Detectar e prevenir intrusões é essencial para redes modernas. Sistemas de detecção evoluíram bastante desde que eles surgiram na década de oitenta. Sistemas comerciais modernos, baseados principalmente em detecção por assinaturas, conseguem detectar eficientemente ataques conhecidos. Entretanto, eles são vulneráveis a ataques novos, e precisam constantemente de atualizações. Sistemas que superam esse problema, baseando-se em detecção de anomalias, ainda possuem desempenho ruim, tendo uma alta taxa de alarmes falsos. Entretanto esta área é promissora e muitas pesquisas tem sido feitas.

Um dos principais desafios desta área é a caracterização de um comportamento "normal", devido a não existência de um padrão de sistema. De forma que para a otimização de um detector de anomalias, se faz necessário o desenvolvimento específico para cada ambiente.

Outro desafio relacionado à detecção de anomalias é o desenvolvimento de uma teoria adequada para o comportamento intrusivo que possa ser utilizada no projeto de sistemas de detecção. Tal teoria forneceria uma abstração suficientemente boa para caracterizar comportamentos concretos. Não está claro se tal teoria é realizável, porém caso seja, permitiria um significativo progresso.