botnet yaşam döngüsü görülmektedir Enfeksiyon fazında kurban bilgisayara botnet zararlı yazılımı bulaşır. İkinci fazda zararlı yazılım aracılığı ile bilgisayardaki önemli bilgiler (kredi kartı numarası, lisans anahtarları, kişisel bilgiler, parolalar vb.) C&C merkezine gönderilir: Üçüncü aşamada saldırgan C&C merkezinden aldığı komutlarla altağı bilinen açıklıklar için tarar ve açıklık bulduğu makineleri enfekte eder. Dördüncü aşamada C&C merkezinden gelen komutlarla istenilen zararlı faaliyetler yürütülür. Beşinci aşamada ise kendini günceller ve faaliyetlerine devam eder. Köle bilgisayar her başlatıldığında bot uygulaması otomatik olarak başlar ve çevrimdeki görevlerini yerine getirir[5,6,7 ]. Şekil 2. Botnet yaşam döngüsü Enfeksiyon fazından sonra botnet üyesi bilgisayar tüm faaliyetlerini C&C merkezinden gelen komutlarla yürütür. Bu arada aradaki haberleşmenin tespit edilmemesi için değişik güvenlik mekanizmaları (şifreli haberleşme, farklı protokol kullanma, farklı C&C merkezlerine bağlanma vb.) kullanır. 2. Botnet Tespit Yöntemleri Son yıllarda botnet tespiti üzerinde çok sayıda araştırma yapılmaktadır. Bu araştırmalarda botnetleri tespit etmek için temel iki yöntem kullanılmaktadır. Bir tanesi balküpleri (Honeypot) diğeri ise pasif trafik analizidir. Balküplerinin kullanılması botnet davranışları ve botnet teknolojilerinin anlaşılması için çok faydalı fakat botnet enfeksiyonunun tespiti için yeterli değildir. Diğer taraftan pasif ağ trafiğinin dinlenmesi ağdaki botnetlerin yakalanması için çok faydalıdır. Pasif ağ trafiğinde botnetlerin analizi için imza tabanlı, anormallik tabanlı, DNS trafiği temelli ve veri madenciliği temelli tespit olmak üzere dört metot ön plana çıkmaktadır. Bu metotların uygulanması ağlardaki gerçek botnetlerin tespit edilmesini sağlamaktadır. 2.1 İmza Tabanlı Tespit Botnetlerin davranış ve imzaları tespit edilmeleri için çok faydalı bilgiler sunmaktadır. Bu tür tespitlerde genellikle saldırı tespit sistemleri kullanılmaktadır. Bilinen botlar için saldırı tespit sistemine imza girilerek botnetlerin tespit edilmeleri sağlanmaktadır. Fakat bu yöntem bilinmeyen botnetlerin tespit edilmesinde etkisiz kalmaktadır. Çünkü botnet tespit edilip imza üretilinceye kadar önemli zararlar vermektedir. Son yıllarda birçok atağın doğrudan kişi ya da kurumu hedeflediği düşünüldüğünde bu yöntemin tek başına etkin koruma sağlamayacağı görülebilir. 2.2 Davranış Tabanlı Botnet Tespiti Davranış tabanlı botnet tespiti ağ trafiğindeki gecikme, belli porttan aşırı trafik, belli trafiklerin oluşması gibi anormalliklere bakarak botneti tespit etmeye çalışır[8]. Davranış tabanlı botnet henüz ortaya çıkmamış botneti tespit etmesine karşın hatalı tespit oranı da yüksektir. Örneğin normal bir IRC trafiğini botnet gibi algılayabilir. Bunun için Binkley ve Singh IRC trafiğinde botneti başarılı olarak tespit eden bir algoritma geliştirmişlerdir [13]. 497 Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum Mehmet Kara, Necati E. Şişeci 498 Zararlı Yazılım İstenmeyen Eposta Oltalama Bot Atak Kaynağı 1 1 China 8% 9% 3 8 6 2 2 Brazil 6% 4% 5 1 12 3 6 Germany 5% 6% 21 7 2 5 3 India 4% 3% 2 3 21 20 18 United Kingdom 3% 5% 4 19 7 14 3% 2% 12 2 5 19 10 3% 3% 23 4 8 8 17 3% 3% 16 9 18 6 8 3% 4% 14 11 11 7 9 United States 2 2 3 5 4 3 5 11 6 4 7 12 8 10 9 7 10 6 2008 1 2009 6 Ülke 1 1 3. Dünyada ve Türkiye’deki Durum Botneler ilk görülmeye başladığı günden bu tarafa zararlı yazılımlara paralel olarak hızla 19% 23% 1 Poland Russia Bu konuda IRC trafiği başta olmak üzere birçok çalışma yapılmıştır. Masud ve arkadaşları tarafından geliştirilen yöntem ağ trafiği kayıtlarının ilişkilendirmeye (kolerasyona) tabi tutularak botnetlerin tespit edilmesi sağlanmıştır[10]. Bu yöntemde veri kısmıyla ilgilenilmediği için C&C ile şifreli haberleşen botnetlerin bile tespit edilmesi sağlanmıştır. Botminer aracı bu konuda geliştirilmiş başarılı sonuçlar üreten araçlardan biridir [11]. 2009 Aktivite Sıralaması Yüzde Italy 2.4 Veri Madenciliği Tabalı Tespit Botnet tespitinde önemli tekniklerden biri botnet ve C&C merkezi arasında trafiğin tespit edilmesidir. Botnet ve C&C arasındaki trafik hem limiti düşük hem gecikmesi düşük normal trafiktir bu yüzde davranış tabanlı botnet tespit yöntemleriyle kolayca tespit edilemezler. Sıralama Spain 2.3 DNS Tabanlı Tespit Bu yöntemde DNS (Domain Name System) trafiği incelenerek davranış tabanlıda olduğu gibi DNS trafiğindeki anormalliklerden botnetler tespit edilir. Botnet C&C merkezi ile bağlantı kurmak için sık sık DNS ile haberleşir. C&C merkezinin kolayca tespit edilmesini önlemek için DNS’ten faydalanılır. DNS trafiğindeki bu anormal değişikliklerde botnetin tespit edilmesinde önemli veri sağlar. 2008 Bu tür yaklaşımda trafik çok iyi incelenmeli, kurum politikaları ve trafik arasındaki ilişki incelenmelidir. Botnet olduğu düşünülen aktivite tespit edildikten sonra trafik üzerinde ek incelemeler yapıldıktan sonra kesin karar verilmelidir. Bu tespit yönteminde yanlış alarm olasılığı yüksektir. artmaktadır. Özellikle geniş kitleleri hedef almaları, etkilerinin çok yüksel olması ve yönetilebilir olmalarından dolayı bilgisayar korsanları tarafından tercih edilmektedir. Bu esnek yapı finansal sahtecilik, bilgisayarlara yasal olmayan yollarla girme, hırsızlık, korkutma gibi çok çeşitli bilgisayar suçlarının kolayca işlenmesine altyapı oluşturmaktadır. Şekil 3’te botnetlerin zararlı yazılımlar içerisinde önemli bir yer tuttuğu görülmektedir. Hatta botnetler bu zararlı yazılımları kullanarak köle bilgisayarlardan bilgi toplamakta ya da onlar üzerinde işlem yapmaktadır. 2009 2007 yılında Karasiridis ve arkadaşları taşıma katmanındaki trafik davranışlarına bakarak botneleri tespit eden etkili bir algoritma geliştirmişlerdir [9] 4 Şekil 3. Botnetlerin zararlı yazılımlar içindeki yeri Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri 2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya Bu listede Türkiye 12. sırada yer almaktadır. 2008 yılının raporlarında ise ilk onun içerisinde yer alıyordu. Türkiye’nin bu listede biraz daha gerilere düşmesinin ardında İSS’lerde (İnternet Servis Sağlayıcı)eposta için kullanılan 25 numaralı port yerine daha güvenli olan 587 numaralı portun kullanılmaya başlaması ve Polonya, Rusya ve Hindistan’daki zararlı yazılımların hızlı artmasıdır. Gerçekte Türkiye’deki zararlı yazılımların önlenmesinde önemli mesafeler alınmış değildir[3]. Sıralama Ülke Yüzde Zararlı Yazılım İstenmeyen Eposta Oltalama Bot Atak Kaynağı Avrupa, Orta Doğu ve Afrika (EMEA) zararlı yazılım istatistiklerine bakıldığında Türkiye’nin üst sıralarda yer aldığı görülmektedir [12]. Bu durum Şekil 4’de verilmiştir. 1 Germany 15% 3 2 1 1 4 2 United Kingdom 13% 1 3 2 5 1 3 Italy 9% 7 5 6 2 3 4 Russia 8% 4 4 5 9 2 5 Netherlands 7% 9 1 4 12 12 6 France 6% 5 12 3 7 7 Poland 6% 8 9 7 4 7 Spain 6% 6 7 8 6 6 9 Turkey 5% 2 16 15 8 8 10 Hungary 3% 26 17 16 3 13 11 Eylül 2001’de ikiz kulelere yapılan saldırıdan sonra başta ABD olmak üzere Avrupa Birliği, Japonya, Kanada gibi ülkeler siber savunmayı da içeren güvenlik önlemleri için çalışmalar başlatmışlardır. Siber saldırılarda botnetler en sık kullanılan saldırı aracıdır. Bu konuda gerekli yasal düzenlemeler, ilgili kurumların oluşturulması, stratejilerin belirlenmesi konularında önemli mesafeler alınmıştır. NATO, OECD gibi organizasyonlar da bu konularda çalışmalar yapmaktadır. Türkiye de botnetlerin önlenmesi konusunun da içinde yer aldığı zararlı yazılımlara ya da dışarıdan gelebilecek siber ataklara karşı önlem alınması için bazı çalışmalar başlatılmıştır. NATO tarafından Estonya’da kurulan Siber Savunma Mükemmeliyet Merkezi’ne ülkelerin temas noktası bildirilmesi istenmiştir. Dışişleri Bakanlığı şu anda ülkemizdeki Bilgisayar Olaylarına Müdahale ekiplerinin (CERT) koordinasyonunu yapan BİLGEMUEKAE’yi ulusal temas noktası olarak belirmiştir. Yine NATO tarafından istenilen Ulusal Sayısal Savunma Politikası’nı hazırlama görevi UEKAE’ye verilmiştir. Söz konusu politika dokümanı UEKAE’nin koordinasyonunda 19 adet kamu kurumunun katılımıyla hazırlayıp Ocak 2009’da Başbakanlığa teslim edilmiştir. Hali hazırda belgenin onaylanması beklenmektedir. 5 8 ise hedef olan ülkeler ya da kurumlar prestij kaygısı ile bu atakları doğrulamamışlardır. Şekil 4. 2010 yılı Avrupa Orta Doğu ve Afrika bölgesi zararlı yazılım istatistikleri Botnetler son yıllarda özellikle siber savaşların en önemli aracı olarak değerlendirilmektedir. Bu çerçevede 2007 yılında Estonya’ya yapılan siber savaşta ve 2008 yılında Gürcistan-Rusya savaşında kullanılmıştır. Zaman zaman ülkeler ve kurumlar için bu tür atakların yapıldığı ileri sürülse de bazılarında botnetlerin doğası gereği yeterince delil ortaya konulmamış, bazıların da Ülkemizde kritik altyapılar ile ilgili daha yakın bir gelişme 2009 Sonbaharı’nda gerçekleşmiştir. Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen 3 Mart 2009 tarihinde başlayan e-Mevzuat Çalışma grubu, 7 Ağustos 2009 tarihi itibarıyla “e-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı”nı hazırlamıştır. Bu da hali hazırda yasalaşmamıştır. Bu resmi çalışmalar dışında birçok kurum kendi içerisinde BT sistemlerinin güvenliği için 499 Botnetlerle Mücadelede Dünyadaki ve Türkiye’deki Durum Mehmet Kara, Necati E. Şişeci standart, politika, prosedür uygulamaktadır. Başbakanlık, BDDK, BTK, EPDK gibi kurumlar düzenleme ve denetimlerini yaptıkları kurumlar için çeşitli düzenlemeler getirmektedir. Fakat bunların ötesinde ülkedeki BT sistemlerinin güvenliğinin sağlanması için bütüncül bir bakış açısı ve ülke genelinde bu olayları ele alıp yönetecek düzenlemelere ihtiyaç vardır. • 4. Botnet Önleme Yöntemleri • Botnetler karşı etkin bir mücadele için teknik önleme yöntemlerinin yanında ulusal ve uluslar arası politikalar oluşturulup BT sistemlerinde güvenliği sağlayacak standart ve çerçevelerin kullanılması sağlanmalı, hali hazırdakiler yeterli değilse yeni standart ve çerçeveler geliştirilmelidir. Bu güvenlik standartları belli düzenlemelerle tüm kurumlara uygulanmalı ve ülkedeki bilgi güvenliği olayları koordine edilmelidir. Zararlı yazılmalarla mücadelede ülke için mücadele yanında uluslararası koordinasyon da büyük önem arz etmektedir. Bunun için de ülkedeki bilgisayar olaylarını ele alacak dış ülkelerle koordinasyonu sağlayacak BOME ekipleri kurularak uluslararası koordinasyon sağlanmalıdır. Ulusal ve uluslar arası koordinasyon yanında botnetlerle etkin mücadele için kurumsal düzeyde aşağıdaki güvenlik önlemleri alınmalıdır: • • • • Kurumlar kendi içlerinde bilgisayar olaylarına müdahale mekanizmasını kurarak bilgisayar olayı olduğunda kolayca müdahale edilmesini sağlamalıdır. Kullanıcılar bilgisayar teknolojileri güvenliği konularında sürekli bilinçlendirilmelidir. Derinlemesine güvenlik stratejisi uygulanmalıdır. Bu yüzden tek nokta hataları giderilmeli sistemdeki güvenlik varlıklarının (işletim sistemleri, sunucular, güvenlik duvarları, saldırı tespit sistemleri, vb.) güncellikleri ve güvenli yapılandırılmaları sürekli kontrol edilmelidir. İstenmeyen epostaları engellemek için DNS karalisteleri kullanılmalıdır. • • • Sistem yöneticileri kullanıcıların sistem üzerindeki haklarını sadece işlerini yapabilecek düzeye çekmelidir. Etkin bir parola politikası uygulanmalıdır. Ağdan içeri giren ve dışarı çıkan trafik etkin filtreleme araçları ile kontrol edilmeli, yetkilerin aşılması ya da zararlı aktivitelere karşı sistem kayıtları düzenli olarak incelenmelidir. Eposta sunucular, kurum içinden gelen fakat kaynağı başka yer olarak gözüken epostaları engelleyecek şekilde yapılandırılmalıdır. Eposta sunucu yaygın olarak virüs yaymak için kullanılan uzantıları (exe, vbs, bat, pif, src)içeren epostaları engelleyecek şekilde yapılandırılmalıdır. 5. Sonuç ve Öneriler Botnetler, siber ataklar, finansal sahtecilik, servis dışı bırakma atakları, bilgisayarlara yasal olmayan yollarla girme, bilgi hırsızlığı, korkutma gibi çok çeşitli bilgisayar suçlarının kolayca işlenmesine altyapı oluşturmaktadır. Botnetler kullanılarak yapılan ataklar kişileri ve kurumları hedef almaları yanında ülkeleri de hedef alabilmektedir. Bu yönüyle bakıldığında botnetlerle mücadelede kişilerin ve kurumların aldığı güvenlik önlemlerinin yanında ulusal ve uluslar arası düzenleme ve koordinasyona ihtiyaç duyulmaktadır. Bu konuda birçok ülke çalışmalar başlatmıştır. Türkiye’de kurumsal bazda kısıtlı bazı koruma önlemeleri alınmasına karşın ulusal düzeyde koruma sağlayacak yasal bir düzenleme ve denetleme mekanizması bulunmamaktadır. Gerekli yasal düzenlemeler ve kurumsal güvenlik önlemleri yanında botnet gibi organize atakları gözetleyecek, tespit edip önleyecek ulusal düzeyde altyapılar kurulmalıdır. 5. Kaynaklar [1] Rachreiner C., Pinzon S., “Understanding and Blocking The New Botnets” www.watchguard.com, (2008). 500 Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri 2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya [2] Zorz Z., http://www.net-security.org/ secworld.php?id=8599, (2009) [3] Symantec Global Internet Security Threat Report Trends For 2009, Symantec, (2010) [4] Microsoft Security Intelligence Report v9, http://www.microsoft.com/security/sir,(2010) [5] M. Rajab, J. Zarfoss, F. Monrose, and A. Terzis, “A multifaceted approach to understanding the botnet phenomenon,” in Proc. 6th ACM SIGCOMM Conference on Internet Measurement (IMC’06), (2006), pp.41–52. [6] Z. Zhu, G. Lu, Y. Chen, Z. J. Fu, P.Roberts, K. Han, “Botnet Research Survey,” in Proc. 32nd Annual IEEE International Conference on Computer Software and Applications (COMPSAC ‘08), 2008, pp.967-972. [7] K. K. R. Choo, “Zombies and Botnets,” Trends and issues in crime and criminal justice, no. 333, Australian Institute of Criminology, Canberra, (2007). [9] A. Karasaridis, B. Rexroad, and D. Hoeflin, “Wide-scale botnet detection and characterization,” in Proc. 1st Workshop on Hot Topics in Understanding Botnets, (2007). [10] M. M. Masud, T. Al-khateeb, L. Khan, B. Thuraisingham, K. W.Hamlen, “ Flow-based identification of botnet traffic by mining multiple log file,” in Proc. International Conference on Distributed Frameworks & Applications (DFMA), Penang, Malaysia, (2008). [11] G. Gu, R. Perdisci, J. Zhang, and W. Lee, “Botminer: Clustering analysis of network traffic for protocol- and structure independent botnet detection,” in Proc. 17th USENIX Security Symposium, 2008 [12] Symantec Intelligence Quarterly-EMEA, Haziran-Eylül 2010, (2010) [13] J.R. Binkley and S.Singh, “An algorithm for anomaly-based botnet detection,” in Proc. USENIX Steps to Reducing Unwanted Traffic on the Internet Workshop SRUTI’06), (2006). [8] B. Saha and A, Gairola, “Botnet: An overview,” CERT-In White PaperCIWP-2005-05, (2005) 501