È molto comune che il malware attivo "chiami casa" (o beaconing), sia per recuperare aggiornamenti e istruzioni sia per inviare informazioni rubate.
In una rete interna in cui l'accesso Web a Internet deve passare attraverso un proxy, il traffico che non passa attraverso il proxy e per impostazione predefinita viene eliminato dal firewall del gateway potrebbe essere prezioso per rilevare le attività di chiamata in home del malware.
Quali sono le tecniche per rilevare le attività di chiamata / beaconing del malware?