IDS имеют много ограничений. Наиболее существенные следующие:
- они плохо масштабируются на большие или распределенные сети предприятия;
- они могут быть трудны в управлении, с неудобным интерфейсом управления и сообщениями о тревогах;
- различные коммерческие IDS редко взаимодействуют друг с другом, если они созданы разными производителями;
- на эффективности функционирования IDS существенно сказываются ошибочные оповещения о тревогах, так называемые ложные позитивности. На них может тратиться большое количество времени администратора и большое количество ресурсов;
- они не могут компенсировать отсутствие в организации стратегии безопасности, политики или архитектуры безопасности;
- они не могут компенсировать слабые места в сетевых протоколах;
- они не могут заменить другие типы механизмов безопасности (такие как идентификацию и аутентификацию, шифрование, single sign on, firewall’ы или управление доступом);
- они не могут использоваться в качестве единственного механизма, который полностью защищает систему от всех угроз безопасности.
IDS не могут выполнять следующие функции:
- компенсировать слабые или отсутствующие механизмы безопасности в защищаемой инфраструктуре. Такие механизмы включают firewall’ы, идентификацию и аутентификацию, шифрование передаваемой информации, механизмы управления доступом и определение и удаление вирусов;
- мгновенно определять атаки, создавать отчеты и ответы на атаку, когда существует сильно загруженная сеть или большая обработка;
- определять новые атаки или варианты существующих атак;
- эффективно распознавать атаки, вызванные ложными атакующими;
- автоматически (без человеческого вмешательства) исследовать атаки;
- противодействовать атакам, которые предназначены для разрушения или обмана самих IDS;
- компенсировать проблемы, связанные с правильностью и точностью источников информации;
- эффективно функционировать в сетях, использующих коммутаторы.
