3.3.1. Tổng quan hệ thống
Cho một tài nguyên web hoặc dữ liệu có ý nghĩa được xác định bởi một URL, một tài liệu HTML, một tập tin hình ảnh [14] …
Một giám sát M có thể giám sát nhiều tài nguyên web khác nhau cùng một lúc. Bộ giám sát sẽ giám sát tập hợp các URL xác định. Thông thường, nhưng không nhất thiết bộ giám sát sẽ bao gồm nhiều tài nguyên từ nhiều nguồn khác nhau. Để dễ trình bày nhưng khơng mất tính tổng qt, chúng ta giả định rằng bộ giám sát chỉ giám sát một nguồn R. Biểu thị ri sẽ đọc tài nguyên R.
Trong giai đoạn đầu tiên, mà chúng ta gọi là giai đoạn học (learning phase), xây dựng tập hồ sơ (profile) của R là Pr . M={ ri }. Giám sát M có thể bắt đầu theo dõi, trong đó nó thực hiện các chu kỳ sau một cách vô tận:
1. Thiết lập khoảng thời gian giám sát m. 2. Đọc r thuộc R
3. Phân tích r
Giai đoạn đầu là giai đoạn học và phân tích (bước 3 ở trên), các bước khác của giai đoạn giám sát có thể được hiểu một cách dễ dàng, đặc biệt là việc thực hiện thực tế của bước 4 (làm thế nào để gửi một cảnh báo cho người theo dõi các trang web, làm thế nào để xử lý các cảnh báo).
3.3.2. Kiến trúc hệ thống
Tài nguyên R sẽ được phân tích thành các lớp tham số P(ri). Mỗi tham số đặc trưng cho một hoặc nhiều tính năng của R, ví dụ như kích thước (byte) hay số liên kết, số hình ảnh, số thẻ nội dung...
- Trong chế độ học (learning mode), hệ thống sẽ lưu trữ tất cả các tham số Pi, các ngưỡng cho phép ti.
- Trong chế độ phát hiện (detection mode), Hệ thống sẽ đọc giá trị ri thuộc R phân tích và trả về một giá trị luận lý (Boolean) S(ri). S(ri) trả về giá trị là đúng nếu như X(ri) > ti, trong trường hợp này hệ thống sẽ đánh dấu là một trường hợp bất thường.
Trong giai đoạn giám sát, các cờ S(ri) có giá trị luận lý (Boolean) được tổng hợp với nhau tạo thành một giá trị luận lý mới sẽ đại diện cho việc phân loại tổng các giá trị đọc r, kí hiệu là A(r). Nếu A(r) > t có giá trị luận lý trả về là đúng (true) thì hệ thống giám sát sẽ đưa ra cảnh báo (alert), với t là ngưỡng cho phép của hệ thống (do quản trị hệ thống quy định).