способы обхода эвристических анализаторов логов

Тема в разделе "WASM.NETWORKS", создана пользователем Folk Acid, 19 янв 2010.

  1. Folk Acid

    Folk Acid New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2005
    Сообщения:
    432
    Адрес:
    Ukraine
    Всем доброго дня и вечера!

    Предположим, есть стабильная версия iptables c обособленным адрессным пространнством (читай, аппаратный маршрутизатор). На нем ведутся логи сессий NAT.

    Периодически, ведется соспоставление первого по времени syn запроса и последующие, в течении времени, необходимого на загрузку средней страницы. Таким образом, на временных сессиях просмотра любимого сайта и по статистике хитов по суткам и неделям производится анализ на наличие троянов.

    Интерсуют два вопроса:
    1) Как бы накопить удачные эвристики анализа статистики, с целью дальнейшего показа (пару раз в месяц) программисту средней руки, а также автоматизация анализа логов.
    2) Как максимально скрыть не слишком назойливый троян и замылить глаза?

    Желающие начать эксперименты, могут скачать freebsd ipfw версию для Windows и начать свои поиски с помощью GNUUtils mawk, sed и grep.