对于那些考虑使用入侵检测系统(IDS)和入侵防御系统(IPS)的企业来说，最困难的一个任务就是要确定什么时候需要这些技术，以及它们能够做什么。市面上的产品种类繁多：如防火墙、应用程序防火墙、统一威胁管理(UTM)设备、异常监测和入侵防护等，企业很难从中做出选择，也很难确定哪些产品是最适合自己的。

　　有的企业可能还在研究是否可以用IPS代替IDS，或者是否有必要同时使用这两种产品进行全方位的保护。分层的安全和不正确的操作之间通常存在着明显的界限。在本文中我们会对IDS和IPS进行一次对比，其中包括：两种技术能够提供的基本功能以及保护类型、两种技术在实际应用中的区别以及这两种技术的几个常用实例。

　　IDS vs.IPS：保护范围

　　对于不太熟悉IDS的人来说，IDS是一种监视未授权或者恶意网络活动的软件或者设备。IDS使用预先设定的规则，检查网络端点配置，确定它们是否容易受到攻击(这叫做基于主机的IDS);它还可以记录网络中的活动，并与已知的攻击或者攻击类型进行对比(这叫做基于网络的IDS)。该技术已经存在很多年了，而且里面添加了各种附加功能，其中包括高级签名。而且，免费的开源IDS产品(比如Snort 和OSSEC)也很受欢迎。

　　反之，IPS不仅能够监测由恶意代码、僵尸网络、病毒以及有针对性的攻击引起的不良数据包，还能够在破坏发生之前采取行动，从而保护网络。你可能认为你的网络不值得黑客去攻击，但是你要知道许多犯罪分子会使用自动扫描来探测互联网，对每个网络都进行探测，以便记录漏洞，供日后使用。这些攻击者可能在寻找特定的敏感数据或知识产权，或者对任何到手的东西都感兴趣，比如说员工信息、财务记录或者客户数据等。

　　在基础设施中的恶意软件引起破坏之前，性能良好的IDS或者IPS就能够有效地识别它们。比如，我们假设攻击者试图在你的网络中偷偷放入一个木马。该恶意代码可能已经将木马放入，并可能在静静地等待时机。这是开始的状态，激活后它会变成严重威胁。如果装有合适的入侵检测系统，当攻击者试图激活该恶意代码时，IDS或者IPS就会识别这种活动并立即采取措施，要么报警，要么进行防御。

　　不过，那些用来监测普通网络的传统防火墙很有可能对这种攻击一无所知。如果此类攻击附着在看起来正常的网络流量中，也有可能避开异常监测引擎。这些技术和入侵检测与防御系统的区别在于IDS/IPS可以进行更深层次的包监测，不仅分析数据包的来源和去向，而且还能分析它的内容，以此确定它们是否在对系统发起攻击。这些数据是决定包的特性是否与未授权或者恶意行动相对应的关键，这种情况可能是攻击的前兆。当攻击者采用畸形的或者老式数据包来伪装一次攻击时，IDS/IPS技术能够更加智能地处理危险的攻击内容。