حجم بالا و کیفیت پایین رویدادهای تولید شده توسط ابزارهای امنیتی، تحلیل و پاسخگویی سریع و موثر به آن ها را در عمل برای مدیران شبکه غیرممکن ساخته است. از این رو، محققین تلاش نموده اند تا با ارائه روش هایی برای تحلیل و همبسته سازی رویدادها، تعداد رویدادها را کاهش داده و هشدارهایی با سطح انتزاع بالاتر تولید کنند. روش های ارائه شده را می توان به طور کلی به دو دسته روش های مبتنی بر دانش و روش های مبتنی بر استنتاج تقسیم کرد. ضعف اصلی روش های مبتنی بر دانش، که اکثریت روش های موجود را تشکیل می دهند، وابستگی آن ها به دانش کارشناس امنیتی است. تولید و نگهداشت این دانش به روش دستی نه تنها نیازمند تخصص و تجربه بسیار بالایی است، بلکه می تواند بسیار زمان بر و خطاپذیر باشد. به منظور رفع مشکلات روش های مبتنی بر دانش، روند تحقیقاتی که اخیرا در حوزه همبسته سازی رویدادها صورت گرفته، به سمت روش های مبتنی بر استنتاج و کشف استراتژی های حملات از طریق تحلیل اتوماتیک رویدادهای امنیتی رفته است. اما اغلب روش های مبتنی بر استنتاج موجود نیز دارای دقت مناسبی نبوده و نمی توانند به صورت برخط عمل کنند. در این پژوهش، روش جدیدی را ارائه می دهیم که توانایی یادگیری الگوهای رفتار حملات از هشدارهای مشاهده شده را داشته باشد. سیستم پیشنهادی از دو مولفه اصلی تشکیل شده است. در مولفه اول که به صورت برون خط عمل می کند، از یک روش مبتنی بر شبکه بیزین برای کشف روابط علّی بین انواع هشدارها و تولید گراف نوع هشدار استفاده می شود. گراف نوع هشدار نوع خاصی از شبکه بیزین است که در واقع بیانگر قوانین همبستگی بین هشدارها می باشد. تولید این گراف به صورت خودکار، بدون نیاز به دانش قبلی و تنها با استفاده از تحلیل آماری رخداد حملات صورت می گیرد. در زمان اجرا، از قوانین به دست آمده برای کشف روابط علّی بین رویدادها، استفاده می شود. یکی از مهم ترین ویژگی های مدل ارائه شده، قابلیت استخراج الگوهای حملات بدون نیاز به دانش کارشناس است. کشف این الگوها می تواند امکان پیش بینی حملات آتی را برای یک سیستم برخط فراهم کند. نتایج آزمایشات صورت گرفته بر روی مجموعه darpa2000 به خوبی بیانگر این است که روش ما دقت خوبی در یادگیری الگوهای رفتار حملات دارد. الگوهای به دست آمده توسط روش پیشنهادی برای سناریوهای اول و دوم darpa به ترتیب حدود 97% و 85% منطبق بر سناریوهای واقعی حملات می باشند.