Tw1ce

Создавать свои паттерны параметров исходя из текущей задачи. Основных вопроса два в вашем случае: что \кого именно отслеживаем на предмет аномалий и что именно считаем нормой. Вышеозначенные корпорации конечно имеют лучшие мозги мира в доступе, но лучшие мозги мира обычно начинают с простых вещей и строят методологию исходя из базовых моментов: что следим, зачем следим, что с нашей точки зрения аномалия + сбор стат. данных. Если к примеру вы строите свой сайт и хотите следить за юзерами на манер ВКонтакта (история входов с параметрами браузер+IP) то с этого и начинайте.

Поздравляю! Вы взялись просто за колоссальной сложности задачу. Крупнейшие корпорации тратят тысячи человеко-часов, годами корпят над этой темой, и при этом количество ложноположительных и ложноотрицательных срабатываний их систем защиты просто раздражающе велико.

Методов тоже уйма. Время захода, работы, отпечатки браузеров, диапазоны IP-адресов - это на поверхности, очень просто и нифига не продуктивно. В конечном итоге оно выливается в то, что клиент где-нить в командировке с IP местного провайдера и выданного на работе бука вынужден бороться с вашей системой. Сейчас копают в других направлениях. Например мышь. Для многих не очевидно, но паттерны движений курсора мыши уникальны для каждого человека. Там ведь не только наведение на элементы интерфейса, т.е. продуктивные движения, еще очень показательны т.н. холостые движения - к примеру, то, как вы крутите курсор, пока ждете загрузку чего-то. Только вот человек не постоянен. Стоит вам научиться выделять человека из прочих по тому, как он работает мышью, в каких ритмах набирает текст и т.п... как он ррраз! и заболел. И его вялое тыканье в элементы интерфейса начисто смажет вам всю картину) А если у него сдохла мышь, и он начинает пользоваться тачпадом?)

К чему это я. Сам буду рад услышать тех, кто в теме, но не рассчитывайте увидеть в ответах что-то действительно стоящее.

OMG, ну почему тут с такой завидной регулярностью всплывают такие вопросы? При той модели нарушителя, что у Вас - а по ней им является государство - нельзя. Ни тор, ни два тора, ни даже бублик Вас не спасут.

Вы включили роутер - и у провайдера есть отметка "Нода Х включила оборудование связи". Вы вышли в тор - и у провайдера есть отметка "Нода Х подключилась к серверу Tor". Если роутер делает еще что-то, даже мелочь - время обновляет, новые версии прошивки проверяет - все это будет записано у провайдера. Вы выключили роутер - у провайдера отметка "Нода Х провела в сети Tor столько-то времени". Если государство Вами заинтересовалось - оно получило эту информацию и не тратя лишнего времени, послало к Вам парочку людей в черных костюмах. Защиты от терморектального криптоанализа пока не придумано, поэтому Вы сами, добровольно и с песней, сдадите все свои ключи, расскажете куда ходили и т.д.

В дополнение к решению Алексея, предложу ещё вариант, который применяю лично я для удаления протухших сессий:
Т.к. высокая точность не требуется, то раз в минуту я просто перебираю все сессии, смотрю на время последнего обращения, и если прошло больше установленного времени, то сессию прибиваю. Соответственно, при каждом обращении за сессией, поле LastRequest устанавливается на текущее время.