1.2 檢測(cè)方法局限
NIDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。實(shí)際中的商用入侵檢測(cè)系統(tǒng)大都同時(shí)采用幾種檢測(cè)方法。
NIDS不能處理加密后的數(shù)據(jù)，如果數(shù)據(jù)傳輸中被加密，即使只是簡單的替換，NIDS也難以處理，例如采用SSH、HTTPS、帶密碼的壓縮文件等手段，都可以有效的防止NIDS的檢測(cè)。 NIDS難以檢測(cè)重放攻擊、中間人攻擊、對(duì)網(wǎng)絡(luò)監(jiān)聽也無能為力。
目前的NIDS還難以有效的檢測(cè)DDoS攻擊。
1.2.1 系統(tǒng)實(shí)現(xiàn)局限
由于受NIDS保護(hù)的主機(jī)極其運(yùn)行的程序各種各樣，甚至對(duì)同一個(gè)協(xié)議的實(shí)現(xiàn)也不盡相同，入侵者可能利用不同系統(tǒng)的不同實(shí)現(xiàn)的差異來進(jìn)行系統(tǒng)信息收集（例如Nmap通過TCP/IP指紋來對(duì)操作系統(tǒng)的識(shí)別）或者進(jìn)行選擇攻擊，由于NIDS不大可能通曉這些系統(tǒng)的不同實(shí)現(xiàn)，故而可能被入侵者繞過。
1.2.2 異常檢測(cè)的局限
異常檢測(cè)通常采用統(tǒng)計(jì)方法來進(jìn)行檢測(cè)。
異常檢測(cè)需要大量的原始的審計(jì)紀(jì)錄，一個(gè)純粹的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)會(huì)忽略那些不會(huì)或很少產(chǎn)生有會(huì)影響統(tǒng)計(jì)規(guī)律的審計(jì)紀(jì)錄的入侵，即使它具有很明顯的特征。
統(tǒng)計(jì)方法可以被訓(xùn)練而適應(yīng)入侵模式。當(dāng)入侵者知道他的活動(dòng)被監(jiān)視時(shí)，他可以研究統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)的統(tǒng)計(jì)方法，并在該系統(tǒng)能夠接受的范圍內(nèi)產(chǎn)生審計(jì)事件，逐步訓(xùn)練入侵檢測(cè)系統(tǒng)，從而其相應(yīng)的活動(dòng)簡檔偏離正常范圍，最終將入侵事件作為正常事件對(duì)待。
應(yīng)用系統(tǒng)越來越復(fù)雜，許多主體活動(dòng)很難以簡單的統(tǒng)計(jì)模型來刻畫，而復(fù)雜的統(tǒng)計(jì)模型在計(jì)算量上不能滿足實(shí)時(shí)的檢測(cè)要求。
統(tǒng)計(jì)方法中的閾值難以有效確定，太小的值會(huì)產(chǎn)生大量的誤報(bào)，太大的值會(huì)產(chǎn)生大量的漏報(bào)，例如系統(tǒng)中配置為200個(gè)/秒半開TCP連接為SYN_Flooding，則入侵者每秒建立199個(gè)半開連接將不會(huì)被視為攻擊。
1.2.2.1 緩慢掃描
異常檢測(cè)常用于對(duì)端口掃描和DoS攻擊的檢測(cè)。NIDS存在一個(gè)流量日志的上限，如果掃描間隔超過這個(gè)上限，NIDS將忽略掉這個(gè)掃描。
盡管NIDS可以將這個(gè)上限配置得很長，但此配置越長，對(duì)系統(tǒng)資源要求越多，受到針對(duì)NIDS的DoS攻擊的可能性就越大。
1.2.3 特征檢測(cè)的局限
檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新，目前而言，一個(gè)新的漏洞在互聯(lián)網(wǎng)上公布，第二天就可能在網(wǎng)上找到用于攻擊的方法和代碼，但相應(yīng)的檢測(cè)規(guī)則平均還需要好幾天才能總結(jié)出來。存在一個(gè)發(fā)現(xiàn)新入侵方法到用戶升級(jí)規(guī)則庫/知識(shí)庫的時(shí)間差，對(duì)有心的入侵者，將有充足的時(shí)間進(jìn)行入侵。
很多公布的攻擊并沒有總結(jié)出相應(yīng)的檢測(cè)規(guī)則或者檢測(cè)規(guī)則誤報(bào)率很高。并且現(xiàn)在越來越多的黑客傾向于不公布他們發(fā)現(xiàn)的漏洞，從而很難總結(jié)出這些攻擊的攻擊特征。
目前新的規(guī)則的整理主要為志愿者或者廠家完成，由用戶自行下載使用，用戶自定義的規(guī)則實(shí)際上很少，在方便了用戶的同時(shí)，也方便了入侵者：入侵者可以先檢查所有的規(guī)則，然后采用不會(huì)被檢測(cè)到的手段來進(jìn)行入侵，大大降低被NIDS發(fā)現(xiàn)的概率。
目前總結(jié)出的規(guī)則主要針對(duì)網(wǎng)絡(luò)上公布的黑客工具或者方法，但對(duì)于很多以源代碼發(fā)布的黑客工具而言，很多入侵者可以對(duì)源代碼進(jìn)行簡單的修改（例如黑客經(jīng)常修改特洛伊木馬的代碼），產(chǎn)生攻擊方法的變體，就可以繞過NIDS的檢測(cè)。
1.2.4 協(xié)議局限
對(duì)于應(yīng)用層的協(xié)議，一般的NIDS只簡單的處理了常用的如HTTP、FTP、SMTP等，，尚有大量的協(xié)議沒有處理，也不大可能全部處理，直接針對(duì)一些特殊協(xié)議或者用戶自定義協(xié)議的攻擊，都能很好的繞過NIDS的檢查。
1.2.5 入侵變體
1.2.5.1 HTTP攻擊變體
重復(fù)的目錄分割符，‘/’變?yōu)椤?/’。
當(dāng)前目錄，‘/cgi-bin/phf’變?yōu)椤?cgi-bin/./phf’。
上級(jí)目錄，‘/cgi-bin/phf’變?yōu)椤?cgi-bin/xxx/../phf’。
URL編碼，‘/cgi-bin/’變?yōu)椤?2fcgi-bin/’。
使用TAB等其它分割符代替空格。
NULL方法，‘GET %00/cgi-bin/phf’。
使用GET外的其它方法，例如POST。
改變參數(shù)順序，添加無用參數(shù)。
對(duì)于IIS，還有以下方法：
DOS/Win下目錄分割符，‘/winnt/system32/cmd.exe’變?yōu)椤?winnt\system32\cmd.exe’。
大小寫轉(zhuǎn)換，例如cmd.exe變?yōu)镃MD.EXE。
IIS二次解碼，例如cmd.exe變?yōu)?2563md.exe，%25解碼后為’%’，再解碼%63為’c’。
UNICODE編碼，例如cmd.exe變?yōu)?c0%63md.exe。由于UNICODE編碼比較復(fù)雜，目前只有極少數(shù)的NIDS能夠?qū)ζ溥M(jìn)行解碼。
1.2.5.2 Telnet攻擊變體
使用退格鍵。
使用Tab鍵進(jìn)行命令補(bǔ)齊。
采用Shell來執(zhí)行攻擊代碼。
采用宏。
添加無用參數(shù)。
事實(shí)上NIDS很難檢測(cè)那些通過Telnet連接到服務(wù)器后進(jìn)行的本地攻擊。
1.2.6 TCP/IP協(xié)議局限
由于TCP/IP設(shè)計(jì)當(dāng)初并沒有很好的考慮安全性，故現(xiàn)在的IPV4的安全性令人堪憂，除了上面的由于網(wǎng)絡(luò)結(jié)構(gòu)引起的問題外，還有下面的一些局限。
1.2.6.1 IP分片
將數(shù)據(jù)包分片，有些NIDS不能對(duì)IP分片進(jìn)行重組，或者超過了其處理能力，則可以繞過NIDS。
一個(gè)IP數(shù)據(jù)報(bào)最多8192個(gè)分片，NIDS的一個(gè)性能參數(shù)即為能重組的最大的IP分片數(shù)。
NIDS每接收到一個(gè)新的IP數(shù)據(jù)報(bào)的IP分片的時(shí)候，將啟動(dòng)一個(gè)分片重組過程，在重組完成或者超時(shí)后(一般為15秒超時(shí))關(guān)閉此重組過程，NIDS的一個(gè)性能參數(shù)即為能同時(shí)重組的IP包數(shù)。
一個(gè)IP數(shù)據(jù)報(bào)的最大為64K，為準(zhǔn)備接收一個(gè)IP數(shù)據(jù)報(bào)，NIDS將準(zhǔn)備足夠的內(nèi)存來容納即將到來的后續(xù)分片，NIDS的一個(gè)性能參數(shù)即為能進(jìn)行重組的最大的IP數(shù)據(jù)報(bào)的長度。
結(jié)合上面的三個(gè)參數(shù)，即為NIDS在超時(shí)時(shí)間(例如15秒)內(nèi)能同時(shí)準(zhǔn)備進(jìn)行最大值(例如64K)的IP數(shù)據(jù)報(bào)重組的數(shù)目。
如果NIDS接收到的數(shù)據(jù)包超過上述的極限，NIDS不得不丟包，從而發(fā)生DoS攻擊。
1.2.6.2 IP重疊分片
在重組IP包分片的時(shí)候，如果碰到重疊分片的話，各個(gè)操作系統(tǒng)的處理方法是不一樣的，例如有些系統(tǒng)會(huì)采用先收到的分片(Windows和Solaris)，有些會(huì)采用后收到的分片(BSD和Linux)，如果重疊分片的數(shù)據(jù)不一樣的話，并且NIDS的處理方式與受保護(hù)主機(jī)不一樣，則將導(dǎo)致NIDS重組后的數(shù)據(jù)包與被保護(hù)主機(jī)的數(shù)據(jù)包不一致，從而繞過NIDS的檢測(cè)。
例如可以重疊TCP或UDP的目的端口，然后滲透過目前絕大多數(shù)防火墻，并可能繞過NIDS。
還可以重疊TCP的標(biāo)志位，使NIDS不能正確檢測(cè)到TCP FIN包，從而使NIDS很快達(dá)到能夠同時(shí)監(jiān)控的TCP連接數(shù)的上限；使NIDS不能正確檢測(cè)到TCP SYN包，從而使NIDS檢測(cè)不到應(yīng)有的TCP連接。
1.2.6.3 TCP分段
如果NIDS不能進(jìn)行TCP流重組，則可以通過TCP分段來繞過NIDS。
一些異常的TCP分段將迷惑一些NIDS。
1.2.6.4 TCP un-sync
在TCP中發(fā)送錯(cuò)誤的序列號(hào)、發(fā)送重復(fù)的序列號(hào)、顛倒發(fā)送順序等，有可能繞過NIDS。
1.2.6.5 OOB
攻擊者發(fā)送OOB數(shù)據(jù)，如果被保護(hù)主機(jī)的應(yīng)用程序可以處理OOB，由于NIDS不可能準(zhǔn)確預(yù)測(cè)被保護(hù)主機(jī)收到OOB的時(shí)候緩沖區(qū)內(nèi)正常數(shù)據(jù)的多少，于是可能繞過NIDS。
有些系統(tǒng)在處理OOB的時(shí)候，會(huì)丟棄開始的1字節(jié)數(shù)據(jù)(例如Linux下的Apache，但I(xiàn)IS不會(huì))，則通過在發(fā)送的多個(gè)TCP段中，包含帶OOB選項(xiàng)的TCP段，則有可能導(dǎo)致NIDS流重組后的數(shù)據(jù)與受保護(hù)主機(jī)的應(yīng)用程序不一致，從而繞過NIDS。
1.2.6.6 T/TCP
如果目標(biāo)主機(jī)可以處理事物TCP(目前很少系統(tǒng)支持)，攻擊者可以發(fā)送事務(wù)TCP，NIDS可能不會(huì)與被保護(hù)主機(jī)上的應(yīng)用程序進(jìn)行同樣的處理，從而可能繞過NIDS。