传统安全软件通常只检查传入通信和下载恶意软件,这是一款免费的安全工具。相反,BotHunter将易受攻击的计算机与黑客之间的双向通信联系起来。 “BotHunter”通过关注出口来“颠覆安全范式”,SRI国际公司的一名计算机安全专家Phillip Porras说,“僵尸网络是受影响计算机的阴影网络。通常情况下,PC会通过电子邮件或访问受影响的Web站点感染恶意软件。感染可能会持续一段时间,然后才会呼叫指挥和控制服务器,该服务器可能会下载恶意软件,或将PC加入垃圾邮件活动或拒绝服务攻击。
使用BotHunter,网络管理员可以查看哪个系统在网络正在与未知的外部服务器通信,并迅速采取行动阻止它。 BotHunter会生成一份报告,列出导致其感染结论的所有相关事件和事件源。
[进一步阅读:如何从Windows PC删除恶意软件]
BotHunter - 一个由SRI International的Cyber-Threat Analytics项目发展而来的应用程序 - 与传统入侵检测系统通过保持PC感染恶意软件时通常发生的数据交换日志。只需指定要监控的网络,然后BotHunter就会被动地侦听,记录匿名流量,并偶尔会将出站邮件发送到由SRI International维护的广告软件,间谍软件,病毒和蠕虫的数据库。 Porras表示,目前该项目每天收集10,000个新的恶意软件数据交换。他说,BotHunter在2008年11月开始认识到Conflicker数据交换模式,远远早于其他安全厂商普遍推广的这种威胁。Porras表示,威胁数据库和BotHunter分析引擎都经常检查准确性。这是通过感染具有已知恶意软件的SRI honeynets来完成的,以查看BotHunter是否准确检测到它。
BotHunter是免费的,但不是开放源代码,适用于Unix,Linux,Max OS和Windows XP(即使在独立桌面个人电脑)。 Windows Vista版本即将推出。 Porras说,BotHunter并不是要取代传统的安全(防火墙和防病毒),而是一种补充。他说,自发布以来,全球下载量已经达到了11万次。
Porras承认有一些黑帽,甚至一些白帽,在网上讨论绕过BotHunter的各种方式。然而,现在,BotHunter仍然是识别和减轻网络或家庭系统中的僵尸软件的有效方式。
Robert Vamosi是一名自由计算机安全作家,专门研究黑客和恶意软件威胁