在过去的两年中，入侵检测（IDS）技术一度被炒得热火朝天，而去年6月，Gartner的一份非常著名的报告很果断地宣告了IDS技术的“死刑”，它宣布入侵防御（IPS）将成为IDS的“掘墓人”。到底IPS有何高明之处，使得它在网络安全舞台一登场便赢得如此高的实力指数？

　　据国外安全厂商NetScreen的技术专家介绍：相对于IDS的被动检测及误报等问题，IPS是一种比较主动、机智的防御系统。从功能上讲，作为并联在网络上的设备，绝大多数IDS一般需要与防火墙联动或发送TCPreset包来阻止攻击。而IPS本身就可以阻止入侵的流量。

　　从技术上讲，IDS系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往淹没在海量的报警信息中，而漏掉真正的报警；此外，IDS只能报警而不能有效采取阻断措施的设计理念，也不能满足用户对网络安全日益增长的需求。相反，IPS系统则没有这种问题，它的拦截行为与其分析行为处在同一层次，能够更敏锐地捕捉入侵的流量，并能将危害切断在发生之前。从IDS到IPS，这是必然的趋势。

　　但IPS能否真正取代IDS，来自总参的一位技术专家认为，“IDS+防火墙”的联动防护机制与IPS会在今后相当长的时间内并存，IPS的发展势头会更好一些。但IPS并不是防火墙的替代者，至少在当前，IPS与防火墙的互补作用还十分明显，防火墙负责提供3-4层的基本安全环境和高速转发能力，而IPS负责4-7层流量的小粒度控制。事实上，在电信级流量背景下，对于4-7层的流量进行分析和过滤是不现实的，只有高性能的防火墙系统才能为网络提供必要的防护。因此，IPS更加适用于中等规模的网络，以及作为大型网络中的第二层防护，用以保护关键的业务和应用。

　　另外，专家还指出了IPS技术的四大特征：只有以嵌入模式运行的IPS设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包；IPS必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截；高质量的入侵特征库也是IPS高效运行的必要条件；IPS还必须具有高效处理数据包的能力。