Trin 1:Dataforbehandling

- Indsamle og forbehandle netværkstrafikdata.

- Udtræk relevante funktioner fra netværkets trafikdata, såsom kilde- og destinations-IP-adresser, portnumre, pakkestørrelser og tidsstempler.

Trin 2:Feature Engineering

- Brug statistiske og maskinlæringsteknikker til at udtrække funktioner, der er relevante for indtrængningsdetektion.

- Fælles funktioner inkluderer:

- Flow-baserede funktioner: Disse funktioner beskriver karakteristika for individuelle netværksflows, såsom antallet af pakker, flowets varighed og den gennemsnitlige pakkestørrelse.

- Værtsbaserede funktioner: Disse funktioner beskriver karakteristika for individuelle værter, såsom antallet af forbindelser foretaget af værten, antallet af unikke IP-adresser, der er tilsluttet af værten, og den gennemsnitlige varighed af forbindelser.

- Netværksbaserede funktioner: Disse funktioner beskriver egenskaberne for netværket som helhed, såsom det samlede antal pakker, det samlede antal forbindelser og den gennemsnitlige båndbreddeudnyttelse.

Trin 3:Betingede tilfældige felter (CRF'er)

- Træn en CRF-model ved hjælp af de mærkede data.

- Brug et CRF-lag for hver type funktion (f.eks. flowbaseret, værtsbaseret, netværksbaseret).

- CRF-lagene vil interagere med hinanden for at udlede den mest sandsynlige sekvens af etiketter for hele datasættet.

Trin 4:Registrering af indtrængen

- Brug den trænede CRF-model til at klassificere nye netværkstrafikdata som enten normale eller ondsindede.

- Indstil en tærskel for CRF-output for at bestemme, hvornår en indtrængen detekteres.

Trin 5:Evaluering og forfining

- Evaluer ydeevnen af ​​indtrængningsdetektionssystemet på et testdatasæt.

- Brug evalueringsresultaterne til at forfine funktionerne, CRF-modellen og tærsklen.

- Gentag trin 3-5, indtil det ønskede præstationsniveau er opnået.

Trin 6:Implementering

- Implementer indtrængningsdetektionssystemet i et produktionsmiljø for at beskytte netværket mod trusler i realtid.