Здравствуйте, Stanislaw K, Вы писали:

SK>Через DPI проходит ВЕСЬ трафик. Каждый байт. DPI очень четко классифицирует каждый тип. это — http, это потоковое видео, VoIP, это торрент, это скайп. это vpn, pptp, ipsec, openvpn, l2tp, hamachi. это "танчики", это "линейка". это RDP, VNC, teamViewer, это радио.
SK>Плюс к этому, строится поведенческая зависимость "хост а связывается с хостом б в интервал от ЧЧ-ММ до ЧЧ-АА". "ночью все спят, днем читают новости", "школьники после школы гоняют орков в варкрафте" и тп.

SK>Тут собственно вся малая доля ИТ и заканчивается.

SK>Весь уже известный трафик, либо автоматически пропускается, либо "режется". Если появляется неизвестный трафик, с неизвестным протоколом и\или в необычное время, он автоматически выделяется и отдается операторам в аналитический отдел, для детального изучения глазками и принятия решения.

Кажется, понял. Ответы на мои вопросы сводятся к принципам классификации траффика, а они универсальны. Буду изучать.
Аналитики ищут признаки и закономерности вручную, тут уже творческая работа, вопрос был не о ней.

Огромное спасибо!

PS. Просто контрольный вопрос, чтобы убедиться, что понял правильно. Если ошибся, поправьте.
Кто-то решил сделать пиринговый мессенжер, который маскируется под веб траффик. Тогда умные коробки увидят, что вместо известного паттерна "много рандомных клиентов на один хост" присутствуют соединения "сегодя А клиент Б, а завтра наоборот", и таких связей много внутри ограниченной группы?