نظام كشف التسلل (IDS)، الذي يُعدّ تقليديًا مثالًا على نظام مراقبة أمنية فعّال، يواجه تحديات كبيرة بسبب التحول الرقمي المستمر في مجتمعنا الحديث. فبالإضافة إلى الزيادة المستمرة في عدد الأجهزة المتصلة وتنوعها، فإن هذا التوسع يؤدي إلى ظهور تهديدات جديدة لا تُعرفها الأنظمة الحالية، كما أن كمية البيانات التي يجب مراقبتها تفوق قدرات النظام الفردي. وهذا يُبرز الحاجة إلى نظام IDS قابل للتوسع قادر على كشف الهجمات غير المعروفة، بما في ذلك الهجمات الصفرية (zero-day). في هذا البحث، يُقترح نهج متعدد المراحل جديد للكشف الهرمي عن التسلل. وقد تم التحقق من صحة هذا النهج باستخدام مجموعتي بيانات معياريّتين علنيتين: CIC-IDS-2017 وCSE-CIC-IDS-2018. وتُظهر النتائج أن النهج المقترح لا يوفر كشفًا فعّالاً وقويًا للهجمات الصفرية فحسب، بل يتفوّق أيضًا على النماذج الأساسية والطرق الحالية، حيث يحقق أداءً عاليًا في التصنيف، يصل إلى 96% من الدقة المتوازنة. علاوة على ذلك، فإن النهج المقترح يُعدّ سهل التكيّف دون الحاجة إلى إعادة التدريب، ويستفيد من التوزيعات متعددة المستويات (n-tier) لتقليل استهلاك عرض النطاق الترددي والموارد الحسابية، مع الحفاظ على قيود الخصوصية. وقد تمكّنت النماذج الأفضل أداءً، باستخدام مجموعة متوازنة من القيم الحدّية، من تصنيف 87% من الهجمات الصفرية (أي 41 هجومًا من أصل 47 هجومًا)، مع تقليل احتياجات عرض النطاق الترددي بنسبة تصل إلى 69%.