Il termine "botnet" indica una rete cooperante di computer compromessi
che ospitano programmi dannosi, i cosiddetti "bot". I bot (noti anche
come "zombie") agiscono sotto una struttura di comando e controllo
unificato, gestito remotamente dal creatore della botnet (detto herder
o master della botnet).
Le botnet possono essere enormi e di solito continuano ad espandersi
infettando continuamente nuovi computer. I bot esaminano
automaticamente l'ambiente in cui si trovano e si propagano sfruttando
vulnerabilita` note. Sembra che esista un fiorente mercato nero dove
e` possibile affittare botnet per attacchi specifici. Le botnet possono essere usate
per diffondere messaggi di posta indesiderata ("spam"), per
raccogliere illecitamente traffico, per manipolare sondaggi online e
altre collezioni di dati distribute. Inoltre possono essere usate per
coordinare attacchi di Denial of Service distribuito
(DDoS).
Dato che le botnet si espandono diffondendo malware attraverso
computer vulnerabili, la presenza di Intrusion Detection System (IDS)
puo` essere d'aiuto nella protezione di singoli nodi. Al momento,
pero`, gli IDS sono incapaci di identificare lo sforzo coordinato
dell'intera botnet, in modo da mettere in luce il meccanismo di
propagazione dell'infezione.
La rilevazione di una botnet richiede percio` due passi fondamentali:
1. il riconoscimento e l'analisi del malware coinvolto;
2. l'aggregazione di informazioni provenienti da fonti diverse per identificare collusioni dirette ad uno scopo malevolo.
Scopo del progetto e` sviluppare tecniche che siano in grado di fornire dati significativi in fase di analisi in modo che possano essere usati per scoprire anche parti di botnet non ancora note, inferendone i pattern di infezione.