Isolation Forest + eBPF events to create a Linux based endpoint detection system [P]

El autor está desarrollando 'guardd', un sistema de detección de anomalías basado en host para Linux que utiliza Isolation Forest con eventos eBPF. Agrupa eventos de ejecución y red en ventanas de 60 segundos para crear vectores de características, entrenado sin supervisión para detectar anomalías, aunque actualmente enfrenta problemas de falsos positivos.