Puede detectar botnets en varios lugares: en el host , la red local , la red del proveedor o en sumideros para la botnet. En el host, debe usar una de tres técnicas: software antivirus, detección de anomalías o desviación de un estado limpio. En la red local, puede buscar actividad fuera de horario, dominios / ips conocidos de devolución de llamada de malware, firmas conocidas para comunicaciones de botnet (por ejemplo, snort o bro ids), otro comportamiento anómalo como envío de spam, escaneo o suplantación de tráfico. En la red de proveedores de Internet, podrían buscar dominios conocidos e IP, pero generalmente no están dispuestos a hacer una inspección profunda de paquetes para detectar botnets (además, no siempre es de su interés comercial). Por último, los investigadores de sombrero blanco registran dominios de malware y los señalan a sus propios sumideros; que puede usarse para enumerar víctimas de botnets y generar informes para los proveedores de internet.
La buena investigación es encontrar patrones de comportamiento en el host y la red (en los diversos puntos de vista) que las botnets deben exhibir y luego construir técnicas de detección. Le recomiendo que mire el marco de emulación de botnet de Rubot, ejecute algún malware real en un entorno seguro y pruebe diferentes técnicas para detectar el comportamiento de la botnet. Eche un vistazo a todos los IDS principales también: bufido, hermano, suricata, preludio, etc., para ver qué tan bien pueden detectar anomalías.
- ¿Cómo se compara Catalyze con Aptible en los servicios web compatibles con HIPAA? ¿Cuáles son las diferencias entre ellos (precios, características, funcionalidad)?
- ¿Qué prueba hay de que los correos electrónicos de Clinton fueron pirateados por Rusia?
- ¿Podría el FBI descifrar un archivo WinRAR cifrado y protegido con contraseña? ¿Si es así, cómo?
- ¿Cómo funciona / funciona un software antivirus?
- ¿Hay alguna solución para deshacerse de los ataques de phishing? ¿Cómo sé que no volverán a atacar el sistema?