入侵檢測系統(tǒng)（IDS）是一種動態(tài)安全技術(shù)，但它不會主動在攻擊發(fā)生前阻斷它們。而入侵防護系統(tǒng)（IPS）則傾向于提供主動性的防護。在一段時間內(nèi)，IDS和IPS將共同存在。
存在的發(fā)展觀
IDS與IPS的發(fā)展其實非常有意思，因為他們的出現(xiàn)與發(fā)展的時間間隔并不長，而且到目前為止，各自都有堅定的用戶與支持者，當(dāng)然，各自的缺點也非常明顯。在此，雖然有不少人認(rèn)為IPS終將取代IDS而成為主流（有些人甚至認(rèn)為UTM也是IPS的終結(jié)者），但記者并不敢全部認(rèn)同。
在IT產(chǎn)業(yè)中，這么多年了，從來沒有過技術(shù)主導(dǎo)一切的定論，國內(nèi)也是一樣。君不見微軟戰(zhàn)勝蘋果，TCP/IP搞掉OSI，道理很簡單：適合的就是最好的。雖然技術(shù)很重要，但是也要考慮到用戶的接受程度、應(yīng)用水平與經(jīng)濟能力，尤其是在國內(nèi)。
記者一直認(rèn)為，IDS在國內(nèi)發(fā)展的一個重要領(lǐng)域是教育，雖然很多IPS廠商也認(rèn)為教育是其主要市場，但作為先來者，IDS和很多全網(wǎng)安全方案的結(jié)合，幫助了其進一步存活的可能性，當(dāng)然荷包不足的用戶也是其發(fā)展的另一個條件。
當(dāng)然，記者的意思并非IDS將會一路高歌，恰恰相反，很多用戶對于發(fā)現(xiàn)問題后及時采取行動的呼聲與愿望越發(fā)高漲，眼下所擔(dān)憂的僅僅是這種行動不要由于誤打誤撞而導(dǎo)致災(zāi)難。不管怎么說，這種愿望還是造成了眼前IDS與IPS的邊界越來越模糊（甚至是和少數(shù)初級的UTM）----發(fā)現(xiàn)問題，采取一點點用戶心理上能夠承受的行動。
從防火墻到IDS
其實回憶早前防火墻在國內(nèi)的應(yīng)用可以發(fā)現(xiàn)，用戶對于安全設(shè)備的理解與掌握，往往花費的時間都比較長。
現(xiàn)在國內(nèi)用戶對防火墻已經(jīng)有了很高的認(rèn)知和應(yīng)用水平（至少對ACL的配置選擇已經(jīng)不在陌生），并認(rèn)可了其網(wǎng)絡(luò)大門的地位。但不可否認(rèn)，防火墻采用規(guī)則匹配的原理，對于內(nèi)容的控制并不嚴(yán)密。雖然少數(shù)高端產(chǎn)品可以對應(yīng)用協(xié)議進行動態(tài)分析----邊界模糊的另一種證明----，但這樣仍不能對進出網(wǎng)絡(luò)的數(shù)據(jù)進行分析，特別是對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力。
Juniper公司的工程師向記者表示，由于防火墻處于網(wǎng)關(guān)的位置，不可能對進出攻擊作太多判斷，否則會嚴(yán)重影響網(wǎng)絡(luò)性能。因此如果把放火防火墻比作大門警衛(wèi)的話，IDS就是網(wǎng)絡(luò)中不間斷的攝像機。IDS通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說IDS是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案
在《網(wǎng)絡(luò)世界》報社出版的《2005網(wǎng)絡(luò)產(chǎn)品購買指南》中就曾指出，當(dāng)前市場上存在的IDS可以分為以下兩種：主機型IDS（HIDS）和網(wǎng)絡(luò)型IDS（NIDS）。HIDS的分析對象為主機審計日志，所以需 要在主機上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機引擎，安裝配置較為復(fù)雜，同時對系統(tǒng)的運行和穩(wěn)定性造成影響，目前在國內(nèi)應(yīng)用較少。而NIDS的分析對象為網(wǎng)絡(luò)數(shù)據(jù)流，只需安裝在網(wǎng)絡(luò)的監(jiān)聽端口上，對網(wǎng)絡(luò)的運行無任何影響，目前國內(nèi)使用較為廣泛。
從技術(shù)上說，無論采用HIDS還是NIDS，都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為，可互為補充，完美的IDS產(chǎn)品應(yīng)該將兩者結(jié)合起來。一些高端的IDS產(chǎn)品都采用HIDS和NIDS有機結(jié)合的混合型IDS架構(gòu)。
對一個成功的IDS系統(tǒng)來講，它不但可使企業(yè)用戶的網(wǎng)絡(luò)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的是，IDS大多管理、配置簡單，從而使企業(yè)人員可以非常容易地獲得網(wǎng)絡(luò)安全。另外，好的IDS產(chǎn)品可以根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。
IDS系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。業(yè)界總結(jié)的通用IDS系統(tǒng)的主要功能包括：監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。
另外，一些業(yè)內(nèi)的主流廠商，如Cisco、Checkpoint、ISS以及華為3Com等，他們一般采用基于模式匹配、異常情況或者完整性分析的判斷方法。
對于基于模式匹配的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)，此方法非常類似殺毒軟件；而基于異常情況的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗等，然后將系統(tǒng)運行時的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況；而完整性分析則關(guān)注文件或?qū)ο笫欠癖淮鄹模饕鶕?jù)文件和目錄的內(nèi)容及屬性進行判斷，這種檢測方法在發(fā)現(xiàn)被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效。