nIDS는 공격, 침입, 원하지 않는 트래픽을 구별할 수 있다는 점에서 가치가 있으며, 일부 nIDS는 TCP리셋 기능을 가지고 공격차단을 시도하기도 합니다.
하지만 nIDS는 정확한 시점에 공격을 차단하지 못하며 실질적인 방어는 관리자의 수동적인 개입을 필요로 하게 됩니다.
또한 nIDS는 모든 비정상적인 트래픽에 대한 경보(False Positives)를 발생시킴으로써 엄청난 로그를 발생시킵니다.
따라서 이들중 정확한 이벤트 정보를 선별하는 것은 관리자에게 과도한 부담을 주며 실제 공격을 놓칠 수도 있습니다.
|