Isolation Forest с F1 0.97 на CICIDS 2017 пропустил DNS-туннель на 800 КБ: feature vector оставался в двух стандартных отклонениях от нормы. Модель с отличными метриками на датасете в продакшене оказалась слепой. После этого каждый ML-детектор проходит...ML IDS обнаружение атак без сигнатур: слепые зоны поведенческого детектора
Источник: codeby.net