Trinn 1:Dataforbehandling

- Samle og forhåndsbehandle nettverkstrafikkdata.

- Trekk ut relevante funksjoner fra nettverkstrafikkdataene, for eksempel kilde- og destinasjons-IP-adresser, portnumre, pakkestørrelser og tidsstempler.

Trinn 2:Funksjonsteknikk

- Bruk statistiske og maskinlæringsteknikker for å trekke ut funksjoner som er relevante for inntrengningsdeteksjon.

- Vanlige funksjoner inkluderer:

- Flytbaserte funksjoner: Disse funksjonene beskriver egenskapene til individuelle nettverksflyter, slik som antall pakker, flytens varighet og gjennomsnittlig pakkestørrelse.

- Vertsbaserte funksjoner: Disse funksjonene beskriver egenskapene til individuelle verter, for eksempel antall tilkoblinger laget av verten, antall unike IP-adresser koblet til av verten og gjennomsnittlig varighet av tilkoblinger.

- Nettverksbaserte funksjoner: Disse funksjonene beskriver egenskapene til nettverket som helhet, slik som totalt antall pakker, totalt antall tilkoblinger og gjennomsnittlig båndbreddeutnyttelse.

Trinn 3:Betingede tilfeldige felt (CRF)

- Trene en CRF-modell ved å bruke de merkede dataene.

- Bruk et CRF-lag for hver type funksjon (f.eks. flytbasert, vertsbasert, nettverksbasert).

- CRF-lagene vil samhandle med hverandre for å utlede den mest sannsynlige sekvensen av etiketter for hele datasettet.

Trinn 4:Intrusion Detection

- Bruk den opplærte CRF-modellen til å klassifisere nye nettverkstrafikkdata som enten normale eller skadelige.

- Sett en terskel for CRF-utgangen for å bestemme når et inntrenging oppdages.

Trinn 5:Evaluering og avgrensning

- Evaluere ytelsen til inntrengningsdeteksjonssystemet på et testdatasett.

- Bruk evalueringsresultatene til å avgrense funksjonene, CRF-modellen og terskelen.

- Gjenta trinn 3-5 til ønsket ytelsesnivå er oppnådd.

Trinn 6:Implementering

- Distribuer inntrengningsdeteksjonssystemet i et produksjonsmiljø for å beskytte nettverket mot trusler i sanntid.