貝葉斯網路異常檢測

A. 關於輸入幾個植物特徵的智能識別系統的貝葉斯網路公式

貝葉斯分類是統計學分類方法。它們可以預測類成員關系的可能性，如給定樣本屬於一個特定類的概率。
樸素貝葉斯分類[2]假定了一個屬性值對給定類的影響獨立於其它屬性的值，這一假定稱作類條件獨立。
設定數據樣本用一個 n 維特徵向量X={x1，x2，，xn}表示，分別描述對n 個屬性A1，A2，，An樣本的 n 個度量。假定有m個類 C1，C2，，Cm 。給定一個未知的數據樣本 X（即沒有類標號），樸素貝葉斯分類分類法將預測 X 屬於具有最高後驗概率（條件 X 下）的類，當且僅當P(Ci | X)> P(Cj | X)，1≤j≤m，j≠i 這樣，最大化P(Ci | X)。其中P(Ci | X)最大類Ci 稱為最大後驗假定，其原理為貝葉斯定理：
公式(1)
由於P(X) 對於所有類為常數，只需要P(X | Ci)P(Ci)最大即可。並據此對P(Ci| X)最大化。否則，最大化P(X | Ci)P(Ci)。如果給定具有許多屬性的數據集，計算P(X | Ci)P(Ci)的開銷可能非常大。為降低計算P(X| Ci )的開銷，可以做類條件獨立的樸素假定。給定樣本的類標號，假定屬性值相互條件獨立，即在屬性間，不存在依賴關系，這樣，
公式(2)
概率，可以由訓練樣本估值：
(1) 如果Ak是分類屬性，則P(xk|Ci)=sik/si其中sik是Ak上具有值xk的類Ci的訓練樣本數，而si是Ci中的訓練樣本數。
(2) 如果Ak是連續值屬性，則通常假定該屬性服從高斯分布。因而
公式(3)
其中，給定類Ci的訓練樣本屬性Ak的值， 是屬性Ak的高斯密度函數，而 分別為平均值和標准差。
樸素貝葉斯分類演算法(以下稱為NBC)具有最小的出錯率。然而，實踐中並非如此，這是由於對其應用假定（如類條件獨立性）的不確定性，以及缺乏可用的概率數據造成的。主要表現為：
①不同的檢測屬性之間可能存在依賴關系，如protocol_type，src_bytes和dst_bytes三種屬性之間總會存在一定的聯系；
②當連續值屬性分布是多態時，可能產生很明顯的問題。在這種情況下，考慮分類問題涉及更加廣泛，或者我們在做數據分析時應該考慮另一種數據分析。
後一種方法我們將在以下章節詳細討論。
3 樸素貝葉斯的改進：核密度估計
核密度估計是一種普便的樸素貝葉斯方法，主要解決由每個連續值屬性設為高斯分布所產生的問題，正如上一節所提到的。在[3]文中，作者認為連續屬性值更多是以核密度估計而不是高斯估計。
樸素貝葉斯核密度估計分類演算法（以下稱K-NBC）十分類似如NBC，除了在計算連續屬性的概率 時：NBC是使用高斯密度函數來評估該屬性，而K-NBC正如它的名字所說得一樣，使用高斯核密度函數來評估屬性。它的標准核密度公式為
公式(4)
其中h=σ 稱為核密度的帶寬，K=g（x,0,1） ，定義為非負函數。這樣公式（4）變形為公式（5）
公式(5)
在K-NBC中採用高斯核密度為數據分析，這是因為高斯密度有著更理想的曲線特點。圖1說明了實際數據的概率分布更接近高斯核密度曲線。
圖1 兩種不同的概率密度對事務中數據的評估，其中黑線代表高斯密度，虛線為核估計密度並有兩個不同值的帶寬樸素貝葉斯演算法在計算μc和σc時，只需要存儲觀測值xk的和以及他們的平方和，這對一個正態分布來說是已經足夠了。而核密度在訓練過程中需要存儲每一個連續屬性的值（在學習過程中，對名詞性屬性只需要存儲它在樣本中的頻率值，這一點和樸素貝葉斯演算法一樣）。而為事例分類時，在計算連續值屬性的概率 時，樸素貝葉斯演算法只需要評估g一次，而核密度估計演算法需要對每個c類中屬性X每一個觀察值進行n次評估，這就增加計算存儲空間和時間復雜度，表1中對比了兩種方法的時間復雜度和內存需求空間。
4 實驗研究與結果分析
本節的目標是評價我們提出核密度評估分類演算法對入侵審計數據分類的效果，主要從整體檢測率、檢測率和誤檢率上來分析。
表1 在給定n條訓練事務和m個檢測屬性條件下，
NBC和K-NBC的演算法復雜度

樸素貝葉斯 核密度
時間 空間 時間 空間
具有n條事務的訓練數據 O(nm) O(m) O(nm) O(nm)
具有q條事務的測試數據 O(qm) O(qnm)

4.1 實驗建立
在實驗中，我們使用NBC與K-NBC進行比較。另觀察表1兩種演算法的復雜度，可得知有效的減少檢測屬性，可以提高他們的運算速度，同時刪除不相關的檢測屬性還有可以提高分類效率，本文將在下一節詳細介紹對稱不確定方法[4]如何對入侵審計數據的預處理。我們也會在實驗中進行對比分析。
我們使用WEKA來進行本次實驗。採用 KDDCUP99[5]中的數據作為入侵檢測分類器的訓練樣本集和測試樣本集，其中每個記錄由41個離散或連續的屬性(如：持續時間，協議類型等)來描述，並標有其所屬的類型(如：正常或具體的攻擊類型)。所有數據分類23類，在這里我們把這些類網路行為分為5大類網路行為（Normal、DOS、U2R、R2L、Probe）。
在實驗中，由於KDDCUP99有500多萬條記錄，為了處理的方便，我們均勻從kddcup.data.gz 中按照五類網路行為抽取了5萬條數據作為訓練樣本集，並把他們分成5組，每組數據為10000條，其中normal數據占據整組數據中的98.5%，這一點符合真實環境中正常數據遠遠大於入侵數據的比例。我們首
先檢測一組數據中只有同類的入侵的情況，共4組數據（DOS中的neptune，Proble中的Satan，U2R中的buffer_ overflow，R2l中的guess_passwd），再檢測一組數據中有各種類型入侵數據的情況。待分類器得到良好的訓練後，再從KDD99數據中抽取5組數據作為測試樣本，分別代表Noraml-DOS，Normal-Probe，Normal-U2R，Normal-R2L，最後一組為混後型數據，每組數據為1萬條。
4.2 數據的預處理
由於樸素貝葉斯有個假定，即假定所有待測屬性對給定類的影響獨立於其他屬性的值，然而現實中的數據不總是如此。因此，本文引入對稱不確定理論來對數據進行預處理，刪除數據中不相關的屬性。
對稱不確定理論是基於信息概念論，首先我們先了解一下信息理論念，屬性X的熵為：
公式(6)
給定一個觀察變數Y，變數X的熵為:
公式(7)
P(xi )是變數X所有值的先驗概率，P(xi|yi )是給定觀察值Y，X的後驗概率。這些隨著X熵的降低反映在條件Y下，X額外的信息，我們稱之為信息增益，
公式(8)
按照這個方法，如果IG(X|Y)＞IG(X|Y)，那麼屬性Y比起屬性Z來，與屬性X相關性更強。
定理：對兩個隨機變數來說，它們之間的信息增益是對稱的。即
公式(9)
對測量屬性之間相關性的方法來說，對稱性是一種比較理想的特性。但是在計算有很多值的屬性的信息增益時，結果會出現偏差。而且為了確保他們之間可以比較，必須使這些值離散化，同樣也會引起偏差。因此我們引入對稱不確定性，
公式(10)
通過以下兩個步驟來選擇好的屬性：
①計算出所有被測屬性與class的SU值，並把它們按降序方式排列；
②根據設定的閾值刪除不相關的屬性。
最後決定一個最優閾值δ，這里我們通過分析NBC和K-NBC計算結果來取值。
4.3 實驗結果及分析
在試驗中，以記錄正確分類的百分比作為分類效率的評估標准，表2為兩種演算法的分類效率。

表2 對應相同入侵類型數據進行檢測的結果
數據集

演算法 DOS
(neptune) Proble
(satan) R2L
( guess_passwd) U2R
(buffer_overflow)
檢測率 誤檢率 整體檢測率 檢測率 誤檢率 整體檢測率 檢測率 誤檢率 整體檢測率 檢測率 誤檢率 整體檢測率
NBC 99.5 0.2 99.79 98.3 0.1 99.84 97.3 0.8 99.2 95 1.8 98.21
K-NBC 99.5 0.2 99.96 98.3 0 99.96 97.3 0.2 99.81 71 0.1 99.76
SU+NBC 99.5 0 99.96 98.3 0.1 99.85 98 0.7 99.24 9 1.1 98.84
SU+K-NBC 99.5 0 99.96 98.3 0 99.96 98.7 0.2 99.76 85 0.1 99.81

根據表2四組不同類別的入侵檢測結果，我們從以下三個方面分析：
（1）整體檢測率。K-NBC的整體檢測率要比NBC高，這是因為K-NBC在對normal這一類數據的檢測率要比NBC高，而normal這一類數據又占整個檢測數據集數的95%以上，這也說明了在上一節提到的normal類的數據分布曲線更加接近核密度曲線。
（2）檢測率。在對DOS和PROBLE這兩組數據檢測結果，兩個演算法的檢測率都相同，這是因為這兩類入侵行為在實現入侵中占絕大部分，而且這一類數據更容易檢測，所以兩種演算法的檢測效果比較接近；針對 R2L檢測，從表2可以看到，在沒有進行數據預處理之前，兩者的的檢測率相同，但經過數據預處理後的兩個演算法的檢測率都有了提高，而K-NBC的效率比NBC更好點；而對U2R的檢測結果，K-NBC就比NBC差一點，經過數據預處理後，K-NBC的檢測率有一定的提高，但還是比NBC的效果差一些。
（3）誤檢率。在DOS和Proble這兩種組數據的誤檢率相同，在其他兩組數據的中，K-NBC的誤檢率都比NBC的低。
根據表3的結果分析，我們也可以看到的檢測結果與表2的分組檢測的結果比較類似，並且從綜合角度來說，K-NBC檢測效果要比NBC的好。在這里，我們也發現，兩種演算法對R2L和U2L這兩類入侵的檢測效果要比DOS和Proble這兩類入侵的差。這主要是因為這兩類入侵屬於入侵行為的稀有類，檢測難度也相應加大。在KDD99競賽中，冠軍方法對這兩類的檢測效果也是最差的。但我們可以看到NBC對這種稀有類的入侵行為檢測更為准確一點，這應該是稀有類的分布更接近正態分布。
從上述各方面綜合分析，我們可以證明K-NBC作為的入侵檢測分類演算法的是有其優越性的。

表3 對混合入侵類型數據進行檢測的結果
數據集

演算法 整體檢測 分類檢測
Normal Dos Proble R2L U2R
檢測率 誤檢率 檢測率 誤檢率 檢測率 誤檢率 檢測率 誤檢率 檢測率 誤檢率 檢測率 誤檢率
NBC 98.14 1.8 98.2 0.8 99.8 0 99.8 0 90 0 86.7 1.8
K-NBC 99.78 0.2 99.8 2.3 99.8 0 99.8 0 96 0 73.3 0.1
SU+NBC 97.99 2.0 98 0.8 99.8 0 99.8 0 90 0 86.7 1.9
SU+K-NBC 99.79 0.2 99.8 1.9 99.8 0 99.8 0 96 0 80 0.1

5 結論
在本文中，我們用高斯核密度函數代替樸素貝葉斯中的高斯函數，建立K-NBC分類器，對入侵行為進行檢測，另我們使用對稱不確定方法來刪除檢測數據的中與類不相關的屬性，從而進一步改進核密度樸素貝葉斯的分類效率，實驗表明，對預處理後的審計數據，再結合K-NBC來檢測，可以達到更好的分類效果，具有很好的實用性。同時我們也注意到，由於入侵檢測的數據中的入侵行為一般為稀有類，特別是對R2L和U2R這兩類數據進行檢測時，NBC有著比較理想的結果，所以在下一步工作中，我們看是否能把NBC和K－NBC這兩種分類模型和優點聯合起來，並利用對稱不確定理論來刪除檢測數據與類相關的屬性中的冗餘屬性，進一步提高入侵檢測效率。

B. 人工智慧演算法簡介

人工智慧的三大基石—演算法、數據和計算能力，演算法作為其中之一，是非常重要的，那麼人工智慧都會涉及哪些演算法呢？不同演算法適用於哪些場景呢？

一、按照模型訓練方式不同可以分為監督學習（Supervised Learning），無監督學習（Unsupervised Learning）、半監督學習（Semi-supervised Learning）和強化學習（Reinforcement Learning）四大類。

常見的監督學習演算法包含以下幾類：
（1）人工神經網路（Artificial Neural Network）類：反向傳播（Backpropagation）、波爾茲曼機（Boltzmann Machine）、卷積神經網路（Convolutional Neural Network）、Hopfield網路（hopfield Network）、多層感知器（Multilyer Perceptron）、徑向基函數網路（Radial Basis Function Network，RBFN）、受限波爾茲曼機（Restricted Boltzmann Machine）、回歸神經網路（Recurrent Neural Network，RNN）、自組織映射（Self-organizing Map，SOM）、尖峰神經網路（Spiking Neural Network）等。
（2）貝葉斯類（Bayesin）：樸素貝葉斯（Naive Bayes）、高斯貝葉斯（Gaussian Naive Bayes）、多項樸素貝葉斯（Multinomial Naive Bayes）、平均-依賴性評估（Averaged One-Dependence Estimators，AODE）
貝葉斯信念網路（Bayesian Belief Network，BBN）、貝葉斯網路（Bayesian Network，BN）等。
（3）決策樹（Decision Tree）類：分類和回歸樹（Classification and Regression Tree，CART）、迭代Dichotomiser3（Iterative Dichotomiser 3， ID3）,C4.5演算法（C4.5 Algorithm）、C5.0演算法（C5.0 Algorithm）、卡方自動交互檢測（Chi-squared Automatic Interaction Detection，CHAID）、決策殘端（Decision Stump）、ID3演算法（ID3 Algorithm）、隨機森林（Random Forest）、SLIQ（Supervised Learning in Quest）等。
（4）線性分類器（Linear Classifier）類：Fisher的線性判別（Fisher』s Linear Discriminant）
線性回歸（Linear Regression）、邏輯回歸（Logistic Regression）、多項邏輯回歸（Multionmial Logistic Regression）、樸素貝葉斯分類器（Naive Bayes Classifier）、感知（Perception）、支持向量機（Support Vector Machine）等。

常見的無監督學習類演算法包括：
（1） 人工神經網路（Artificial Neural Network）類：生成對抗網路（Generative Adversarial Networks，GAN），前饋神經網路（Feedforward Neural Network）、邏輯學習機（Logic Learning Machine）、自組織映射（Self-organizing Map）等。
（2） 關聯規則學習（Association Rule Learning）類：先驗演算法（Apriori Algorithm）、Eclat演算法（Eclat Algorithm）、FP-Growth演算法等。
（3）分層聚類演算法（Hierarchical Clustering）：單連鎖聚類（Single-linkage Clustering），概念聚類（Conceptual Clustering）等。
（4）聚類分析（Cluster analysis）：BIRCH演算法、DBSCAN演算法，期望最大化（Expectation-maximization，EM）、模糊聚類（Fuzzy Clustering）、K-means演算法、K均值聚類（K-means Clustering）、K-medians聚類、均值漂移演算法（Mean-shift）、OPTICS演算法等。
（5）異常檢測（Anomaly detection）類：K最鄰近（K-nearest Neighbor，KNN）演算法，局部異常因子演算法（Local Outlier Factor，LOF）等。

常見的半監督學習類演算法包含：生成模型（Generative Models）、低密度分離（Low-density Separation）、基於圖形的方法（Graph-based Methods）、聯合訓練（Co-training）等。

常見的強化學習類演算法包含：Q學習（Q-learning）、狀態-行動-獎勵-狀態-行動（State-Action-Reward-State-Action，SARSA）、DQN（Deep Q Network）、策略梯度演算法（Policy Gradients）、基於模型強化學習（Model Based RL）、時序差分學習（Temporal Different Learning）等。

常見的深度學習類演算法包含：深度信念網路（Deep Belief Machines）、深度卷積神經網路（Deep Convolutional Neural Networks）、深度遞歸神經網路（Deep Recurrent Neural Network）、分層時間記憶（Hierarchical Temporal Memory，HTM）、深度波爾茲曼機（Deep Boltzmann Machine，DBM）、棧式自動編碼器（Stacked Autoencoder）、生成對抗網路（Generative Adversarial Networks）等。

二、按照解決任務的不同來分類，粗略可以分為二分類演算法（Two-class Classification）、多分類演算法（Multi-class Classification）、回歸演算法（Regression）、聚類演算法（Clustering）和異常檢測（Anomaly Detection）五種。
1.二分類（Two-class Classification）
（1）二分類支持向量機（Two-class SVM）：適用於數據特徵較多、線性模型的場景。
（2）二分類平均感知器（Two-class Average Perceptron）：適用於訓練時間短、線性模型的場景。
（3）二分類邏輯回歸（Two-class Logistic Regression）：適用於訓練時間短、線性模型的場景。
（4）二分類貝葉斯點機（Two-class Bayes Point Machine）：適用於訓練時間短、線性模型的場景。（5）二分類決策森林（Two-class Decision Forest）：適用於訓練時間短、精準的場景。
（6）二分類提升決策樹（Two-class Boosted Decision Tree）：適用於訓練時間短、精準度高、內存佔用量大的場景
（7）二分類決策叢林（Two-class Decision Jungle）：適用於訓練時間短、精確度高、內存佔用量小的場景。
（8）二分類局部深度支持向量機（Two-class Locally Deep SVM）：適用於數據特徵較多的場景。
（9）二分類神經網路（Two-class Neural Network）：適用於精準度高、訓練時間較長的場景。

解決多分類問題通常適用三種解決方案：第一種，從數據集和適用方法入手，利用二分類器解決多分類問題；第二種，直接使用具備多分類能力的多分類器；第三種，將二分類器改進成為多分類器今兒解決多分類問題。
常用的演算法：
（1）多分類邏輯回歸（Multiclass Logistic Regression）：適用訓練時間短、線性模型的場景。
（2）多分類神經網路（Multiclass Neural Network）：適用於精準度高、訓練時間較長的場景。
（3）多分類決策森林（Multiclass Decision Forest）：適用於精準度高，訓練時間短的場景。
（4）多分類決策叢林（Multiclass Decision Jungle）：適用於精準度高，內存佔用較小的場景。
（5）「一對多」多分類（One-vs-all Multiclass）：取決於二分類器效果。

回歸
回歸問題通常被用來預測具體的數值而非分類。除了返回的結果不同，其他方法與分類問題類似。我們將定量輸出，或者連續變數預測稱為回歸；將定性輸出，或者離散變數預測稱為分類。長巾的演算法有：
（1）排序回歸（Ordinal Regression）：適用於對數據進行分類排序的場景。
（2）泊松回歸（Poission Regression）：適用於預測事件次數的場景。
（3）快速森林分位數回歸（Fast Forest Quantile Regression）：適用於預測分布的場景。
（4）線性回歸（Linear Regression）：適用於訓練時間短、線性模型的場景。
（5）貝葉斯線性回歸（Bayesian Linear Regression）：適用於線性模型，訓練數據量較少的場景。
（6）神經網路回歸（Neural Network Regression）：適用於精準度高、訓練時間較長的場景。
（7）決策森林回歸（Decision Forest Regression）：適用於精準度高、訓練時間短的場景。
（8）提升決策樹回歸（Boosted Decision Tree Regression）：適用於精確度高、訓練時間短、內存佔用較大的場景。

聚類
聚類的目標是發現數據的潛在規律和結構。聚類通常被用做描述和衡量不同數據源間的相似性，並把數據源分類到不同的簇中。
（1）層次聚類（Hierarchical Clustering）：適用於訓練時間短、大數據量的場景。
（2）K-means演算法：適用於精準度高、訓練時間短的場景。
（3）模糊聚類FCM演算法（Fuzzy C-means，FCM）：適用於精確度高、訓練時間短的場景。
（4）SOM神經網路（Self-organizing Feature Map，SOM）：適用於運行時間較長的場景。
異常檢測
異常檢測是指對數據中存在的不正常或非典型的分體進行檢測和標志，有時也稱為偏差檢測。
異常檢測看起來和監督學習問題非常相似，都是分類問題。都是對樣本的標簽進行預測和判斷，但是實際上兩者的區別非常大，因為異常檢測中的正樣本（異常點）非常小。常用的演算法有：
（1）一分類支持向量機（One-class SVM）：適用於數據特徵較多的場景。
（2）基於PCA的異常檢測（PCA-based Anomaly Detection）：適用於訓練時間短的場景。

常見的遷移學習類演算法包含：歸納式遷移學習（Inctive Transfer Learning） 、直推式遷移學習（Transctive Transfer Learning）、無監督式遷移學習（Unsupervised Transfer Learning）、傳遞式遷移學習（Transitive Transfer Learning）等。

演算法的適用場景：
需要考慮的因素有：
（1）數據量的大小、數據質量和數據本身的特點
（2）機器學習要解決的具體業務場景中問題的本質是什麼？
（3）可以接受的計算時間是什麼？
（4）演算法精度要求有多高？
————————————————

原文鏈接： https://blog.csdn.net/nfzhlk/article/details/82725769

C. 了解NB四大件表面噴漆作業中異常問題及問題處理什麼意思 NB是什麼意思

NB演算法就是樸素貝葉斯（Naive Bayes）分類演算法，在數據挖掘領域我們常常簡稱其為NB演算法。[2]
這種分類演算法假定類條件獨立，即假定各變數之間相互獨立，這樣可以簡化計算。只有當假定成立時，該演算法准確定最高。在實際中，變數之間往往存在某種依賴關系，這是必須用降低獨立性假設的貝葉斯信念網路（也稱貝葉斯網路，信念網路或概率網路）代替NB演算法來進行分類。NB：三廂Notchback

D. 機械編程還能自己檢測出BUG，機械編程帶來了哪些好處

首先，ControlFlag是完全自我監督的機器編程系統，不需要人類對其進行訓練及指導。ControlFlag的無監督模式識別方法使它可以在本質上學習適應開發者的風格。在要評估的控制工具的有限輸入信息中，ControlFlag可以識別編程語言中的各種樣式，不受代碼使用的編程語言限制。

第二，ControlFlag檢測bug的功能集成了機器學習、形式化方法、編程語言、編譯器和計算機系統。據悉，ControlFlag通過一個稱為異常檢測的功能來進行bug檢測，通過學習經驗證的例子來檢測正常的編程模式，並找出代碼中可能導致bug的異常。該工具將學會識別和標記這些風格選擇，並根據其見解進行自動的錯誤識別和建議解決方案，以便ControlFlag能夠盡可能地避免將兩個開發團隊之間的風格差異視為代碼錯誤。

圖：英特爾與麻省理工學院研究人員聯合發表的願景論文提出機器編程有三大支柱，分別是意圖（intention）、創造（invention）、適應（adaptation）

如前所述，異構系統非常復雜，能夠切實掌握異構系統編程技術的工程師少之又少，英特爾研究院機器編程研究正在開發某種機制，讓程序員或非程序員不僅能夠輕松訪問異構硬體，還能充分使用其他系統可用資源，以大幅降低異構編程難度。這也是英特爾機器編程的基本驅動力之一。

E. 入侵檢測系統的檢測方法

在異常入侵檢測系統中常常採用以下幾種檢測方法： 基於貝葉斯推理檢測法：是通過在任何給定的時刻，測量變數值，推理判斷系統是否發生入侵事件。 基於特徵選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進行預測或分類。 基於貝葉斯網路檢測法：用圖形方式表示隨機變數之間的關系。通過指定的與鄰接節點相關一個小的概率集來計算隨機變數的聯接概率分布。按給定全部節點組合，所有根節點的先驗概率和非根節點概率構成這個集。貝葉斯網路是一個有向圖，弧表示父、子結點之間的依賴關系。當隨機變數的值變為已知時，就允許將它吸收為證據，為其他的剩餘隨機變數條件值判斷提供計算框架。
基於模式預測的檢測法：事件序列不是隨機發生的而是遵循某種可辨別的模式是基於模式預測的異常檢測法的假設條件，其特點是事件序列及相互聯系被考慮到了，只關心少數相關安全事件是該檢測法的最大優點。 基於統計的異常檢測法：是根據用戶對象的活動為每個用戶都建立一個特徵輪廓表，通過對當前特徵與以前已經建立的特徵進行比較，來判斷當前行為的異常性。用戶特徵輪廓表要根據審計記錄情況不斷更新，其保護去多衡量指標，這些指標值要根據經驗值或一段時間內的統計而得到。 基於機器學習檢測法：是根據離散數據臨時序列學習獲得網路、系統和個體的行為特徵，並提出了一個實例學習法IBL，IBL是基於相似度，該方法通過新的序列相似度計算將原始數據（如離散事件流和無序的記錄）轉化成可度量的空間。然後，應用IBL學習技術和一種新的基於序列的分類方法，發現異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。
數據挖掘檢測法：數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網路中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。如果靠手工方法來發現記錄中的異常現象是遠遠不夠的，所以將數據挖掘技術應用於入侵檢測中，可以從審計數據中提取有用的知識，然後用這些知識區檢測異常入侵和已知的入侵。採用的方法有KDD演算法，其優點是善於處理大量數據的能力與數據關聯分析的能力，但是實時性較差。
基於應用模式的異常檢測法：該方法是根據服務請求類型、服務請求長度、服務請求包大小分布計算網路服務的異常值。通過實時計算的異常值和所訓練的閾值比較，從而發現異常行為。
基於文本分類的異常檢測法：該方法是將系統產生的進程調用集合轉換為「文檔」。利用K鄰聚類文本分類演算法，計算文檔的相似性。 誤用入侵檢測系統中常用的檢測方法有： 模式匹配法：是常常被用於入侵檢測技術中。它是通過把收集到的信息與網路入侵和系統誤用模式資料庫中的已知信息進行比較，從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔，有較高的檢測率和准確率。 專家系統法：這個方法的思想是把安全專家的知識表示成規則知識庫，再用推理演算法檢測入侵。主要是針對有特徵的入侵行為。 基於狀態轉移分析的檢測法：該方法的基本思想是將攻擊看成一個連續的、分步驟的並且各個步驟之間有一定的關聯的過程。在網路中發生入侵時及時阻斷入侵行為，防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。