问什么是检测恶意软件呼叫家庭/信标活动的技术？

EN

有很多方法可以做到这一点，很大程度上取决于可用的日志，您的网络的确切性质和您感染的恶意软件的应变。

恶意软件可以并将使用您的代理，它可以并将使用您的名称服务器，它可以并将在正常用户的上下文中运行。

如果你实际上是盲目的，没有任何关注的指标，你可以使用下面的方法来找出潜在的恶意软件流量；

• 没有其他设备与之通信的域的Web流量
• 具有已知危险TLDs的域的网络流量(例如.top、.gq )
• 来自用户端点的大量DNS通信量
• 具有精确间隔的周期性通信量
• 奇数端口上的代理通信量
• 仍然超时的代理通信量
• 带有URI内命令的HTTP通信量(即，web )
• 不寻常的用户代理字符串

在恶意软件使用DGA ()与C&C服务器联系的情况下，分析DNS查询是非常有用的。

检测‘done’可以通过对DNS查询的元数据进行聚类或对被查询主机名本身进行统计分析来完成。

也可以使用机器学习分类器来检测被查询的域是否合法。有很好的开源分类器，比如范奇或终局。FANCI是随机森林分类器，End对策是深度学习分类器.两者都有起起落落。机器学习算法可以通过对您自己的数据进行再培训来满足您的个人需求。这样做的缺点是，您需要有大量干净和恶意的数据可用，这通常不是这样的。

机器学习分类器的结果似乎很有希望。但是，也可以使用对抗性例子绕过它们。

请注意，这不是一个完整的答案，只是解决问题的一个可能的建议。

我真的同意末日鹅的答案，但我也想提出一些不同的建议。如果您已经检测到恶意软件，您可以隔离它并执行一些基本的动态分析。在这种情况下，我会将恶意软件放在虚拟机中，在虚拟机中可以访问网络，运行恶意软件，这样它就可以到达“家”，并通过wireshark或其他工具分析通信量，这些工具作为恶意软件动态分析程序的一部分。一旦确定了它的流量，您就可以为it /ips/防火墙/任何东西制定规则，这样就可以进一步检测大网络中的传播并/或阻止它。除此之外，您将节省大量时间分析日志，这些日志还可能包含恶意软件之间的大量合法通信。