diff --git a/part/intrusion.tex b/part/intrusion.tex
index dab6e98..d48e203 100644
--- a/part/intrusion.tex
+++ b/part/intrusion.tex
@@ -397,7 +397,7 @@ \subsection{Экспертные ID-системы}
 или нескольких экспертов в некоторой предметной области. Инженер имплекационных правил <<встраивает>>
 процедуры, стратегии, эмпирические правила в экспертную систему. В результате появляется 
 компьютерная программа, которая решает задачи во многом так же, как эксперты -- люди.
-\autocite{IDSystem}
+\autocite{BeynonDavies}
 
 Главное преимущество использования продукционных систем заключается в возможности разделения причин и 
 решений возникающих проблем.
@@ -422,6 +422,17 @@ \subsection{Экспертные ID-системы}
 При использовании продукционных систем для обнаружения вторжений можно установить символическое 
 проявление вторжения при помощи имеющихся данных.
 
+\textbf{Существует 3 вида Expert System}, отличаются они по методу 
+получения имплекационных 
+правил\autocite{IDSystem}:
+
+\begin{itemize}
+	\item Статистическая модель - эксперт сам задает веса параметров в общей функции анамальности.
+	\item Нейросетевая модель - веса параметров задаются за счет обучения нейросетевой модели 
+	(эксперт задает архитектуру модели и обучающую выборку).
+	\item Генерация патернов - эксперт задает связи (правила) между событиями безопасности.
+\end{itemize}
+
 \textbf{Трудности:}
 \begin{itemize}
     \item Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых 
@@ -572,7 +583,7 @@ \subsubsection{Нейронные сети для представления п
 \autocite{BeynonDavies}
 
 
-\subsubsection{Нейронные сети для представления профиля}
+\subsubsection{Генерация патернов}
 Представление «образа» в данном случае основывается на предположении о том, что текущие значения 
 параметров оценки можно связать с текущим состоянием системы. После этого функционирование 
 представляется в виде последовательности событий или состояний.