De nadelen van deze signature based IDS’es als SNORT en Suricata is dat ze vooral goed zijn in het detecteren van reeds bekenden malafide patronen in het netwerkverkeer. Voor zero-day aanvallen waarvoor nog geen regel bestaat, werd in een onderzoek met de standaard aanwezige regelset in SNORT een klein percentage (< 10%) gedetecteerd (Holm, 2014).Echter sommigen deelnemers gebruiken ook commerciële regelcollecties die als doel hebben zeer actueel te zijn en ook onbekende dreigingen detecteren. Hiervan zijn verder geen prestatiestatistieken van bekend maar de regelsets zijn relatief goedkoop (Proofpoint, 2020). Op snelle netwerken (categorie > 0.5 gigabit) kunnen IDS’es in de problemen komen. Dit komt omdat deze IDS’es doen aan “deep packet inspection” , waarbij niet alleen de headers van packets worden bekeken maar ook de inhoud. Het netwerkverkeer wordt dus zeer grondig bekeken wat (enorm) veel resources vraagt. Bij zeer veel dataverkeer kunnen deze oplossingen het niet meer aan en treedt packetloss op.
Daarnaast levert een alert uit een IDS vaak weinig context op. Op basis van één melding zou je graag het netverkeer willen onderzoeken voor de melding werd gedaan en daarna. Ook zou je willen kijken of deze malafide patronen ergens anders zijn aangetroffen. Het biedt dus weinig handvatten voor uitgebreide analyse van een incident. Wel kan gekeken worden of voor de betrokken IP-adressen meer meldingen zijn geweest in het IDS. En kan met frontends als Evebox of Snorby ingezoomd worden op de packets die het alert triggerde.
Als laatste wordt steeds meer dataverkeer versleuteld, waardoor voor die aanvallen waar “deep packet inspection” nodig is, deze niet meer uitgevoerd kunnen worden tenzij dit ontsleuteld wordt met een andere oplossing.