امروزه از مهمترین تهدیدات در فضای اینترنت و شبکه botnet ها می باشند. botnet شبکه ای از کامپیوترهای آلوده متصل به اینترنت است که تحت کنترل سرورهای c&c قرار دارند و برای حملاتی همچون dos و spam و برخی از سایر حملات دیگر مورد استفاده قرار می گیرند. در botnet ها هر bot به رایانه هایی اشاره می کند که می توانند توسط یک یا چند منبع خارجی کنترل شوند. botnet ها با شناسایی سیستم های آسیب پذیر دیگر موجود در شبکه حوزه فعالیتی خود را گسترش می دهد. کامپیوترهایی که به عنوان bot شناخته می شوند تحت کنترل یک مجموعه دستورات هستند که از طریق نرم افزاری که تعمدا یا ناآگاهانه نصب شده است، مدیریت شده و تغییر می کنند. یکی از مشخصه های بارز و شاخص یک bot، توانایی کنترل از راه دور آن بوسیله کانالهای مربوطه است. معمولا bot دستورات را از سرویس دهنده bot دریافت و بعد از اجرای آن، گزارشی را به سرور مربوطه ارسال می کند. همه ارتباطات با سرویس دهنده bot و خود bot با استفاده از یک پروتکل کنترل و دستورات روی یک کانال خاص به نام کانال کنترل و دستور صورت می گیرد. اندازه و سایز یک شبکه botnet به پیچیدگی و تعداد کامپیوترهای آن بستگی دارد. تکنولوژیهای ایجاد و گسترش botnet همواره در حال پیشرفت می باشند. یکی از جدیدترین و کارآمدترین روشها برای شناسایی و تشخیص botnet تحلیل و آنالیز خصوصیات ترافیک شبکه می باشد. تجزیه و تحلیل ترافیک شبکه ما را در شناسایی بهتر و بیشتر botnet ها یاری می کند. اما بررسی کل ترافیک یک شبکه با توجه به حجم بسیار بالای نقل و انتقال داده ها کاری بسیار پیچیده و زمانبر می باشد و همچنین نیازمند سیستمهای قدرتمند برای تحلیل و پردازش می باشد. با توجه به این مطلب ما تحلیل و پردازش کلی را محدود به تحلیل و پردازش سرویسهای مهم و تاثیر گذار شبکه می نماییم. یکی از این سرویسها، سرویس dns می باشد. با بررسی این سرویس سرعت شناسایی سریعتر و در ضمن آن حجم عملیات پردازشی کاهش پیدا می کند البته طبیعیست که ممکن است ما دقت را اندکی از دست دهیم. با توجه به اینکه هر فرایند نقل و انتقال داده در شبکه روی سرویس dns تا حدودی اثر گذار است لذا پیش بینی می کنیم که کاهش دقت بسیار کم و در حد قابل قبولی باشد. در این رساله با استفاده از آنالیز و تحلیل ترافیک شبکه فقط بر اساس سرویس و پروتکل dns و سپس با استفاده از روشهای داده کاوی، اختصاصا روش خوشه بندی سلسله مراتبی روی جریانهای c&c بر روی ترافیک dns اقدامات لازم برای برای شناسایی و تشخیص کانالهای ارتباطی c&c صورت می گیرد.