通常最大的威脅通常是你沒有看到的。如果入侵檢測系統是安靜的，似乎一切看起來都很好，也許最聰明的對手僅僅是在雷達下工作，可能使用一個他們喜歡的工具：僵尸網絡。僵尸網絡，通常用于營利的機構，包括數千臺在一位隱蔽的僵尸網絡操作員控制下運行著惡意代碼的電腦；打開中毒的電子郵件或者訪問載有惡意代碼的中毒網頁，都可能引發bot感染。

這就是為什么創建了BotHunter。SRI國際實驗室，也是陸軍研究辦公室和國家科學基金會，在這里，BotHunter被用來發現網絡上隱身的僵尸網絡活動。 BotHunter試圖通過收集世界各地用來尋找有意義的bot活動簽名的大量傳感器信息來發現受感染的機器。

BotHunter利用專門的惡意數據包傳感器，用于尋找掃描、開發模式、代碼下載，bot協調通信和對外攻擊發射。通過比較這些已知僵尸網絡通信模式和可信任的網絡下的通信流量，當BotHunter檢測到可疑的僵尸網絡活動時它可以提醒用戶。

BotHunter不同于傳統IDS，是由于它“基于對話框的感染”檢測活動：僵尸網絡通信模式的命令和控制。雖然沒有觸發病毒，但是當一臺計算機正設法聯絡幾個電子郵件服務器和UDP流量流向那些已知的屬于一個俄羅斯犯罪網絡用BotHunter監控的計算機時，BotHunter將會發出警告。 BotHunter使用此信息來分配事件比分;顯示控制臺記錄了可用于法庭的證據，列出了受感染的機器、僵尸網絡控制服務器、惡意代碼下載服務器和掃描出的新感染的機器。

BotHunter是免費的，但源代碼封閉。它可用于Windows，Linux和Mac平臺。在安裝過程中，BotHunter需要輸入信任網絡的IP地址范圍，SMPT服務器和DNS服務器。一旦安裝，BotHunter檢查通過你指定的NIC的通信。大多是被動監聽，但BotHunter時不時會啟動出站通信來自動化SRI提供的威脅服務。

BotHunter也更新僵尸網絡命令和控制的黑名單，惡意DNS名單和新的惡意檢測規則。這使得BotHunter保持最新的僵尸網絡運營商的服務器的檢測、惡意軟件帶來的DNS查找、壞服務器地址和惡意后門控制端口的意識。 BotHunter匿名發送檢測到的僵尸網絡活動、惡意軟件下載網站、利用的服務器和檢測模式的數據，但它不會報告任何您信息網絡里的IP地址。SRI規定無論他們或其分支機構都不會跟蹤特定的網絡信息。

BotHunter是世界上為數不多的可以幫助發現在網絡運行僵尸網絡的工具之一。它的分布式智能模型和操作的方便性，應進入更多人的手中，這將有助于檢測和打擊那些龐大的計算機犯罪企業困擾互聯網。