Malicious TCP
2.6.3.3. Hạn chế của Network-Based IDS
Bị hạn chế với Switch: nhiều lợi điểm của NIDS không phát huy được trong các mạng chuyển mạch hiện đai. Thiết bị switch chia mạng thành nhiều phần độc lập vì thế NIDS khó thu thập được thong tin trong toàn mạng.
Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin trê mạng rộng hoặc có mật độ lưu thong cao, dẫn đến không thể phát hiện các cuộc tấn công thực hiện vào lúc cao điểm.
Tăng thong lượng mạng: Một hê thống phát hiện xâm nhập có thể cần truyền một dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nhĩa là một gói tin được kiểm sốt sẽ sinh ra một lượng lớn tải phẩn tích
Một hệ thống NIDS thường gặp khó khăn trong việc xử lý các cuộc tấn công trong một phiên được mã hóa
Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấn cơng mạng từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho NIDS hoạt động sai và đổ vỡ
2.6.4. Host Base IDS (HIDS):
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng khơng chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác