Действительно интересный. ТОлько, насколько я понял, для опознавания опасных процессов использовались признаки работы файловой системы (запись, удаление, доступ к файлам другого владельца). Вот бы выделить что-то подобное для сетевых сеансов. Положим, для кажого IP адреса, завести
функцию от IP-адреса,времени сеанса, объема посланных данных, полученных, длительности сеанса, значений некоторых полей заголовков пакетов (TTL,...), и так далее для более качественного идентифицирования сессиии объявить её так, что при близких значениях параметров — её значение должны быть так же близкими.
Здравствуйте, aka50, Вы писали:




A>Здравствуйте, Rostov, Вы писали:

R>>Здравствуйте!

A>Сам в свое время ковырялся по работе с этим... но ИМХО стандартный
A>анализ, как его себе представляют не сильно нужен. Все равно вирусы/хацкеры
A>работают по стандартным протоколам и поймать на массвом пинге/кривых пакетах
A>можно только простеньких вирусов или хацкеров-ламеров .

A>Вот тут более интересный подход:
A>http://plusik.pohoda.cz/thesis