Estoy investigando sobre la detección de intrusiones de anomalías para implementar una. En esta fase, estoy buscando características relevantes para el tráfico de red.
Encontré 41 características del proyecto KDD CUP'99 (el documento: WENKE LEE, SALVATORE J. STOLFO, "Un marco para la construcción de características y modelos para sistemas de detección de intrusiones") y muchos documentos sobre cómo hacer una selección de características para reducir Ellos y encontrar los más relevantes. También aprendí que PHAD usa 34 funciones de los HEADERs.
¿Existen otras funciones de tráfico relevantes para permitir que los algoritmos de clasificación detecten las anomalías con mayor precisión? Aprendí unas 200 características en algún lugar, pero no los detalles.
Gracias.
EDITAR: Encontré un excelente documento de encuesta sobre este tema, "Jonathan J. Davis, Andrew J. Clark, Preprocesamiento de datos para la detección de intrusiones de redes basadas en anomalías: una revisión, 2011". Varias características se enumeran como tablas en su apéndice.