Доброго всем времени суток!

Вот для меня новая тема, но надо сделать - отмониторить трафик - нет ли там каких сетевых угроз.
Почитал теорию, почитал про методы анализа и все такое... Но пока еще не знаю с чего начать и куда курить. Все, что я сделал для начала, это сетевой сниффер. Нашел какой-то прототип на винапи и прикрутил его на MFC - это самое простое. И вот у меня на руках поток байтов, проходящих через сетевую карту компьютера. Сниффер умеет перехватывать пакеты по куче протоколов - я знаю только ftp, udp, tcp и еще штуки 3, а снифер знает штук 20 протоколов и по всем хватает пакеты из сети. Ну и толку с этого... Перехватвает и перехватывает. А вот как в перехваченной информации найти сетевую атаку. Знаю, что это задача не самая простая, но мне бы что-то, что хоть отдаленно напоминает на поиск атак - хотя бы сигнатурный поиск или циклический анализатор трафика для поиска в нем аномалий поведения. Язык реализации не важен, важна внятная идея! Заранее спасибо за любую помощь!

А если просто выявить аномалии в трафике?

Хорошо, атаки атаками, как тогда можно просто выявить значимые изменения сетевого трафика? Не атаки ловить, а просто ощутимые изменения трафика?