Sto cercando di creare uno strumento che identifichi gli attacchi di rete usando l'apprendimento automatico, qualcosa come un piccolo sistema di rilevamento delle intrusioni. Ho raccolto un traffico benigno dalla rete e poi ho implementato un paio di scansione, hping e così via. Per identificare gli attacchi, mi sto concentrando sull'elaborazione degli attributi di ogni pacchetto singolarmente e non su una serie di pacchetti e questo sembra funzionare fino ad ora, in particolare con alberi di desicion.
Ad esempio alcuni attacchi che ho implementato su questa rete includono: DoS usando hping, man nel mezzo, spoofing, varie scansioni con nmap.
Tuttavia, lo sto mettendo in dubbio poiché non sono sicuro che un pacchetto sia sufficiente per indicare questi attacchi? Potresti spiegare in quali casi un pacchetto potrebbe essere sufficiente e in quali no?