Los ataques de topología del Protocolo de Enrutamiento para redes de bajo consumo y con pérdidas (RPL) pueden degradar significativamente el rendimiento de la red al interrumpir la estructura óptima del protocolo. Para detectar tales amenazas, proponemos una especificación de RPL, obtenida mediante una técnica de perfilado semi-automática que construye un resumen abstracto de las operaciones a través de trazas de simulación de red, para usar como referencia para verificar el comportamiento de los nodos. Esta especificación, que incluye todos los estados y transiciones legítimos del protocolo con estadísticas correspondientes, se implementará como un conjunto de reglas en los agentes de detección de intrusiones, en forma de los cabezales de clúster propagados para monitorear toda la red. Con el fin de ahorrar recursos, hacemos que los miembros del clúster informen sobre información relacionada acerca de sí mismos y otros vecinos al cabezal del clúster en lugar de hacer que el cabezal escuche toda la comunicación. Como resultado, la información sobre un miembro del clúster será reportada por diferentes vecinos, lo que permite al cabezal del clúster realizar una verificación cruzada. Proponemos registrar la secuencia en los mensajes de Objeto de Información RPL (DIO) y Solicitud de Información (DIS) para eliminar el problema de sincronización creado por el retraso en la transmisión del informe, en el que el cabezal del clúster solo realiza la verificación cruzada sobre la información que proviene de fuentes con la misma secuencia. Los resultados de la simulación muestran que el Sistema de Detección de Intrusiones (IDS) propuesto tiene una alta tasa de precisión en la detección de ataques de topología RPL, mientras que solo crea una sobrecarga insignificante (alrededor del 6.3%) que permite su escalabilidad en redes de gran escala.