les capteurs peuvent être bien sécurisés car ils n'observent "que" le trafic
vous pouvez mieux détecter les scans - sur la base de signatures... Vous pouvez "filtrer" le trafic (en fait, nous montrerons plus tard que ce n'est pas toujours le cas)
Désavantages:
la probabilité de faux négatifs (les attaques ne sont pas détectées comme des attaques) est élevée car il est difficile de contrôler l'ensemble du réseau
la plupart du temps, ils doivent fonctionner sur des paquets cryptés où l'analyse des paquets est compliquée
à la différence des IDS basés sur l'hôte, ils ne voient pas les impacts d'une attaque