Trong một mạng máy tính thực sự, lưu lượng mạng đại diện cho tất cả các gói dữ liệu di chuyển giữa các thiết bị trong mạng. Mô hình hóa tất cả các lưu lượng mạng có thể là một quá trình kéo dài sẽ làm giảm đáng kể hiệu suất của các mô phỏng. Ngoài ra, mô hình lưu lượng này không thêm bất kỳ giá trị bổ sung cho các mô phỏng. Do đó, mô hình chỉ bao gồm lưu lượng mạng được tham gia vào tiến trình tấn công hoặc quá trình phát hiện xâm nhập.
Mô hình này là có liên quan với ba loại lưu lượng mạng: 1) lưu lượng kết hợp với một bước tấn công phù hợp với một định nghĩa cảnh báo; 2) lưu lượng kết hợp với một bước tấn công song không phù hợp với một định nghĩa cảnh báo và 3) lưu lượng không liên quan đến một cuộc tấn công nhưng vẫn có một định nghĩa cảnh báo. Loại cuối cùng liên quan đến nhiễu, một hệ thống mạng hoàn toàn bình thường có thể bị nhầm lẫn như là bị tấn công. Lưu lượng không liên quan đến một bước tấn công và cũng không có một định nghĩa cảnh báo, không được mô hình bởi vì lưu lượng như vậy sẽ không có ảnh hưởng đến các cuộc tấn công.
Mô hình sử dụng lưu lượng để xác định từng đối tượng lưu lượng di chuyển giữa các thiết bị mạng. Các đối tượng này không đại diện cho các gói dữ liệu đơn lẻ. Thay vào đó, các đối tượng đại diện cho tập hợp các gói dữ liệu cần thiết để thực hiện một sự kiện cụ thể. Đại diện lưu lượng truy cập theo cách này làm giảm số lượng thông tin phải được định tuyến giữa các nút của mô hình mạng. Các thuộc
tính cơ bản định nghĩa trong lớp Traffic bao gồm máy tính nguồn, máy tính mục tiêu, chỉ số sự kiện, thể loại sự kiện và thời gian tạo ra.
Lưu lượng tấn công được định nghĩa bằng các thuộc tính cơ bản bao gồm địa chỉ máy nguồn, địa chỉ máy đích, chỉ số sự kiện.
Máy tính nguồn đại diện cho máy mà tạo ra lưu lượng truy cập và chỉ ra nút trong mô hình mạng mà đối tượng lưu lượng ban đầu nằm ở phần chạy mô phỏng (Run Simulation). Máy đích là máy mà tại đó tin tặc mong muốn đạt được mục tiêu mong muốn. Khi đến nút đích này, lưu lượng được lấy ra từ các mô phỏng.
Chỉ số sự kiện là một số nguyên dùng để chỉ sự kiện đang được thực hiện bởi lưu lượng. Sự kiện này có thể là nguy hại trong cuộc tấn công hay chỉ là nhiễu thông thường. Các mô tả của sự kiện được chứa trong lớp sự kiện có sẵn và được tham chiếu bởi các chỉ số sự kiện. Ngoài ra, các đối tượng lưu lượng bao gồm các kiểu sự kiện để chỉ ra những hoạt động có liên quan.
Các mục chính và phụ có thể được liệt kê trong các biến lớp Traffic đại diện cho các hệ thống phân loại được sử dụng cho các sự kiện. Phân loại này được thực hiện bằng cách sử dụng thiết lập trong năm loại chính và đều có một tập hợp con của loại thứ cấp. Các loại sự cố được hiển thị trong hình 2.1, mỗi sự kiện thực hiện được coi là một thành viên của một trong các loại được liệt kê trong hình này.
Hình 2.1: Phân tích về thể loại sự kiện
Mặc dù lớp Traffic xác định một mức độ chi tiết để tạo ra lưu lượng mạng, các lớp lưu lượng truy cập dựa trên hai lớp con khác để tạo các đối tượng lưu lượng. Hai lớp là bước tấn công và lớp nhiễu, mỗi lớp kế thừa các thuộc tính, phương pháp cung cấp trong lớp Traffic [5].
Lớp tấn công xác định lưu lượng của một cuộc tấn công. Đối với một đối tượng tấn công, sự kiện tham chiếu đại diện cho một sự khai thác thực hiện trên
máy tính đích. Một đối tượng tấn công cũng bao gồm một số thuộc tính bổ sung liên quan đến một cuộc tấn công tổng thể. Một thuộc tính tấn công thuộc về các đối tượng tấn công. Ngoài ra, một thuộc tính chỉ ra nơi xảy ra sự bùng phát của các cuộc tấn công. Cuối cùng, một thuộc tính thành công là một giá trị Boolean cho biết tấn công đã được thực hiện thành công.
Lớp nhiễu định nghĩa lưu lượng liên quan đến mạng nhiễu không bị tấn công điển hình. Loại hình lưu lượng vẫn sẽ tạo ra các cảnh báo, nhưng các sự kiện tham chiếu bởi một đối tượng nhiễu sẽ đại diện cho một sự kiện không thực sự xảy ra hay không xảy ra như một phần của một cuộc tấn công. Lớp nhiễu không xác định bất kỳ thuộc tính bổ sung, nhưng lớp cũng không cung cấp các phương pháp để tạo ra lưu lượng nhiễu ngẫu nhiên [5].