通常最大的威脅通常是你沒有看到的。如果入侵檢測(cè)系統(tǒng)是安靜的，似乎一切看起來(lái)都很好，也許最聰明的對(duì)手僅僅是在雷達(dá)下工作，可能使用一個(gè)他們喜歡的工具：僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)，通常用于營(yíng)利的機(jī)構(gòu)，包括數(shù)千臺(tái)在一位隱蔽的僵尸網(wǎng)絡(luò)操作員控制下運(yùn)行著惡意代碼的電腦；打開中毒的電子郵件或者訪問載有惡意代碼的中毒網(wǎng)頁(yè)，都可能引發(fā)bot感染。

這就是為什么創(chuàng)建了BotHunter。SRI國(guó)際實(shí)驗(yàn)室，也是陸軍研究辦公室和國(guó)家科學(xué)基金會(huì)，在這里，BotHunter被用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)上隱身的僵尸網(wǎng)絡(luò)活動(dòng)。 BotHunter試圖通過(guò)收集世界各地用來(lái)尋找有意義的bot活動(dòng)簽名的大量傳感器信息來(lái)發(fā)現(xiàn)受感染的機(jī)器。

BotHunter利用專門的惡意數(shù)據(jù)包傳感器，用于尋找掃描、開發(fā)模式、代碼下載，bot協(xié)調(diào)通信和對(duì)外攻擊發(fā)射。通過(guò)比較這些已知僵尸網(wǎng)絡(luò)通信模式和可信任的網(wǎng)絡(luò)下的通信流量，當(dāng)BotHunter檢測(cè)到可疑的僵尸網(wǎng)絡(luò)活動(dòng)時(shí)它可以提醒用戶。

BotHunter不同于傳統(tǒng)IDS，是由于它“基于對(duì)話框的感染”檢測(cè)活動(dòng)：僵尸網(wǎng)絡(luò)通信模式的命令和控制。雖然沒有觸發(fā)病毒，但是當(dāng)一臺(tái)計(jì)算機(jī)正設(shè)法聯(lián)絡(luò)幾個(gè)電子郵件服務(wù)器和UDP流量流向那些已知的屬于一個(gè)俄羅斯犯罪網(wǎng)絡(luò)用BotHunter監(jiān)控的計(jì)算機(jī)時(shí)，BotHunter將會(huì)發(fā)出警告。 BotHunter使用此信息來(lái)分配事件比分;顯示控制臺(tái)記錄了可用于法庭的證據(jù)，列出了受感染的機(jī)器、僵尸網(wǎng)絡(luò)控制服務(wù)器、惡意代碼下載服務(wù)器和掃描出的新感染的機(jī)器。

BotHunter是免費(fèi)的，但源代碼封閉。它可用于Windows，Linux和Mac平臺(tái)。在安裝過(guò)程中，BotHunter需要輸入信任網(wǎng)絡(luò)的IP地址范圍，SMPT服務(wù)器和DNS服務(wù)器。一旦安裝，BotHunter檢查通過(guò)你指定的NIC的通信。大多是被動(dòng)監(jiān)聽，但BotHunter時(shí)不時(shí)會(huì)啟動(dòng)出站通信來(lái)自動(dòng)化SRI提供的威脅服務(wù)。

BotHunter也更新僵尸網(wǎng)絡(luò)命令和控制的黑名單，惡意DNS名單和新的惡意檢測(cè)規(guī)則。這使得BotHunter保持最新的僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù)器的檢測(cè)、惡意軟件帶來(lái)的DNS查找、壞服務(wù)器地址和惡意后門控制端口的意識(shí)。 BotHunter匿名發(fā)送檢測(cè)到的僵尸網(wǎng)絡(luò)活動(dòng)、惡意軟件下載網(wǎng)站、利用的服務(wù)器和檢測(cè)模式的數(shù)據(jù)，但它不會(huì)報(bào)告任何您信息網(wǎng)絡(luò)里的IP地址。SRI規(guī)定無(wú)論他們或其分支機(jī)構(gòu)都不會(huì)跟蹤特定的網(wǎng)絡(luò)信息。

BotHunter是世界上為數(shù)不多的可以幫助發(fā)現(xiàn)在網(wǎng)絡(luò)運(yùn)行僵尸網(wǎng)絡(luò)的工具之一。它的分布式智能模型和操作的方便性，應(yīng)進(jìn)入更多人的手中，這將有助于檢測(cè)和打擊那些龐大的計(jì)算機(jī)犯罪企業(yè)困擾互聯(lián)網(wǎng)。