Методика по выявлению backdoor и противодействию APT-атакам

[makros112]

Разрабатываю методику, которая позволяет противодействовать APT атакам. Суть методики заключается в следующем: выявить дистанционный канал управления хостом (найти backdoor). С помощью SIEM, Firewall заблокировать данный процесс.
Но этого недостаточно, поскольку не факт что проходит APT атака, а не пользователь выполняет свои задачи с помощью удаленного хоста. Поэтому разработал политику безопасности, где учитываются эти моменты.
Хочу написать программный продукт, который сможет автоматизировать данный процесс и выдавать данные что действительно проходит APT атака, используя при этом firewall как вспомогательное средство.
Если кто нибудь имеет какие-то идеи как это сделать, то подскажите.
Спасибо

 

[domebr]

1. отдать ИИ трафик, пускай он выделит эти закономерности для себя. Найти трафик где 100% бекдор и где 100% обычный юзер, ну и где смешанный естественно и учить его классифицировать трафик, я бы сначала разделял их на классы 100%(под 100% я имею ввиду тот % с которого ты будешь считать что это бекдор) бекдор, 100% нет ну и смешанный, первые 2 соответственно прогонять по цику, а 3ий делить где юзер, а где не юзер и блокать кого-то из них). Но трафика надо много и вычислительных мощностей тоже)
2. Сделать все тоже самое самостоятельно)