È divertente, stavo proprio leggendo su SPADE ieri perché avevo una domanda simile. Sarei curioso di saperne di più su ciò che ti viene in mente.
Nel frattempo, posso indicarti altre risorse. Si è parlato del rilevamento delle anomalie nella mailing list dailydave negli ultimi due mesi , ma nessun particolare strumento o tecnica si è distinto e c'è stata un'esplosione su un video mancante . Forse vale la pena provarlo, però.
La mia introduzione al rilevamento delle anomalie è avvenuta circa un decennio fa tramite Ourmon (software gratuito, open source) e Lancope (commerciale ). Poco dopo, SPADE e Bro hanno iniziato ad apparire sulla scena come potenziali nello spazio open source. Sono sempre stato curiosamente nei dati NetFlow come fonte di anomalia e oggi hai strumenti FOSS come FlowMatrix o FlowBAT se preferisci gli strumenti CERT SiLK.
Ho eseguito un uso di Bro (tramite il progetto SecurityOnion) per eseguire Rilevazione anomalie DNS . Tipicamente, altri stanno integrando le loro capacità investigative in Splunk (dato che ci sono molti libri scritti) - e in particolare, gli strumenti di Prelert sono focalizzati su quella direzione (con demo, molto simile a Splunk). A tal fine, ho trovato questa pagina anche su syslog analizzatori di log basati su anomalie . Infine, uno strumento chiamato Skyline è apparso interessante, anche se a partire da una prospettiva più ITOps.