Проектирование систем защиты информации требует предварительного анализа действующих систем, выявления их достоинств и недостатков. Итак, рассмотрим особенности систем IDS и их недостатки. Такие системы используют для мониторинга и поиска вторжений в локальную сеть. Системы прекрасно себя зарекомендовали при обнаружении атак.

Основные особенности таких систем — это то, что они позволяют выявлять угрозы при попытке взлома, автоматически могут блокировать атаки и сообщать, на каком сегменте угроза. Также они обеспечивают документацию всех угроз, которые могут быть в сети и обеспечивают контроль за качеством разработки и администрирования новых систем защиты информации.

Но у них есть ряд недостатков, которые не дают полностью использовать свой потенциал для работы:

1. IDS-системы могут ложно сработать, т.е. сработать на действия, которые не являются угрозой, но для IDS они могут казаться угрожающими, что компрометирует систему и может привести к отказу от нее.
2. Атаки, осуществляемые на низком уровне, по модели OSI остаются замеченными. Злоумышленник может использовать внутреннюю физическую сеть для получения важной для него информации. Это может быть коммутационное оборудование предприятия или учреждения.
3. Если использовать все механизмы аудита такой системы, то могут понадобиться еще и дополнительные ресурсы, что создает неудобства в работе. В настоящее время информационных технологий нет проблемы в том, чтобы увеличить аппаратную способность для систем, которые защищают данные, но проблемы могут возникнуть тогда, когда для IDS и других систем используется один сервер на всех.
4. Еще один большой минус таких систем — это то, что они не вполне могут выявить атаки на маршрутизаторы. Если атака идет извне, то такая система не всегда определит атаку, так как злоумышленник может использовать данные сотрудников, имеющих доступ к офисной рабочей станции извне.
5. Данные, которые предоставляются этим системам, могут быть не полные. Так как многие из них работают по сигнатурам и реагируют четко на прописанные правила, то некоторые атаки они могут пропустить. Администратор, который отвечает за защиту информации, не всегда может вовремя отреагировать на возникающие угрозы. Для этого ему необходимо проанализировать угрозы, которые появляются и которые могут быть использованы против системы. IDC предназначена для того, чтобы предупреждать об угрозах. Но если она не знает, что такая угроза существует, тогда она не может помочь в ее обнаружении.
6. IDS не может обнаружить атаки на сеть при максимальных нагрузках на эту сеть. Причиной этого является полная нагрузка на серверы сбоку клиентов или работников, и тогда IDS не может отличить пакеты злоумышленника и клиента. В таком случае она может заблокировать всех или пропустить все пакеты.

Системы IDS прекрасно работают и дают хорошие результаты для защиты сети, но как и любой развивающийся программный продукт, он имеет свои недостатки.