面對快速發展的Internet蠕蟲和病毒，企業網絡需能夠及時識別并消除潛在的安全威脅，網絡安全體系結構也要不斷調整，包括性價比高的檢測和防護系統。如入侵檢測系統（Intrusion Detection Systems，IDS），或可擴展的入侵防御系統（Intrusion Prevention Systems，IPS）。

目前無論是從業于信息安全行業的專業人士還是普通用戶，都認為入侵檢測系統和入侵防御系統是兩類產品，并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產品的出現，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產品，什么時候該選擇入侵防御產品呢?

IDS

IDS（Intrusion Detective System）稱為入侵檢測系統，它是從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測被認為是防火墻之后的第二道安全閘門。入侵檢測通過對入侵行為的過程與特征進行研究，使安全系統對入侵事件和入侵過程作出實時響應。一般來講，入侵檢測系統采用異常發現技術和模式發現技術兩項技術；入侵檢測系統按其輸入數據的來源來看，可以分為3類：

（1） 基于主機的入侵檢測系統（HIDS）：其輸入數據來源于系統的審計日志，一般只能檢測該主機上發生的入侵。

（2） 基于網絡的入侵檢測系統（NIDS）：其輸入數據來源于網絡的信息流，能夠檢測該網段上發生的網絡入侵。

（3） 采用上述兩種數據來源的分布式入侵檢測系統；能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統，一般為分布式結構，由多個部件組成。

IPS

入侵防護系統(Intrution Protection System，IPS)則傾向于提供主動性的防護，其設計旨在 預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS 是通過直接嵌入到網絡流量中而 實現這一功能的，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。這 樣一來，有問題的數據包，以及所有來自同一數據流的后續數據包，都能夠在IPS設備中被清除掉。

簡單地理解，IPS等于防火墻加上入侵檢測系統，但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品，它在基于TCP/IP協議的過濾方面表現出色，而且在大多數情況下，可以提供網絡地址轉換、服務代理、流量統計等功能。

和防火墻比較起來，IPS的功能比較單一，它只能串聯在網絡上，對防火墻所不能過濾的攻擊進行過濾。一般來說，企業用戶關注的是自己的網絡能否避免被攻 擊，對于能檢測到多少攻擊并不是很熱衷。但這并不是說入侵檢測系統就沒有用處，在一些專業的機構，或對網絡安全要求比較高的地方，入侵檢測系統和其他審計 跟蹤產品結合，可以提供針對企業信息資源的全面審計資料，這些資料對于攻擊還原、入侵取證、異常事件識別、網絡故障排除等等都有很重要的作用。

IPS目前主要包含以下幾種類型:1、基于主機的入侵防護(HIPS)，它能夠保護服務器的安全弱點不被不法分子所利用;2、基于網絡的入侵防護(NIPS)，它可通過檢測流經的網絡流量，提供對網絡系統的安全保護，一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話;3、 應用入侵防護，它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。 

IPS與IDS的區別、選擇

IPS對于初始者來說，是位于防火墻和網絡的設備之間的設備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。而IDS只是存在于你的網絡之外起到報警的作用，而不是在你的網絡前面起到防御的作用。關于兩者的優缺點如下表所示：

明確了這些區別，用戶就可以比較理性的進行產品類型選擇：

若用戶計劃在一次項目中實施較為完整的安全解決方案，則應同時選擇和部署入侵檢測系統和入侵防御系統兩類產品。在全網部署入侵檢測系統，在網絡的邊界點部署入侵防御系統。

若用戶計劃分布實施安全解決方案，可以考慮先部署入侵檢測系統進行網絡安全狀況監控，后期再部署入侵防御系統。

若用戶僅僅關注網絡安全狀況的監控(如金融監管部門，電信監管部門等)，則可在目標信息系統中部署入侵檢測系統即可。