2. Tại sao phải sử dụng IDS
3.1.2. Nhược điểm của hệ thống NIDS
• Nó có thể gặp khó khăn trong việc phân tích toàn bộ các gói tin trong một hệ thống mạng lớn hoặc mạng đang trong giờ cao điểm. Do đó nó có hể nhận lầm cá dấu hiệu của một cuộc tấn công trnog suốt khoảng thời gian mà lưu lượng sử dụng mạng tăng cao. Một vài nhà sản suất đã cố gắng khắc phục điều này bằng cách xây dựng các thiết bị NIDS bằng phần cứng giúp chúng có thể chạy nhanh hơn rất nhiều. Sự cần thiế của việc phân tích nhanh buộc các nhà sản suất phải đáp ứng được yêu cầu là phân tích nhanh nhưng lại tốn ít tài nguyên của hệ thống đến thấp nhất có thể.
• Hầu hết các ưu điểm của NIDS lại không thể áp dụng vào mô hình mạng dựa trên các chuyển mạch( Switch based network). Các Switch chi các mạng ra thành các phân đoạn mạng nhỏ hơn và nó cung cấp các đường kết nối dành sẵn cho các trạm mà nó phục vụ. Hầu hết các Switch đều không cung cấp cổng đểgiám sát mọi cổng( các gói tin từ các cổng khác đều được gửi đến cổng này). Điều này làm giảm khoảng giám sát của các bộ cảm biến đến các máy trạm riêng biệt. Ngay cả khi các Switch có cá cổng phục vị cho việc giám sát thì chúng cũng không thể được cung cấp hết toàn bộ giao thông lưu chuyển qua Switch đó.
• NIDS không thể phân tích các thông tin đã bị mã hoá. Vấn đề này sẽ trở nên nghiêm trọng hơn rong các tổ chức sử dụng mạng riêng ảo (VPN- Virtual Private Network).
• Hầu hết các NIDS đều không thể nói chính xác một cuộc tấn công đã được tiến hành thành công hay chưa. Nó chỉ có thể nhận ra một cuộc tấn công đã được bắt đầu. Điều này có nghĩa là sau khi hệ thống NODS phát hiện ra cuộc tấn công thì nhà quản trị phải tự mình kiểm tra xem các máy trạm đã bị tấn công để xác định rằng thực tế nó đã bị thâm nhập chưa.
• Một vài hệ thống NIDS có vấn đề với các cuộc tấn công vào mạng sử dụng các gói tin phân đoạn. Những gói tin kiểu này sẽ làm cho hệ thống NIDS bị vô hiệu.