میزبان های آلوده به بات در یک بات نت به خاطر از پیش کد شدن، رفتار ترافیکی مشابهی را از خود نشان  می دهند. در روش های شناسایی مبتنی بر تجزیه و تحلیل رفتار ترافیک از این ایده استفاده می شود که بات ها درون یک بات نت معمولا رفتار ترافیکی یکنواختی دارند و الگوهای ترافیکی خاصی را به منظور برقراری ارتباط در شبکه از خود نشان می دهند. این روش ها با استخراج ویژگی های مختلفی که در ترافیک شبکه رخ می دهد، مانند اندازه بسته، مدت زمان جریان و غیره، رفتارها و الگوهای ترافیکی بات نت ها را مشخص کرده و ترافیک آنها را از ترافیک عادی شبکه متمایز می سازند. مزیت روش های شناسایی مبتنی بر تجزیه و تحلیل رفتار ترافیک در این است که به محتوای بسته های ترافیک وابسته نیستند و می توانند بات نت های با ترافیک رمزگذاری شده را شناسایی کنند. همچنین، اطلاعات مربوط به ترافیک شبکه معمولا می تواند به راحتی از دستگاه های مختلف شبکه بازیابی شود، بدون این که تاثیر قابل توجهی بر عملکرد شبکه یا دسترسی خدمات داشته باشد. ویژگی ها می توانند بر اساس خصوصیات میزبان ها و یا جریان های ترافیک شبکه باشند و به دو دسته ویژگی های مبتنی بر میزبان و ویژگی های مبتنی بر جریان گروه بندی می شوند. 
- ویژگی های مبتنی بر میزبان: ویژگی هایی هستند که از الگوهای ارتباطی میزبان ها استخراج می شوند.  این ویژگی ها در ارتباطات بین یک میزبان و دیگر میزبان های شبکه رخ می دهند و برای شناسایی میزبان های با الگوهای ارتباطی مشترک، مفید هستند. استخراج ویژگی های مبتنی بر میزبان، نیازمند تجزیه و تحلیل هر بسته متعلق به یک میزبان خاص است و زمان زیادی را نسبت به استخراج ویژگی های مبتنی بر جریان صرف می کند.
- ویژگی های مبتنی بر جریان: ویژگی هایی هستند که از جریان های شبکه استخراج می شوند و برای نسبت دادن جریان های شبکه استخراج می شوند و برای نسبت دادن جریان های شبکه استخراج می شوند و برای نسبت دادن جریان ها به کلاس خاصی از ترافیک شبکه مثل ترافیک بات یا ترافیک غیر بات، مورد استفاده قرار می گیرند. استخراج ویژگی مبتنی بر جریان، زمان کمتری را نسبت به ویژگی های مبتنی بر میزبان صرف می کند، زیرا فضای تجزیه و تحلیل، فقط اطلاعات مربوط به جریان است.