Como aprendí, existe esta técnica en la que se verifica el número de bytes / paquetes / tramas de tráfico agregado para ver si se desvían de un comportamiento normal. Luego, se busca el intervalo de tiempo de esa anomalía si hay algún ataque DoS dentro o para los flujos que causaron el problema (análisis de la causa raíz).
¿Podría sugerir un artículo que haga la primera parte, para detectar anomalías (DoS, ..) al verificar su desviación del comportamiento normal?
Sé que un umbral simple funcionaría, pero quiero saber cuál es el mejor método para comprender mejor a mí mismo e implementarlo antes de dirigirme a wavelet y kalman filter.