对于许多企业而言，言及入侵检测系统(IDS)和入侵防御系统(IPS)时，最棘手的任务起始是如何化繁为简，清楚地了解自己的需要，并明确所选系统的应用功能。市场上用于防火墙，应用程序防火墙，统一威胁管理设备，异常检测和入侵防御的产品琳琅满目，用户很难对其进行区分，更不用说选择最适合自己的产品了。

　　可能有企业正在调查入侵检测系统是否可被入侵防御系统所取代，或者是否应该将二者同时保留以获得更全面的保护。分层安全和不恰当的操作之间往往有着明显的界线。这样看来，要比较入侵检测系统和入侵防御系统，我们需要分析二者所提供的基本功能，二者在实际操作中的差异以及了解一些使用案例。

　　IDS vs IPS ：保护的范畴

　　对于那些不熟悉技术的人而言，入侵检测系统是一种监控网络中未授权操作或恶意软件的软件或设备。使用预置的规则，入侵检测系统就可以检测端点配置以便确定其端点是否易受攻击(比较有名的是托管型入侵检测系统)，用户还可以记录网络上的行为，然后将其与已知的攻击或攻击模式进行比对(即基于网络的IDS)。这一技术已经应用多年，而且商家销售时也想出不少噱头，包括优良的签名功能，但是免费的开源型入侵检测系统，如Snort和OSSEC仍然很受欢迎。

　　相反，IPS不仅可以监测恶意代码，僵尸网络，病毒和定向攻击所发送的不良数据包，还可以采取措施阻止这些数据包损坏网络。即便你觉得自己的网络不足以成为犯罪分子下手的目标，也不要忘记，他们使用的是自动扫描程序来寻找互联网中存在的漏洞，因此他们可以列出所有漏洞备自己选择。这些攻击者或许会追踪特殊的敏感信息或是知识产权信息，或者他们对任何可能得手的数据感兴趣，如员工资料，财务记录或是客户数据。

　　一个设置好的入侵检测系统或入侵防御系统可以在架构中的恶意程序产生破坏前，有效对其进行识别。例如，假设一个攻击者想在你的网络中装木马。他会先将恶意代码放到你的网络中再伺机激活代码进行破坏。如果入侵检测安装到位，那么攻击者再试图激活这些恶意代码的时候，入侵检测系统或入侵防御系统都会识别这一行为，并对用户发出警告或直接阻止这攻击者的破坏行为。

　　由于传统防火墙只监视基本的连接状态，所以如果仅使用传统的防火墙，那么很有可能这类攻击会被忽视。如果攻击者将恶意代码藏在普通的数据包中，还可能躲过异常检测引擎的排查。这些技术与入侵检测和防御之间的差别在于IDS/IPS在数据包的深层检测方面发挥的作用更大，它们不仅仅是分析数据包源自何处，去向何方;还要分析数据包的属性是否与未授权或恶意操作匹配。入侵检测系统或入侵防御系统会更好地识别有效载荷，即便攻击者用怪异的数据包对其攻击进行伪装。

　　IDS vs. IPS：两种技术之间的差异

　　关于IDS和IPS是否是独立的，可持续型技术，亦或是应该用IPS替代IDS，业内存在多种说法。欲将二者进行比较，我们应先对其分别进行阐述。IDS系统有许多特定的使用实例，如当信息安全专家要识别攻击或漏洞，却又不采取行动的时候。这类情况最典型是出现在不需要阻止攻击的检测中(收集数据或是观察蜜罐)，安全团队无权阻止攻击以及我们想查看检测日志时。IPS非常适合那些想要检测并阻止攻击的企业。而IDS只是指示进程中可能存在攻击;而要阻止攻击的发生，管理员还需采取其他措施。