Los sensores se pueden asegurar bien, ya que "solo" observan el tráfico.
puede detectar mejor los escaneos, basándose en firmas ... Puede "filtrar" el tráfico (de hecho, mostraremos más adelante que este no es siempre el caso)
Desventajas:
la probabilidad de los llamados falsos negativos (los ataques no se detectan como ataques) es alta ya que es difícil controlar toda la red
en su mayoría, tienen que operar en paquetes encriptados donde el análisis de paquetes es complicado
como una diferencia con los IDS basados en host, no ven los impactos de un ataque