Ein Botnetz ist ein Netzwerk, welches aus vielen mit einer speziellen Malware infizierten Computern (Bots) besteht, die ein Bot-Master kontrollieren und befehligen kann. Durch die verteilte Struktur eines Botnets eignet sich dieses besonders gut für Distributed Denial of Servie (DDoS)-Angriffe und den Versand von Spammails. Aber auch andere, für den Bot-Master oft sehr lukrative Tätigkeiten wie das Ausspähen von sensiblen Daten (bspw. durch Keylogger), die Erpressung der Opfer durch den Einsatz von Ransomware oder Klickbetrug werden oft von Bots ausgeführt. Während sich Botnetze früher für die Kommunikation mit dem Bot-Master meist einer sehr einfachen und zentralen Command-and-Control (C&C)-Struktur (bspw. über einen vorher definierten, zentralen Web-Server oder über einen IRC-Channel) bedient haben und dadurch leicht ausschaltbar waren, sind in den letzten Jahren zunehmend alternative C&C-Strukturen entstanden, die auf eine dezentrale Peer-to-Peer (P2P)-Kommunikation setzen, um dadurch widerstandsfähiger zu sein. Um auch diesen neuartigen Bedrohungen entgegnen zu können, ist es wichtig, das Verhalten dieser Botnetze und die unterliegenden Kommunikationsprotokolle zu verstehen. Dadurch ist es möglich, sich einen Überblick über die Größe, Topologie und Kommunikation eines Botnetzes zu verschaffen, dieses zu infiltrieren und im besten Fall auch abzuschalten.

Wichtige grundlegende Taxonomien, die eine einheitliche Begriffsbasis und Vorschläge zur Klassifizierung von Botnetzen geben, sind bereits vor knapp zehn Jahren erschienen (Dagon et al. 2007; Trend Micro 2006). Da sich seitdem ein Trend der C&C-Struktur in Richtung P2P-Netzwerken vollzogen hat, haben sich viele Forscher mit dieser speziellen Unterart der Botnetze beschäftigt. Grizzard et al. und Wang et al. schaffen oft zitierte Überblicke über P2P-Botnetze. Durch die erschwerte Erkennung und die erhöhte Resilienz gegenüber zentral kontrollierten Botnetzen wurden spezielle Techniken für die Erkennung (Schoof und Koning 2007) und dem Monitoring (Kang et al. 2009; Karuppayah et al. 2014) geschaffen und Möglichkeiten der Verteidigung gegen und Abschaltung von P2P-Botnetzen (Wang et al. 2009; Rossow et al. 2013) erforscht. Eine Quantifizierung der Topologie und Robustheit wurde hinsichtlich einzelner Kennzahlen bereits von Dagon et al.; Yu et al. durchgeführt. Eine umfangreiche Quantifizierung mit Fokus auf den zeitlichen Verlauf und in Abhängigkeit von Tageszeiten ist jedoch nach Wissen des Autors noch nicht veröffentlicht worden. Die daraus gewonnen Erkenntnisse können beispielsweise wichtige Informationen für die zeitliche Planung einer Gegenmaßnahme liefern.