- La maggior parte del malware che abusa dei canali (dalla mia esperienza) include una qualche forma di randomizzazione nei tempi di connessione. Anche qualcosa di semplice come
60 minutes + rand(-5,5)
può sconfiggere i profiler del tempo. Scoprirai anche che le persone hanno alcuni schemi scandalosamente regolari nelle loro abitudini di navigazione.
- Dall'esperienza, l'analisi della frequenza produrrà molti falsi positivi in una grande azienda. Ognuno è nella propria cosa e gli interessi cambiano. Invece, analizza i domini per "infanzia". Cerca quando il dominio è stato registrato e cerca domini a meno di 3 mesi. Quindi cerca domini non di proprietà di
* Inc.
o * Ltd.
o che hanno uno "scudo di privacy del dominio" sul posto. Bolla quelli per ulteriori indagini.
Una cosa che non hai menzionato è il confronto del dominio con le blacklist da un servizio di blacklist. Presumo che tu ci abbia pensato, ma volevo parlarne.
Ricorda che è banale che gli autori di malware si adattino a qualsiasi metodo di rilevamento che puoi escogitare (come l'analisi del tempo). I processi di rilevamento più robusti richiedono analisi statistiche complesse sia sulla destinazione che sul nodo richiedente rispetto ai peer del nodo e alle tendenze generali nell'ambiente locale (tempi, frequenza, contenuto, larghezza di banda, profili peer non corrispondenti) (un non-peer si comporta come un pari)). E anche allora, richiederà ulteriori analisi per determinare i veri positivi.
Ho sviluppato algoritmi UEBA per questo tipo di cose, e una volta che inizi, ti troverai un po 'una tana di coniglio ("forse posso modificarlo in questo modo e ottenere una migliore efficienza!"). Per l'efficacia dell'80%, concentrati sull'analisi "infantile" che ho menzionato sopra.