die Sensoren lassen sich gut absichern, da sie "nur" den Verkehr beobachten
Sie können Scans besser erkennen - anhand von Signaturen... Sie können den Verkehr "filtern" (eigentlich werden wir später zeigen, dass dies nicht immer der Fall ist)
Nachteile:
die Wahrscheinlichkeit sogenannter False-Negatives (Angriffe werden nicht als Angriffe erkannt) ist hoch, da es schwierig ist, das gesamte Netzwerk zu kontrollieren
meistens müssen sie mit verschlüsselten Paketen arbeiten, bei denen die Analyse von Paketen kompliziert ist
im Unterschied zu hostbasierten IDS sehen sie die Auswirkungen eines Angriffs nicht