روتبن: تشخیص ترافیک فرمان و کنترل بات های همتابه همتا با ترکیب اطلاعات میزبان و شبکه

در شبکه های بات همتابه همتا هر یک از بات ها می توانند کارفرما یا کارگزار باشند. این ویژگی دو مزیت برای این نوع از شبکه هایبات دارد: 1. برخلاف سایر شبکه های بات، نقطه شکست مرکزی ندارند 2. ترافیک آنها مشابه ترافیک همتابه همتا عادی است. در اینمقاله، روتبن به عنوان یک روش تشخیص ترکیبی (ترکیب اطلاعات پردازه های درون میزبان و ترافیک شبکه آن) برای تشخیصبات های همتابه همتا معرفی شده است. روتبن که بهبودی بر روی روش CoCoSpot است، ابتدا اطلاعات پردازه های روی میزبان و ترافیک شبکه آن را با یکدیگر همبسته سازی می کند. سپس با استفاده از ویژگی های میانگین، واریانس و ضریب تغییرات اندازه هشت بسته اول جریان های شبکه هر پردازه، ترافیک فرمان و کنترل بات های همتابه همتا را تشخیص می دهد. CoCoSpot تنها از ویژگی اندازه بسته استفاده می کند در حالیکه روتبن با استفاده از سه ویژگی میانگین، واریانس و ضریب تغییرات اندازه بستهتوانسته ناتوانی CoCoSpot در برابر تشخیص بات هایی مانند zeus و kelihos که اندازه بسته آنها متغیر است را حل کند. آزمایش ها نشان داد روتبن قادر است بات های همتابه همتا را با نرخ تشخیص 99/49 درصد و با خطای 0/14 تشخیص دهد.