بات نت (botnet) کلمه ای است که معرف شبکه ای از بات ها است. بات (bot) به کامپیوترهایی اشاره می کند که می توانند توسط یک یا چند منبع خارجی کنترل شوند. یک فرد مهاجم معمولا کنترل کامپیوتر را با ضربه زدن به آن کامپیوتر توسط یک ویروس یا یک کد مخرب ( تروجان یا کرم ) بدست می آورد و به این وسیله دسترسی فرد مهاجم به سیستم آسیب دیده فراهم می شود. بات نت ها معمولا برای هدایت فعالیتهای مختلفی مورد استفاده قرار می-گیرند, این فعالیتها می تواند شامل: حملات انکار سرویس توزیع شده، هرزنامه، ابزار جاسوسی وغیره باشد. بیشتر بات نت ها مبتنی بر irc (internet relay chat) هستند، که معماری متمرکزی دارند و بسیار بزرگ هستند، که این دو ویژگی کشف این نوع بات نت را تسهیل می کنند. در سال های اخیر تعداد زیادی روش برای تشخیص بات نت های مبتنی بر irc پیشنهاد شده اند، به همین خاطر طراحان بات نت سعی کرده اند امکانات جدیدی به این نوع حمله اضافه کنند، که مهمترین این امکانات، معماری غیر متمرکز آن می باشد. و در سال 2007 توانستند با استفاده از پروتکل های شبکه ی نظیر به نظیر (peer to peer) یک شبکه از بات ها معرفی کنند، که نه تنها برای افزایش سرعت انتشار بات ها استفاده می شود، بلکه برای ساخت بات نت ها با توان بیشتر هم مورد استفاده قرار می گیرد. هر بات در این نوع شبکه می تواند نقش فرماندهی وکنترل داشته باشد، بنابراین حمله کننده با برقراری ارتباط با شبکه بات نت به عنوان یک همکار فرمان خود را به بقیه بات ها ارسال می کند. سپس عمل فرماندهی و کنترل توسط چندین بات انجام می شود. در نتیجه کشف آنها سخت خواهد شد. استفاده از پروتکل شبکه های نظیر به نظیر باعث می شود که جریان ارتباطی بات ها بین هم شباهت زیادی با جریان ارتباطی شبکه های نظیر به نظیر داشته باشد. علاوه بر آن ارسال فرمان از یک سرور خاص انجام نخواهد شد بلکه همه بات ها می توانند در ارسال فرمان شرکت کنند و بالطبع مشکل بات نت های مبتنی بر irc را نخواهند داشت. در این پژوهش سعی شده است جریان ارتباطی بات نت ها را از بقیه جریان های اینترنت تفکیک کنیم، وبرای این کار یک سیستم دو مرحله ای طراحی شده است، در مرحله ای اول جریان بات نت و شبکه های نظیر به نظیر را که با هم شباهت زیادی دارند، از بقیه جریان های اینترنت (http, ftp, telnet, …) با استفاده از الگوریتم های دسته بندی تفکیک کردیم که الگوریتم درخت تصمیم، بهترین نتیجه را داشت و دقت آن 99.2 % بود. در مرحله ی دوم به روش تشخیص ناهنجاری عمل کردیم، و برای جریان مربوط به شبکه های نظیر به نظیر یک مدل ساخته شد و هر جریانی که از این مدل پیروی نمی کند، به عنوان جریان بات محسوب می شود. مدل جریان شبکه های نظیر به نظیر با استفاده از دو روش gmm و ocsvm ساخته شده است. نتیجه نشان دهنده این است که الگوریتم gmm از دقت بیشتری برخوردار است و دقت تشخیص آن حدود 98.1% با 0.011 نرخ مثبت کاذب (fp) می باشد، در حالی که دقت ساخت مدل با ocsvm ( one class svm)، 96.3% بود، و نرخ مثبت کاذب مساوی با 0.056 می باشد. در این پژوهش بر خلاف پژوهش های قبلی که باید منتظر حمله بات بود تا بتوان از جریان ارتباطی وجریان حمله، بات ها را تشخیص داد، ما فقط از جریان ارتباطی بات ها با هم و با تعریف خصیصه های موثر که هزینه بار محاسباتی را کم می کند، استفاده کردیم. خصیصه های مورد نظر در هر دو مرحله، با استفاده از چندین الگوریتم انتخاب خصیصه، و با عمل اشتراک بین خروجی این الگوریتم ها، استخراج شد. در این پژوهش برای ارزیابی روش پیشنهادی، از سه نوع بات نت مبتنی بر p2p (,waledac storm, confiker c) و از سه نوع شبکه نظیر به نظیر که بیشتر برای به اشتراک گذاشتن فایل مورد استفاده قرار می گیرند ، استفاده شده است.