Isolation Forest + eBPF events to create a Linux based endpoint detection system [P]

L'auteur développe 'guardd', un système de détection d'anomalies basé sur l'hôte pour Linux, utilisant Isolation Forest avec des événements eBPF. Il regroupe les événements d'exécution et de réseau en fenêtres de 60 secondes pour créer des vecteurs de caractéristiques, entraîné de manière non supervisée pour détecter les anomalies, mais rencontre actuellement des problèmes de faux positifs.