Sto facendo ricerche su Anomaly Intrusion Detection per implementarne uno. In questa fase, cerco funzionalità pertinenti per il traffico di rete.
Ho trovato 41 funzioni del progetto KDD CUP'99 (il documento: WENKE LEE, SALVATORE J. STOLFO, "Un quadro per la costruzione di caratteristiche e modelli per sistemi di rilevamento delle intrusioni") e molti articoli su come scegliere la selezione delle funzioni da ridurre loro e trovare quelli più rilevanti. Ho anche imparato che PHAD utilizza 34 funzioni dagli HEADER.
Esistono altre funzionalità di traffico rilevanti per consentire agli algoritmi di classificazione di rilevare le anomalie in modo più preciso? Ho imparato circa 200 funzioni da qualche parte ma non i dettagli.
Grazie.
EDIT: Ho trovato un ottimo documento di indagine su questo, "Jonathan J. Davis, Andrew J. Clark, Pre-elaborazione dei dati per rilevamento di intrusioni di rete basato su anomalie: una revisione, 2011". Diverse funzionalità sono elencate come tabelle nella sua appendice.