Isolation Forest + eBPF events to create a Linux based endpoint detection system [P]

O autor está desenvolvendo 'guardd', um sistema de detecção de anomalias baseado em host para Linux que usa Isolation Forest com eventos eBPF. Ele agrupa eventos de execução e rede em janelas de 60 segundos para criar vetores de características, treinado sem supervisão para detectar anomalias, mas atualmente enfrenta problemas de falsos positivos.