Lagdelt tilnærming ved bruk av betingede tilfeldige felt for inntrengningsdeteksjon
Trinn 1:Dataforbehandling
- Samle og forhåndsbehandle nettverkstrafikkdata.
- Trekk ut relevante funksjoner fra nettverkstrafikkdataene, for eksempel kilde- og destinasjons-IP-adresser, portnumre, pakkestørrelser og tidsstempler.
Trinn 2:Funksjonsteknikk
- Bruk statistiske og maskinlæringsteknikker for å trekke ut funksjoner som er relevante for inntrengningsdeteksjon.
- Vanlige funksjoner inkluderer:
- Flytbaserte funksjoner: Disse funksjonene beskriver egenskapene til individuelle nettverksflyter, slik som antall pakker, flytens varighet og gjennomsnittlig pakkestørrelse.
- Vertsbaserte funksjoner: Disse funksjonene beskriver egenskapene til individuelle verter, for eksempel antall tilkoblinger laget av verten, antall unike IP-adresser koblet til av verten og gjennomsnittlig varighet av tilkoblinger.
- Nettverksbaserte funksjoner: Disse funksjonene beskriver egenskapene til nettverket som helhet, slik som totalt antall pakker, totalt antall tilkoblinger og gjennomsnittlig båndbreddeutnyttelse.
Trinn 3:Betingede tilfeldige felt (CRF)
- Trene en CRF-modell ved å bruke de merkede dataene.
- Bruk et CRF-lag for hver type funksjon (f.eks. flytbasert, vertsbasert, nettverksbasert).
- CRF-lagene vil samhandle med hverandre for å utlede den mest sannsynlige sekvensen av etiketter for hele datasettet.
Trinn 4:Intrusion Detection
- Bruk den opplærte CRF-modellen til å klassifisere nye nettverkstrafikkdata som enten normale eller skadelige.
- Sett en terskel for CRF-utgangen for å bestemme når et inntrenging oppdages.
Trinn 5:Evaluering og avgrensning
- Evaluere ytelsen til inntrengningsdeteksjonssystemet på et testdatasett.
- Bruk evalueringsresultatene til å avgrense funksjonene, CRF-modellen og terskelen.
- Gjenta trinn 3-5 til ønsket ytelsesnivå er oppnådd.
Trinn 6:Implementering
- Distribuer inntrengningsdeteksjonssystemet i et produksjonsmiljø for å beskytte nettverket mot trusler i sanntid.