Estoy tratando de crear una herramienta que identifique los ataques de red mediante el aprendizaje automático, algo así como un pequeño sistema de detección de intrusos. He recopilado tráfico benigno de la red y luego implementé un par de escaneo de nmap, hping, etc. Para identificar los ataques, me estoy enfocando en procesar los atributos de cada paquete individualmente y no en una serie de paquetes y esto parece funcionar muy bien hasta ahora. Específicamente con árboles de desicion.
Por ejemplo, algunos ataques que he implementado en esta red incluyen: DoS usando hping, man in the middle, spoofing, varias exploraciones con nmap.
Sin embargo, lo estoy cuestionando ya que no estoy seguro de si un paquete es suficiente para indicar estos ataques. ¿Podría explicar en qué casos un paquete podría ser suficiente y en cuáles no?