Haystack monitored user behavior by

Haystack giám sát hành vi người dùng giải nén thông tin sự kiện từ những con đường mòn kiểm toán phiên người dùng. Haystack được coi là một loạt các tính năng phiên và xác định phạm vi đã được coi là bình thường cho các tính năng đó. Phạm vi đã được lựa chọn cho cả hai người dùng cá nhân và nhóm người dùng. Phân bố xác suất được sử dụng để xác định nếu phạm vi đã được vượt quá bởi quá nhiều hoặc quá thường xuyên và hệ thống báo động đã được nâng lên để các viên chức an ninh hệ thống để điều tra khi hành vi bất thường nghi ngờ. Trong [Ryan et al 1998] phát hiện xâm nhập mạng nơ-ron đề xuất đó sử dụng mạng nơ-ron tuyên truyền trở lại theo dõi hành vi người dùng bằng cách học những gì lệnh họ thường sử dụng trong một ngày. Không bình thường patters sẽ được gắn cờ như trong sự xâm nhập. Những cách tiếp cận được thiết kế để được sử dụng ngoài tuyến. Hệ thống trực tuyến cố gắng để theo dõi hành vi người dùng đã được đề xuất tại [Debar et al 1992] [Fox et al 1990].

Haystack theo dõi hành vi của người sử dụng bằng cách chiết xuất các thông tin sự kiện từ những con đường mòn kiểm toán phiên người dùng. Haystack coi là một loạt các tính năng phiên và xác định phạm vi được xem là bình thường đối với những tính năng. Phạm vi đã được lựa chọn cho cả người dùng cá nhân và các nhóm người dùng. Phân phối xác suất được sử dụng để xác định xem đã vượt quá phạm vi của quá nhiều hoặc quá thường xuyên và báo động đã được nâng lên đốc Hệ thống an ninh để điều tra hành vi bất thường khi bị nghi ngờ. Trong [Ryan et al 1998] các Neural Network Intrusion Detector đó đề xuất sử dụng lại mạng lưới tuyên truyền thần kinh để theo dõi hành vi người dùng bằng cách học những gì lệnh họ thường sử dụng trong một ngày. Patters bất thường sẽ được gắn cờ như trong xâm nhập. Những cách tiếp cận đã được thiết kế để được sử dụng off line. On-line hệ thống đó đã cố gắng để theo dõi hành vi người sử dụng đã được đề xuất trong [Debar et al 1992] [Fox et al 1990].