En las últimas tres décadas, la intrusión de piedra de paso se ha convertido en una forma profesional y primaria utilizada por los intrusos para lanzar sus ataques, ya que pueden protegerse detrás de una larga cadena de conexiones TCP. Se han propuesto muchos algoritmos diferentes para detectar la intrusión de piedra de paso desde 1995. Pero la mayoría de los algoritmos no pueden resistir la manipulación de sesiones de los intrusos. En este documento, proponemos un enfoque novedoso utilizando la distribución del tiempo de ida y vuelta (RTT) del tráfico de red para detectar la intrusión de piedra de paso. Este enfoque puede resistir la perturbación de la paja por parte de los intrusos, ya que el tiempo de ida y vuelta de los paquetes de red puede verse afectado de manera justa por los paquetes de paja. La proporción entre la desviación estándar de los RTT entre los paquetes de Envío y Eco y la desviación estándar de los RTT entre los paquetes de Envío y Ack se puede utilizar para predecir si existe una intrusión de piedra de paso. Cuanto más cerca de 0 esté la proporción, más sospechosa es una intrusión de piedra de paso.