Здравствуйте, Rostov, Вы писали:

R>Здравствуйте!

Сам в свое время ковырялся по работе с этим... но ИМХО стандартный
анализ, как его себе представляют не сильно нужен. Все равно вирусы/хацкеры
работают по стандартным протоколам и поймать на массвом пинге/кривых пакетах
можно только простеньких вирусов или хацкеров-ламеров .

Вот тут более интересный подход:
http://plusik.pohoda.cz/thesis