Les méthodes d'inférence pour la détection d'attaques sur des ressources d'information mettent en œuvre des techniques d'analyse de signature (détection d'abus) ou des méthodes statistiques (détection d'anomalie). L'analyse de signature a l'avantage de spécifier les attaques de manière précise, mais ne détecte que des attaques connues ; les méthodes statistiques sont capables de détecter les attaques de manière probabiliste, permettant l'extension aux attaques inconnues, mais les modèles sur lesquels est basée la détection sont parfois imprécis. Dans cet article, Valdes et Skinner présentent une technique performante et adaptative, utilisant les réseaux bayésiens pour analyser des rafales de trafic. Les classes d'attaques sont représentées comme des hypothèses de modélisation, continuellement renforcées par adaptation. Cette approche rassemble à la fois les meilleures fonctionnalités des techniques d'analyse de signature et celles des modèles statistiques : spécificité de la modélisation, adaptabilité et potentiel de généralisation. Le prototype de détection initial examine les en-têtes TCP et communique en IDIP (Intrusion Detection Internet Protocol). La technique d'inférence utilisée est également appropriée pour la corrélation de plusieurs détecteurs.