A method of detecting signatures representing misuse of a local network. Known reference signatures having one or more common events are identified, and represented with a decision graph having one or more shared nodes. Each node of the decision graph represents the occurrence of an event. Given a set of input events, test functions associated with nodes determine the path taken during traversal of the graph. A path of the graph from the parent node to a leaf node represents the occurrence of all events that comprise a signature. The decision graph permits any of the signatures to be detected with only one traversal, and avoids the need for a separate matching process for each signature. In this manner, an entire set of all known reference signatures may be consolidated into a smaller set of decision graphs.

Um método de detectar assinaturas representar o emprego errado de uma rede local. As assinaturas sabidas da referência que têm um ou mais evento comum são identificadas, e representado com um gráfico da decisão ter aquele ou mais compartilhou de nós. Cada nó do gráfico da decisão representa a ocorrência de um evento. Dado um jogo de eventos da entrada, as funções do teste associadas com os nós determinam o trajeto feito exame durante traversal do gráfico. Um trajeto do gráfico do nó do pai a um nó da folha representa a ocorrência de todos os eventos que compreendem uma assinatura. O gráfico da decisão permite algumas das assinaturas ser detectado com a somente uma traversal, e evita a necessidade para um processo combinando separado para cada assinatura. Nesta maneira, um jogo inteiro de todas as assinaturas sabidas da referência pode ser consolidado em um jogo menor de gráficos da decisão.