Dopo alcune ricerche abbiamo trovato diverse soluzioni interessanti, ecco tre documenti che ho trovato più pertinenti:
Anagram: un rilevatore di anomalie del contenuto resistente agli attacchi di mimetismo di Wang et al. Costruiscono un rilevatore di anomalie del contenuto chiamato Anagram. Gli anagrammi funzionano analizzando sequenze di byte utilizzando n-gram distinti per apprendere le firme stesse di pacchetti validi. Secondo gli autori ha un'alta accuratezza e bassi tassi di falsi positivi. Inoltre, può funzionare ad alta velocità rendendolo utile per il rilevamento delle intrusioni di rete. Dal momento che è basato sull'anomalia, ha una maggiore possibilità di rilevare exploit zero-day. E, poiché è auto-apprendimento, non richiede molta attenzione da parte del supervisore.
Un altro documento interessante è Rilevamento delle intrusioni della rete basato sul payload anomalo di Wang et al. È anche completamente automatico e può essere eseguito senza supervisione. Come con altri IDS basati su Anomaly, hanno una fase di addestramento in cui il sistema impara la frequenza e la deviazione standard del carico utile. Questa soluzione ha anche un alto tasso di rilevamento, vicino al 100%, e un tasso di falsi positivi molto basso.
Anche il documento trovato in questa risposta link è stato utile.
Nessuna delle soluzioni sopra indicate riguarda la comunicazione seriale. Tuttavia, operando su comunicazioni a livello di byte, riteniamo che una soluzione simile possa essere applicata, ad esempio: RS485 o CAN.