Если у Вас есть системное знание системы которую хотите анализировать, то Вы и так должны понимать какие действия могут быть "подозрительными". И мой совет: не надо курить тонны лишней информации если вы не собираетесь писать аналог Касперского или Аваста. Придумывайте свои алгоритмы и подглядывайте в существующие. 100% методов нет, все они быстро устаревают, а многие из них изначально написаны пьяными наркоманами и использовать их на практике смысла нет.
Это не настройки iptables. В данном случае вы будете работать с виртуальными интерфейсами. Представьте, что кабель провайдера воткнут в свитч и в этот свитч воткнуты ваши интерфейсы всех vlan.
Спасибо. Т.е. замена не активного на активный возможно без каких-либо доработок? Я про то, что нет ли например у активного напряжения на выходе или еще какие-то моменты...