Спасибо за ответы. Данный вопрос — тема диплома.
Есть такая идея, она появилась после изучения статьи в одном из ответов этой ветки.
Каждый сеанс TCP или UDP с определенного IP — адреса, оценивать числом:
sess_id = Func(TTL, длительность сеанса, объем получ, объем переданной инф, текущего времени,и т.п)
Таким образом, для каждого IP, имея несколько сеансов в архиве — сформировать такую функцию
(допустим, Ip1 утром почти не выходит в Интернет, в основном после 20-00. Другой Ip2 наоборот только с 5-10.
Потом, первый в основном занитмается простым серфингом (трафик относительно небольшой), второй — скачивает музыку (обратная картина).
Т.о. для IP1 значение функции, например, сегодня 1025, завтра 1100, после 978, и вдруг 100 (т.е. большой объем, другие TTL, или еще что-то).
Поэтому на текущий сеанс следует обратить внимание.
Это вариант, для анализа сессий с определенных IP. Вопрос по этому направлению — непосредственно составление функции.
Теперь для общего случая. Подомным образом нужно анализировать трафик, поступаемый на наш компьютер (это и количество незакрытых сессиий и еще что-то подобное). С сигнатурами, связываться непосоветовали, т.к. уж слишком их много, и за появлением новых вирусов не уследишь.