Isolation Forest + eBPF events to create a Linux based endpoint detection system [P]

Der Autor entwickelt 'guardd', ein Linux-basiertes Host-Anomalie-Erkennungssystem, das Isolation Forest mit eBPF-Ereignissen verwendet. Es gruppiert Ausführungs- und Netzwerkereignisse in 60-Sekunden-Fenstern, um Feature-Vektoren zu erstellen, und wird unüberwacht trainiert, um Anomalien zu erkennen, hat aber derzeit Probleme mit Fehlalarmen.