METHOD AND SYSTEM FOR DETECTING BOT BEHAVIOR

A bot detection engine to determine whether hosts in an organization's network are performing bot-related activities is disclosed. A bot detection engine can receive network traffic between hosts in a network, and/or between hosts across several networks. The bot engine may parse the network traffic into session datasets and discard the session datasets that were not initiated by hosts in a given network. The session datasets may be analyzed and state data may be accumulated. The state data may correspond to actions performed by the hosts, such as requesting a website or clicking ads, or requesting content within the website (e.g. clicking on a image which forms a HTTP request/response transaction for the image file). L'invention concerne un moteur de détection de maître de réseau de zombies permettant de déterminer si des hôtes d'un réseau d'une organisation effectuent des activités en rapport avec un maître de réseau de zombies. Un moteur de détection de maître de réseau de zombies peut recevoir un trafic de réseau entre des hôtes d'un réseau et/ou entre des hôtes de plusieurs réseaux. Le moteur de maître de réseau de zombies peut analyser le trafic du réseau dans des ensembles de données de session et abandonner les ensembles de données de sessions qui ont été déclenchés par des hôtes dans un réseau donné. Les ensembles de données de session peuvent être analysés et des données d'état peuvent être accumulées. Les données d'état correspondent aux actions effectuées par les hôtes, telles que demander un site web ou cliquer sur des publicités ou demander un contenu dans le site Web (par exemple, cliquer sur une image qui forme une transaction de demande/réponse HTTP du fichier d'images).