Quando si implementa un sistema di rilevamento delle intrusioni basato sull'anomalia, se voglio eliminare gli attacchi U2R e R2L (per evitare l'ispezione dei pacchetti profondi) e considerare solo gli attacchi Probe e DoS, quali caratteristiche dovrei prendere in considerazione? Dovrei considerare i documenti di anomalia della rete o i documenti basati su intrusioni?
Come ho appreso, ci sono documenti che prendono in considerazione il rilevamento di anomalie della rete (interruzione dei collegamenti, trasferimenti di file di grandi dimensioni, ... così come DoS, attacchi Probe) e ci sono documenti che prendono in considerazione il rilevamento di intrusioni (DoS, Probe, U2R e R2L attacchi).
Gli ex giornali sono il caso speciale di questi ultimi? Voglio dire, lo spazio delle funzioni utilizzato per loro è un sottoinsieme di quest'ultimo?