Sinceramente fiquei em dúvida a respeito da I. UM NIDS limitado ao cabeçalho IP, conforme fontes abaixo, também verifica os endereços IP contidos nesse cabeçalho. Ele não se limita a isso, mas isso ele faz. A questão não restringiu, ele também pode fazer isso.
UM NIDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques. Alguns exemplos de assinatura são:
Tentativa de conexão a um endereço de IP reservado. Facilmente identificado verificando o campo de endereço de origem em um cabeçalho IP.
Pacote com uma combinação de flags TCP ilegal. Pode ser encontrado comparando flags definidos em um cabeçalho TCP com boas e más combinações conhecidas de flags.
E-mail contendo um vírus em particular.
Ataque de negação de serviço em um servidor que ofereça um serviço específico, causado pelo mesmo comando sendo repetido milhares de vezes. Um tipo de assinatura para esse ataque seria guardar quantas vezes um comando foi repetido e alertar quando esse número passa de um certo limite.
Ataque de acesso de arquivos em um servidor FTP, emitindo comandos de acesso a arquivos e de listagem de diretório sem fazer login. Uma assinatura de rastreamento de estado poderia ser desenvolvida, monitorando o tráfego para um login FTP bem-sucedido e alertando se determinados comandos fossem emitidos antes da autenticação do usuário.
https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html
A maioria dos NIDS comerciais decodificam protocolos até a camada de aplicação, porém, ainda que se trate de um NIDS limitado ao cabeçalho IP, ele também realiza decodificação de protocolos da camada de rede, não se limitando apenas à análise do IP contido no cabeçalho:
Every NIDS does some type of protocol decode, even if it is limited to just the IP header. Many of the commercial NIDS decode most Layer 7 protocols and perform regular expression inspection on only a subset of the entire packet.
https://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_technical_reference09186a0080124525.html
I. NIDS baseados em assinaturas determinam tráfego malicioso a partir dos endereços IP contidos nos cabeçalhos das mensagens interceptadas.
Errada. A detecção é realizada com a captura e anĺálise dos cabeçalhos e conteúdo dos pacotes, que são comparados com padrões ou assinaturas conhecidos. Nâo é capaz de monitorar tréfego cifrado.
II. NIDS são mais eficientes do que HIDS para evitar ataques em locais onde o tráfego de rede é baseado em SSL.
Errada. Ataques que utilizam criptografia podem não ser notados pela rede, mas podem ser descobertos por HIDS, pois os SO primeiramente decifram os pacotes que chegam na rede,
III. IDS baseados em detecção de anomalias sofrem com maior ocorrência de falsos positivos.
Certa.
Fonte:
[1] Segurança de Redes em Ambientes Cooperativos, Emilio Tissato Nakamura, Paulo Lício de Geus