Ha habido una enorme cantidad de investigaciones sobre el uso de técnicas de aprendizaje automático para detección de anomalías , es decir, para escanear el tráfico de red y detectar intrusiones. Sin embargo, esta investigación ha tenido muy poco impacto práctico. Estas técnicas han visto poca implementación y rara vez se utilizan en la práctica.
¿Por qué no? Hay una serie de razones.
Primero, estos sistemas tienden a tener una alta tasa de falsas alarmas. A menudo provocan múltiples alarmas falsas por día (a veces incluso docenas por día), lo que toma el tiempo de los administradores del sistema. Este es un desafío fundamental para los sistemas de detección de anomalías, ya que sufren el problema de la "aguja en un pajar": miles de millones de paquetes atraviesan su red todos los días, y casi todos son benignos. Si el algoritmo tiene una tasa de falsa alarma tan baja como el 0,1%, todavía se están marcando falsamente miles de paquetes. Para ser práctico, el algoritmo de detección de anomalías debe tener una tasa de falsas alarmas excepcionalmente baja, lo cual es un gran desafío para hacerlo bien, por la misma razón que es muy difícil detectar terroristas en la detección en el aeropuerto, sin introducir muchas falsas alarmas eso hace que las personas de todos los días tengan que ser buscadas.
Segundo, los sistemas de detección de anomalías tienden a no ser muy robustos. Se centran en detectar patrones inusuales o novedosos en el tráfico de su red: cualquier cosa fuera de lo común. La consecuencia es que, cada vez que algo cambia en su red, no importa cuán benigno sea, tienden a generar alarmas. ¿Su sitio web acaba de ser slashdotted? Blam, las alarmas espurias se vuelven locas. ¿Alguno de los usuarios instaló una nueva aplicación que juega juegos de NAT novedosos? Blam, aquí vienen las falsas alarmas. ¿Alguien acaba de instalar IPv6 por primera vez? Culpa ¿Alguien conecta un nuevo teléfono móvil con una pila TCP / IP no fiable que envía paquetes rotos? Culpa Tienes la idea.
Si desea leer más sobre los desafíos de la innovación en esta área, le recomendaría los siguientes trabajos de investigación: