Jak chronić? W jaki sposób system ma wykrywać próby naruszania bezpieczeństwa? Czy zwykle stosowane wykrywanie ataków na podstawie bazy ich wzorców jest uzupełnione innymi mechanizmami, np. o wykrywanie anomalii, czyli odstępstw od typowego działania systemów, usług i użytkowników? Czy system IDS ma śledzić integralność systemów operacyjnych i podstawowych usług (np. sumy kontrolne krytycznych plików)? Na jaką dokładność i kompletność systemu liczymy? Jakie są rzeczywiste możliwości szybkiej aktualizacji bazy wzorców ataków, tak abyśmy byli zabezpieczeni przed nowymi pomysłami intruzów?

Jak konfigurować? Czy system ma możliwości konfiguracji i dostosowania do potrzeb konkretnej organizacji, a w szczególności do rodzaju i charakterystyki udostępnianych usług? Jeżeli organizacja ma serwer WWW, a nie ma serwera pocztowego, to system IDS powinien odpowiednio chronić serwer WWW, a ataki charakterystyczne dla serwera pocztowego traktować najwyżej jako ostrzeżenia. Które dane gromadzić (czy wszystkie w celach dowodowych), a które usuwać?

Jak zarządzać? Czy istnieje potrzeba zarządzania systemem IDS z centralnej konsoli? Gdzie i w jaki sposób będą archiwizowane zdarzenia? Jakie będą wymagania odnośnie do szczegółowości i częstotliwości raportowania? Jakie zasady klasyfikacji i filtrowania alarmów zastosować? Czy system umożliwia powiadamianie administratora i czy jest w tym względzie elastyczny, tzn. czy można zaprogramować go tak, aby o zdarzeniach krytycznych powiadamiał przez SMS, a o mniej ważnych za pomocą wiadomości e-mail?

Jak integrować? W jakim stopniu i jakim kosztem system IDS da się zintegrować z innymi systemami bezpieczeństwa? W szczególności, czy moduły reakcji systemu IDS mogą automatycznie blokować połączenia z niebezpiecznych adresów w systemie zaporowym lub czy udane połączenie z portem używanym przez znanego "konia trojańskiego" uruchomi program antywirusowy, aby go usunąć?

Jaka wydajność? Czy system IDS ma przetwarzać pakiety sieciowe w czasie rzeczywistym tylko z Internetu, czy również w znacznie szybszej sieci lokalnej? Czy w przypadku rozbudowy sieci, np. z 10 do 100 Mb/s (i więcej), będzie można utrzymać założoną wydajność jedynie przez wymianę kart sieciowych w sondach czy też trzeba będzie zmieniać oprogramowanie i pozostały sprzęt?

Jak finansować? Jakie będą koszty instalacji, wdrożenia, a przede wszystkim utrzymania systemu, w tym także koszty uaktualnień? Koszt instalacji systemu IDS nie ogranicza się tylko do zakupienia licencji. Trudno oczekiwać, że oferowany przez producenta system IDS będzie idealnie dostosowany do działania w specyficznych warunkach konkretnej sieci. W związku z tym zazwyczaj konieczna jest modyfikacja standardowych sygnatur. Często występuje też konieczność dopisania nowych sygnatur odzwierciedlających politykę bezpieczeństwa firmy.

Wyzwania dla projektanta

Istnieją trzy zasadnicze architektury systemów IDS: HIDS (host-based IDS) chroni pojedynczy komputer i może korzystać z informacji pochodzących z logów i parametrów systemu operacyjnego; NIDS (network-based IDS), który ma za zadanie wykrywać ataki typowo sieciowe (analizuje pakiety z całego segmentu sieci) oraz systemy hybrydowe; wśród tych ostatnich pojawiły się systemy typu NNIDS (Network Node IDS), czyli zainstalowane na poszczególnych hostach sondy, analizujące pakiety przekazywane przez warstwy transportowe danego hosta. Dzięki temu możliwe jest analizowanie informacji zaszyfrowanych na czas transmisji (np. w kanałach VPN lub SSL).

Wiele ataków wykorzystuje niuanse w konfiguracji usług sieciowych, np. różnice między implementacjami stosów TCP/IP w różnych systemach operacyjnych. Aby móc adekwatnie zareagować, system IDS powinien umieć odzwierciedlić stan chronionego systemu przed i po otrzymaniu każdego pakietu. Implementacja takich mechanizmów w systemie IDS to sprawa bardzo złożona i kosztowna. Tylko wtedy mamy jednak pewność, że nawet podejrzanie wyglądający pakiet nie zagrozi chronionemu systemowi.

Wykrywanie ataków wymierzonych w aplikacje (np. serwery pocztowe czy serwery WWW) wymaga, aby IDS rozumiał ich protokoły komunikacyjne (SMTP, HTTP, FTP, NNTP itd.). Problem w tym, że protokołów aplikacyjnych jest wiele, a ponadto ich konstrukcja zmienia się z wersji na wersję, nie mówiąc o produktach dostępnych na rynku. Zapewnienie odpowiedniego śledzenia nawet najczęściej wykorzystywanych protokołów istotnie zwiększa złożoność systemu IDS.

Wiele problemów we wdrożeniach systemów wykrywania włamań wynika bezpośrednio i pośrednio z architektury sieci. W sieciach przełączanych, a takich jest obecnie bardzo dużo, systemy typu HIDS mają dostęp wyłącznie do pakietów skierowanych bezpośrednio do hosta, na którym działają jego agenty. Aby chronić całe środowisko, agenty IDS muszą więc funkcjonować na każdym z kontrolowanych hostów. Pozwala to uniezależnić system IDS od konstrukcji sieci, powstaje jednak problem liczby agentów komunikujących się równocześnie z konsolą. Jeżeli będzie ich zbyt dużo, może to łatwo doprowadzić do spowolnienia działania konsoli lub sieci, o problemach z zarządzaniem nie wspominając.