有多种方法可以做到这一点，主要取决于可用的日志、网络的确切性质以及您感染的恶意软件的种类。

恶意软件可以并且将使用您的代理，它可以并且将使用您的名称服务器，它可以并且将在普通用户的上下文中运行。

如果您实际上是盲目的，没有任何值得关注的迹象，您可以使用以下内容来挑选潜在的恶意软件流量；

• 没有其他设备与之通信的域的 Web 流量
• 具有已知风险 TLD（例如 .top、.gq）的域的 Web 流量
• 来自用户端点的大量 DNS 流量
• 以精确间隔呼叫的周期性流量
• 奇数端口上的代理流量
• 超出时间的代理流量
• 带有 URI 内命令的 HTTP 流量（即 Web shell）
• 不寻常的用户代理字符串

检测恶意软件回拨/信标 活动的技术有哪些？

正如我们在评论中所讨论的，先生，以下是隐藏恶意软件网络通信的广为人知的方法以及检测它们的方法。我概括了一些信息，因为我不是恶意软件分析专家。希望以下信息对您有所帮助。

0> 直接 IP 连接，通常用于不使用 DNS 的恶意软件。

检测技术：

• 识别 IP 字符串并将其推送到服务，以检测 IP 是否解析到任何域以及该域是否安全/可疑。
• 在隔离环境和最新浏览器下手动访问IP，四处逛逛，了解更多。

1>域生成算法（DGA）

具有域生成功能的恶意软件可以定期修改 C&C 地址详细信息并使用未知地址。它击败/可以击败网络安全网关 (SWG)、终端检测响应 (EDR) 和沙盒。

或者

1> 域名系统 (DNS) 来解析 C&C 服务器地址。

可能有帮助的检测技术：-

• 以二级域为重点的完全限定域名 (FQDN) 上的 DNS 查询统计。请注意，由于内容交付网络 (CDN)，这也会产生大量误报；
• 查找生存时间 (TTL) 非常短的 DNS 响应
• 查找最近才注册的域的 DNS 查询警报
• 查找生存时间 (TTL) 非常短的 DNS 响应
• 查找对属于动态 DNS 服务的域的重复请求或对 URL 缩短域的请求
• 查找对属于动态 DNS 服务的域的重复请求
• 内部 DNS 服务器的日志文件是重要的信息来源。
• 请注意，DNS 流量本身也可以用作通信渠道

2>主机欺诈

伪造标头信息可能会混淆数据的真实目的地，因此它可以绕过针对已知 C&C 服务器地址的防御措施。它击败/可以击败网络安全网关 (SWG)、IPS / IDS 和沙盒。

可能有帮助的检测技术：- 采取以下重要的一般措施来严格限制这些恶意软件：

• 只有多层防护措施才能实现端点防御的完整安全覆盖组合（如杀毒软件和防火墙、Web安全网关等网络层防护措施）。

• 专注于零日恶意软件：需要能够清晰识别和检测零日恶意软件的恶意软件防御机制。

• 执行流量分析：感染可能来自用户端点，攻击者通常将其扩展到网络资源。因此，考虑不仅要关注某个区域或资源类型，还要关注整个网络

• 利用大数据：收集随时间积累的大量信息，以检测全球范围内的恶意软件活动，并将看似不相关的活动关联起来，以跟踪恶意软件的发展和演变。

3> 网络流量：-企业环境通常要求用户的网络流量通过过滤代理。Web 代理日志也有助于检测和分析 C&C。

检测技术：-

• 具有异常 HTTP 协议版本的 Web 请求。
• 在您的组织中不常用的用户代理。
• 但是，不要盲目相信用户代理信息，因为这很容易被制作出来。
• 在 HTTP 请求的大小中寻找过大的大小或重复模式；
• 在互联网上寻找与 HTTP 服务器的持久连接，即使在正常办公时间之外；
• 寻找对同一网络资源的重复请求，可能在不同的域上，具有相似的参数格式；
• 在正常办公时间之外寻找对社交网站的请求。
• 一些特定的示例使用它自己的自定义协议，它通过 SSL/TLS 发送。
• 寻找对 URL 缩短域的重复请求；
• 安全团队可以使用威胁情报源发现与已知攻击活动相关的流量。大多数代理还将支持基于这些提要的阻止列表。

4>邮件：-并非所有的 C&C 通信都必须基于网络；它也可以通过电子邮件发生。

检测技术：-

• 尽管电子邮件日志很少包含完整的对话，但元数据可能会有所帮助。与您的法律部门核实在什么条件下允许存储和访问此信息，并使用它来查找可疑信息

5>互联网中继聊天 (IRC) 或点对点 (P2P)：- 防火墙日志可以通过互联网中继聊天 (IRC) 或点对点 (P2P) 交换揭示其他形式的 C&C 通信。

检测技术：-

• 看到传出连接尝试可能足以引发调查。
• 建立大量连接或流的工作站的 Netflow（名称不打算在此推荐产品）统计信息（这也是一般提示）

6> 网络隐写术（关键工具）：

（有趣的无关信息，如果不感兴趣可以跳过）

秘密被注入到网络流量中。例如，可以通过操纵标头中未使用标志的内容或通过调制网络流数据报的包间时间 (IPT) 来隐藏数据。在后一种情况下，发送方可以将信息位编码为先前商定的 IPT 值。与图像像素的 LSB 修改示例类似，过度激进的偏差可以将隐藏过程与正常抖动事件区分开来。因此，隐藏通道通常以低带宽为特征，通常范围为每秒几到几百比特。今天，许多其他方法可以实现台式机或数字设备之间的隐蔽通信，包括产生听不见的声音或利用智能手机的传感器接收激活威胁的序列

检测技术：-

• 如果您有记录完整数据包捕获的基础设施，这可能是寻找 C&C 的非常有用的资源。确保数据包数据已编入索引且易于搜索。搜索可以基于先前通过防火墙日志或网络流记录找到的信息。

荣誉和尊重：

https://reverseengineering.stackexchange.com/questions/22063/difficulty-obtaining-malware-traffic

https://securityintelligence.com/how-to-leverage-log-services-to-analyze-cc-traffic/

https://arxiv.org/pdf/1504.04867.pdf

我将文本转换为英文的一个中文网站，尊重信息，但不幸的是我不能提及它，因为它托管在 http 上（不是 https 所以对推荐这样的网站访问持怀疑态度。）

Hopefully this information serves help. Please feel free to edit this answer to add information or credits I missed to mention.

在恶意软件使用 DGA（域生成算法）联系 C&C 服务器的情况下，分析 DNS 查询可能很有用。

可以通过对 DNS 查询的元数据进行聚类或对查询的主机名本身进行统计分析来检测“homecall”。

检测查询的域是否是合法的恶意也可以使用机器学习分类器来完成。那里有很好的开源分类器，例如FANCI或Endgame。FANCI 是一个随机森林分类器，而 Endgame 是一个深度学习分类器。两者都有其起起落落。机器学习算法可以通过根据您自己的数据重新训练来满足您的个人需求。这样做的不利之处在于，您需要有大量可用的干净和恶意数据，但通常情况并非如此。

机器学习分类器的结果似乎很有希望。但是，它们也可以使用对抗性示例来规避。

请注意，这不是一个完整的答案，只是解决问题的一个可能的提议。

我真的同意 Doomgoose 的回答，但我也想提出一些不同的建议。如果您检测到恶意软件，您可以将其隔离并执行一些基本的动态分析。在这种情况下，我会将恶意软件放在可以访问网络的虚拟机中，运行恶意软件，这样它就可以通过wireshark或其他执行此操作的工具到达其“家”并分析流量他们的恶意软件动态分析程序。一旦识别出它的流量，您就可以为 ids/ips/firewalls/whatever 制定规则，这样您就可以进一步检测大型网络中的传播和/或阻止它。除此之外，您将节省大量分析日志的时间，这些日志还可能包含恶意软件之间的大量合法流量。