Sí, algunos de los bots actuales siguen mostrando un comportamiento periódico, pero en su mayoría utilizan técnicas de evasión, como la introducción de ruido, para ser sigilosos y estar a salvo de las técnicas de detección de comportamientos. Hay mucha investigación sobre el comportamiento del tráfico de la red de botnets. Pero no encontré ningún recurso único que proporcione un resumen del comportamiento de todos los bots existentes. Si consulta el análisis de comportamiento de botnet, encontrará una buena cantidad de artículos de investigación que analizan el comportamiento del tráfico de botmalware particular / seleccionado.
A continuación se muestran algunas de las características generales del tráfico de red que utilizan las diferentes técnicas de detección para agrupar el tráfico de botnet.
periodicidad
Proporción de bytes de entrada y salida.
Similitud (en caso de que haya más de un botmalware presente en la red)