روتبن: تشخيص ترافيك فرمان و كنترل بات هاي نظير به نظير با تركيب اطلاعات ميزبان و شبكه

هر كدام از بات هاي عضو شبكه بات نظير به نظير مي توانند كارفرما يا كارگزار باشند. اين قابليت دو مزيت براي آنها دارد. 1. بر خلاف ساير شبكه هاي بات، نقطه شكست مركزي ندارند 2. شباهت آنها به ترافيك نظير به نظير نرمال. در اين مقاله، روتبن به عنوان روش تشخيص تركيبي ( تركيب اطلاعات درون ميزبان و ترافيك شبكه آن) براي تشخيص بات هاي نظير به نظير معرفي شده است. روتبن ابتدا پردازش ها و ترافيك شبكه ميزبان را با يكديگر همبسته سازي مي كند. سپس با استفاده از هشت بسته اول جريان هاي شبكه هر پردازش، ترافيك كنترل و فرمان بات هاي نظير به نظير را تشخيص مي دهد. ويژگي هشت بسته در cocospot معرفي شده است. ما اين ويژگي را به گونه اي تغيير داديم كه در برابر تغييرات اندازه بسته مقاوم باشد و آنرا در روتبن پياده سازي كرديم. با آزمايش روتبن روي نمونه هاي مختلف زئوس و kelihos نرخ تشخيص 99.86 درصد با خطاي 0.14 به دست آمد. در حالي كه Cocospot قادر به تشخيص اين دو خانواده بات نيست.