Per un progetto di sicurezza della rete, stiamo elencando il nostro traffico di rete di circa 50-60 host. Miriamo a identificare eventi dannosi all'interno del nostro traffico di rete identificando le anomalie della rete.
Il nostro obiettivo principale è scoprire se c'è anomalia nella nostra rete. Un caso speciale sarebbe quello di rilevare i riavvii. quale sarebbe il vantaggio di analizzare le anomalie della rete rispetto all'approccio tradizionale basato sulla firma? o cosa potremmo scoprire altrimenti con queste informazioni?
Nota: per quanto ne so, c'è solo un po 'di malware, che riavvia il computer. C'è qualche anomalia che causa il riavvio di un host?