業內關于IDS和IPS的討論持續以久，Gartner副總裁Richard Stiennon在03年發表的《入侵檢測將亡 入侵防御前途看好》引起安全業界的巨大震動，至今用戶在考慮企業安全方案的時候，仍然會問到底是選擇IDS還是IPS。06年IDC年度安全市場報告指出IDS和IPS是兩個獨立的市場，至此IDS和IPS有了一個明確的定位。
但是不得不承認對于用戶而言，選擇IDS還是IPS仍然是個頭疼的問題。筆者以為IDS和IPS分別是兩種不同作用的安全產品，或者說側重點是不同的。筆者并不贊同IPS的出現可以替代IDS的地位，就仿佛行為檢測技術的出現，仍然需要成熟的特征碼檢測作為依據一樣。
認識入侵檢測IDS（Intrusion Detection System）
IDS的核心功能是對各種事件進行分析，從中發現違反安全策略的行為。從技術上講，入侵檢測分為兩類：一種基于標志（signature-based），另一種基于異常情況（anomaly-based）。
對于基于標識的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數據包的某些頭信息。而基于異常的檢測技術則是先定義一組系統“正常”情況的數值，如CPU利用率、內存利用率、文件校驗和等，然后將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基于標志的檢測技術的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基于異常的檢測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、未知的攻擊。
不得不承認IDS存在一些致命的缺陷，甚至有人認為IDS只報警不采取措施的方式不能保證網絡的安全，但筆者認為這種說法是片面的，由于IDS的檢測種類方式各不相同，所以不能簡單的說只檢測就不能有效的抵御網絡攻擊。因此筆者建議若用戶僅僅關注網絡安全狀況的監控，只需在目標信息系統中部署IDS即可，配以優秀的網絡管理人員，就可以解決遇到的大多數安全異常狀況。