Zuerst zeichnen wir die zu untersuchenden Netzwerkdaten auf einem zentralen System auf und wandeln sie in einen Netflow um. Der Netflow besteht aus den wichtigsten Merkmalen für jede Kommunikation, wie zum Beispiel der Dauer der Übertragung, der Menge der übertragenen Bytes und mehr. Diese Merkmale dienen als Eingabe für unseren Autoencoder (KI-Modell, siehe Grafik). Im Autoencoder werden die Eingaben komprimiert (encodiert), diese encodierten Daten werden dann bestmöglich rekonstruiert. Unser Autoencoder ist trainiert, um Netzdaten ohne Angriffe möglichst genau rekonstruieren zu können. Um festzustellen, ob es sich bei der Kommunikation um einen Angriff handelt, berechnen wir den Unterschied zwischen den rekonstruierten und den originalen Daten (Reconstruction Loss). Wenn dieser Unterschied einen bestimmten Schwellenwert überschreitet, wird die Kommunikation als potenzieller Angriff gemeldet.