Cách tiếp cận Bayesian sử dụng một mạng Nạve Bayes để phân loại các phiên HTTP của nhật ký truy cập máy chủ Web do con người hay crawler tạo ra[16]. Mạng Bayesian kết hợp các phần khác nhau của dấu hiệu được thể hiện trên nhật ký truy cập để phân biệt lưu lượng HTTP của con người hay của crawler.
Thuật tốn của hệ thống phát hiện Bot dựa trên phương pháp tiếp cận Bayesian:
– Phân tích nhật ký truy cập và xác thực phiên.
– Các đặc điểm của phiên được lựa chọn để sử dụng như các biến trong mạng Bayesian.
– Xây dựng cấu trúc mạng Bayesian.
– Learning:
(a) Gán nhãn tập hợp các mẫu huấn luyện. Tại bước này, các phiên được phân loại thành hai lớp (phiên cĩ nguồn gốc từ crawler và phiên cĩ nguồn gốc từ human), mỗi lớp là một tập hợp các mẫu huấn luyện.
(b) Học các thơng số cần thiết của mạng Bayesian bằng cách sử dụng tập hợp mẫu huấn luyện được lấy từ bước (a).
(c) Xác định số lượng mạng Bayesian bằng cách sử dụng các thơng số học.
– Phân loại: chúng ta trích xuất các đặc trưng của mỗi phiên và sử dụng các đặc trưng đĩ như là dấu hiệu để chèn vào mơ hình mạng Bayesian.
Giả sử cĩ ít nhất một Bot trong Botnet được biết đến, bằng cách sử dụng phương pháp tiếp cận Bayesian, chúng ta tìm các máy chủ khác với lưu lượng DNS tương tự. Từ đĩ cĩ thể thu thập được lưu lượng DNS của máy chủ bị nhiễm.
3.1.10BloBot
BloBot là một cơng cụ để phát hiện Botnet thời gian thực về phía người sử dụng. Lọc kết nối người dùng ra ngồi. BLOBOT phân tích lưu lượng sinh ra từ người dùng đơn, cố gắng phát hiện bất thường cho thấy sự hiện diện của Botnet. BloBot phát hiện được cả mạng chỉ huy và điều khiển dựa trên HTTP và IRC. Giảm hàng loạt lưu lượng truy cập cụ thể và thực sự hiệu quả phát hiện Botnet trong thời gian thực.
Truy vết từ máy tính nạn nhân đến Bot và từ Bot đến máy chủ chỉ huy và kiểm sốt. Đánh giá tỉ lệ truy vết thành cơng của Bot xử lý trên máy tính cá nhân bị xâm nhập. Thu thập hồ sơ truy cập của Bot và mơ tả cấu trúc liên kết Botnet cho thấy các máy chủ chỉ huy và kiểm sốt đang hoạt động.