- La mayoría de los programas maliciosos que abusan de los canales (según mi experiencia) incluyen alguna forma de asignación aleatoria en el tiempo de conexión. Incluso algo tan simple como
60 minutes + rand(-5,5)
puede derrotar a los perfiladores de tiempo. También encontrará que las personas tienen patrones sorprendentemente regulares en sus hábitos de navegación.
- Por experiencia, el análisis de frecuencia producirá muchos falsos positivos en una gran empresa. Todo el mundo está en su propia cosa y los intereses cambian. En su lugar, analizar los dominios de "infancia". Busque cuando se registró el dominio y busque dominios con menos de 3 meses de antigüedad. Luego busque dominios que no sean propiedad de
* Inc.
o * Ltd.
o que tengan un "escudo de privacidad de dominio" en su lugar. Burbujea esos para una mayor investigación.
Una cosa que no ha mencionado es comparar el dominio con listas negras de un servicio de lista negra. Supongo que pensaste en eso, pero quería mencionarlo.
Recuerde que es trivial que los autores de malware se adapten a cualquier método de detección que pueda diseñar (como el análisis de tiempo). Los procesos de detección más robustos requieren un análisis estadístico complejo tanto en el destino como en el nodo solicitante, en comparación con los pares del nodo y las tendencias generales en el entorno local (tiempo, frecuencia, contenido, ancho de banda, perfiles de pares no coincidentes (un no-igual que actúa como un mirar)). E incluso en ese caso, requerirá un análisis adicional para determinar los verdaderos positivos.
He desarrollado algoritmos de la UEBA para este tipo de cosas, y una vez que comiences, te encontrarás con un poco de agujero de conejo ("¡tal vez pueda modificarlo de esta manera y obtener una mayor eficiencia!"). Para una efectividad del 80%, enfóquese en el análisis de "infancia" que mencioné anteriormente.