Đề tài sử dụng ngưỡng cảnh báo tương ứng với từng nơron từ quá trình huấn luyện “Bản đồ tự tổ chức”. Sau đó, chúng ta sử dụng “Bản đồ tự tổ chức” để dò tìm mã độc xâm nhập. Với 10.048 mẫu tấn công thì kết quả dò tìm như sau: Với kết quả phát hiện chậm thì chúng ta cần phải thay đổi ngưỡng cảnh báo của những nơron với ngưỡng gần bằng khoảng cách từ các mẫu đầu vào đến nơron.
Để xác định được ngưỡng cảnh báo phù hợp thì ngưỡng cảnh báo của những nơron với ngưỡng gần bằng khoảng cách từ các mẫu đầu vào đến nơron. Vì vậy, đầu tiên ta gán bán kính IDS bằng lỗi lượng tử trung bình sau đó giảm dần bán kính IDS về 0 khi đó ta nhận được kết quả tốt nhất.
Cảnh báo sai gồm 2 loại:
False negative: Có tấn công nhưng chương trình không cảnh báo, vì chưa đạt được đến ngưỡng cảnh báo cần thiết.
False positive: Trong tình trạng mạng bình thường nhưng chương trình vẫn cảnh báo là có tấn công, do lưu lượng bình thường này đạt đến ngưỡng cảnh báo.
Nếu để ngưỡng cảnh báo thấp (bán kính IDS lớn) sẽ phát hiện tấn công kịp thời, nhưng khả năng false positive cao, vì lúc đó tình trạng bình thường nhưng chương trình vẫn cảnh báo. Ngược lại, nếu để ngưỡng cảnh báo cao (bán kính IDS nhỏ) thì tình trạng false positive thấp nhưng lúc đó nhiều mã độc tấn công chương trình không nhận dạng ra được do chưa đạt đến ngưỡng cảnh báo. Như vậy, việc đưa ngưỡng cảnh báo vào phải làm sao cân bằng được giữa false negative và false positive cần có thời gian thực nghiệm lâu dài.