1. Воспользуйтесь поиском в google по ключевым словам:
IDS, NIDS, Network Intrusion Detection System. Тема
интересная и статей должно быть много.
2. Что касается составления функции...
Можно пойти следующим путем: рассматривать все ваши
характеристики, как случайные величины. Тогда можно
сказать, что сессия — это случайный вектор
Ф = (ф1, ф2,..фn). А ваша характеристическая функция
будет иметь смысл плотности вероятности 0<=Р(Ф)<=1.
Затем определяете некое пороговое значение а, такое
что если Р(Ф) <= а — подозрительно, если P(Ф) > a —
все нормально.
Осталось определить плотность распределения(она может
быть разной для различных сетей). Таким образом первое
время ваша система должна пройти некий период обучения,
в течении которого будет формироваться выборка Ф.
Да, и вот что, в аналитическом виде вы не сможете
получить плотность распределения... Дальше читайте
мат статистику. Один из самых простых вариантов
подсчета Р — байесовские сети(поищите в google — они
много где используются).
