Comentarios
Hola a todos, gracias por ser una buena plataforma para expresar las dudas y opiniones de todos.
Declaración de problema
Quiero detectar la actividad de spam de botnets
Información de fondo sobre la pregunta
He leído, en términos generales, estas tres técnicas para detectar las actividades de spam de las redes de bots.
1. Enfoque de aprendizaje en máquina
2. Enfoque basado en la red (tipo de enfoque basado en reglas, si el valor (métrica) supera el umbral, se registran los detalles de la actividad)
3. Detección de nivel de host / coincidencia basada en contenido
Pasos tomados
Leí en este artículo ¿Cómo las botnets envían spam? , eso dice "las botnets actúan como servidores de correo y envían correos al servidor de correo del receptor mediante SMTP".
En un artículo sobre detección de botnets (Botminer), vine a través de una técnica para la detección de spam usando snort.
Botminer dice "detectar cantidades anómalas de consultas DNS para registros MX de la misma IP de origen y la cantidad de conexiones SMTP iniciadas por la misma fuente a servidores de correo fuera de la red monitoreada. Es poco probable que los clientes normales actúen como servidores SMTP y, por lo tanto, deben confiar en el servidor SMTP interno para enviar correos electrónicos. El uso de muchos servidores SMTP externos distintos muchas veces por el mismo host interno es una indicación de posibles actividades maliciosas ".
Por lo tanto, estoy usando el segundo enfoque de los 3 enfoques mencionados anteriormente.
Duda (Punto principal de mi consulta), Necesita sugerencias
Esta es una buena forma intuitiva de detectar la actividad de spam de botnets.
Sin embargo, creo que si los bots utilizan gmail, yahoo-mail para spam (en lugar de los bots que actúan como servidor SMTP), siento que esta técnica no será efectiva. como el servidor gmail / yahoo-mail realizará consultas MX / abrirá conexiones SMTP y no los bots (hosts internos que ejecutan bots).
Por favor, corrígeme si me equivoco.
Finalmente ,
Por favor, sugiera algunas ideas para cubrir el escenario anterior, utilizando un tipo de enfoque similar (similar a este)
No voy por enfoque basado en contenido (no es bueno para redes de alta velocidad, datos encriptados), enfoque de aprendizaje automático (ya que consume tiempo / recursos y necesita Mucho conocimiento específico, experiencia).