通常最大的威脅通常是你沒有看到的。如果入侵檢測系統(tǒng)是安靜的，似乎一切看起來都很好，也許最聰明的對手僅僅是在雷達下工作，可能使用一個他們喜歡的工具：僵尸網(wǎng)絡。僵尸網(wǎng)絡，通常用于營利的機構，包括數(shù)千臺在一位隱蔽的僵尸網(wǎng)絡操作員控制下運行著惡意代碼的電腦；打開中毒的電子郵件或者訪問載有惡意代碼的中毒網(wǎng)頁，都可能引發(fā)bot感染。

這就是為什么創(chuàng)建了BotHunter。SRI國際實驗室，也是陸軍研究辦公室和國家科學基金會，在這里，BotHunter被用來發(fā)現(xiàn)網(wǎng)絡上隱身的僵尸網(wǎng)絡活動。 BotHunter試圖通過收集世界各地用來尋找有意義的bot活動簽名的大量傳感器信息來發(fā)現(xiàn)受感染的機器。

BotHunter利用專門的惡意數(shù)據(jù)包傳感器，用于尋找掃描、開發(fā)模式、代碼下載，bot協(xié)調通信和對外攻擊發(fā)射。通過比較這些已知僵尸網(wǎng)絡通信模式和可信任的網(wǎng)絡下的通信流量，當BotHunter檢測到可疑的僵尸網(wǎng)絡活動時它可以提醒用戶。

BotHunter不同于傳統(tǒng)IDS，是由于它“基于對話框的感染”檢測活動：僵尸網(wǎng)絡通信模式的命令和控制。雖然沒有觸發(fā)病毒，但是當一臺計算機正設法聯(lián)絡幾個電子郵件服務器和UDP流量流向那些已知的屬于一個俄羅斯犯罪網(wǎng)絡用BotHunter監(jiān)控的計算機時，BotHunter將會發(fā)出警告。 BotHunter使用此信息來分配事件比分;顯示控制臺記錄了可用于法庭的證據(jù)，列出了受感染的機器、僵尸網(wǎng)絡控制服務器、惡意代碼下載服務器和掃描出的新感染的機器。

BotHunter是免費的，但源代碼封閉。它可用于Windows，Linux和Mac平臺。在安裝過程中，BotHunter需要輸入信任網(wǎng)絡的IP地址范圍，SMPT服務器和DNS服務器。一旦安裝，BotHunter檢查通過你指定的NIC的通信。大多是被動監(jiān)聽，但BotHunter時不時會啟動出站通信來自動化SRI提供的威脅服務。

BotHunter也更新僵尸網(wǎng)絡命令和控制的黑名單，惡意DNS名單和新的惡意檢測規(guī)則。這使得BotHunter保持最新的僵尸網(wǎng)絡運營商的服務器的檢測、惡意軟件帶來的DNS查找、壞服務器地址和惡意后門控制端口的意識。 BotHunter匿名發(fā)送檢測到的僵尸網(wǎng)絡活動、惡意軟件下載網(wǎng)站、利用的服務器和檢測模式的數(shù)據(jù)，但它不會報告任何您信息網(wǎng)絡里的IP地址。SRI規(guī)定無論他們或其分支機構都不會跟蹤特定的網(wǎng)絡信息。

BotHunter是世界上為數(shù)不多的可以幫助發(fā)現(xiàn)在網(wǎng)絡運行僵尸網(wǎng)絡的工具之一。它的分布式智能模型和操作的方便性，應進入更多人的手中，這將有助于檢測和打擊那些龐大的計算機犯罪企業(yè)困擾互聯(lián)網(wǎng)。