Um analista de segurança sênior precisa automatizar a identificação de anomalias em logs de firewall, que hoje é um processo manual e demorado. Ele deseja um sistema que, a partir de um volume massivo de dados de logs históricos (IPs de origem/destino, portas, protocolos, tamanhos de pacotes, carimbos de tempo, resultados de ações como "permitir/negar"), seja capaz de:

1. **Estabelecer um baseline de comportamento normal:** Identificar padrões de tráfego típicos para diferentes horários do dia, dias da semana e tipos de serviço.
2. **Detectar desvios significativos:** Marcar como anômalos eventos que fujam drasticamente do baseline estabelecido (ex: picos incomuns de tráfego para portas não usuais, conexões de IPs de países de alto risco para recursos internos, grandes volumes de pacotes pequenos para destinos específicos).
3. **Priorizar alertas:** Classificar as anomalias detectadas por um nível de risco (baixo, médio, alto) com base em critérios configuráveis (ex: IP de origem em lista negra, porta de destino conhecida por vulnerabilidades, repetição de eventos anômalos).
4. **Sugerir ações iniciais:** Para anomalias de alto risco, propor ações como "bloquear IP de origem", "investigar processo no destino", "gerar alerta para equipe de SOC".

A partir dessa descrição, crie um **algoritmo ou metodologia de aprendizado de máquina** que o modelo de IA poderia implementar para resolver esse problema. Descreva as **etapas principais do processo**, os **tipos de modelos de ML** que seriam mais adequados para cada etapa e as **métricas de avaliação** que seriam usadas para medir a eficácia da solução.