En este trabajo se presenta la implementación de un módulo de optimización para el IDS/IPS SNORT basando su mitigación no sólo en firmas, sino también mediante, estadísticas y aprendizaje. El funcionamiento del módulo de optimización se basa en tres procesos que son modo aprendizaje, modo detección y limpieza de anomalías. El primero se centra en aprender los patrones del tráfico común, almacenándolo en una base de datos, luego se inicia el modo detección para comparar el tráfico aprendido previamente y detectar cualquier anomalía, enviando las conexiones anómalas al módulo de limpieza, lo cual permite a este último proceso eliminar única y exclusivamente la conexión maliciosa.