Supponiamo che una botnet stia attaccando un sito Web da HTTP GET flooding. Per trovare i bot, l'unico modo sembra trovare le somiglianze delle richieste HTTP GET considerando i campi dell'URL e dell'intestazione, poiché le richieste vengono inviate da qualche script. È vero? L'URL potrebbe essere creato dal bot per contenere alcuni parametri con campi casuali. Le intestazioni sono: HOST, Referer, User-Agent, Accept, ...
Questa idea di misura della similarità funziona?