Introdução
As redes de computadores têm apresentado um aumento significativo nos últimos anos, e por conseqüência a procura por métodos de proteção que garantam a confiabilidade e segurança dos dados também cresce muito, principalmente contra as intrusões.
A preocupação em relação a estas intrusões em redes tanto corporativas quanto domesticas, se da pela possibilidade de tal método expor informações sigilosas e de dados confidencias, alem dos danos causados por alterações de registros.
Os grandes investimentos hoje em dia, para solucionar este tipo de problema se dão através de sistemas de detecção de intrusão.
Sistemas detectores de intrusão têm por finalidade um mecanismo que venha a reduzir a possibilidade de intrusão, porem, este sistema sozinho não oferece nenhuma garantia de eliminar esta possibilidade.

Detectar uma intrusão significa detectar o uso não autorizado ou ataques em um sistema ou em uma rede. Um sistema de detecção de intrusão inspeciona o conteúdo do trafego de rede para procurar e desviar possíveis ataques, exatamente como um pacote de software antivírus inspeciona o conteúdo de arquivos, anexos de e-mail, etc..., para procurar assinaturas de vírus, padrões que correspondem a software danoso conhecido, ou possíveis ações maldosas, padrões de comportamento que são no mínimo suspeitos, se não completamente inaceitáveis (CASWELL ET, 2003; MONZON, 2007).

Uma das técnicas utilizadas pelos sistemas de detecção de intrusão é a de detecção de anomalias. Esta técnica se da pela análise de do perfil de uma atividade normal, ou seja, que não sofre qualquer tipo de interferência ou intrusão.
“As técnicas de detecção por anomalia assumem que todas as atividades intrusivas são necessariamente anômalas. Isto significa que se um perfil de uma atividade normal puder ser criado, é possível (em teoria) que todos os eventos que variam de forma estatisticamente significativa desse perfil sejam classificados como tentativas de intrusão. Entretanto, se for