有人認為，入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（Intrusion Detection System，IDS）的升級產品，有了IPS，就可以替代以前的IDS系統(tǒng)，這也正是gartner 在2003年發(fā)表那篇著名的“IDS is dead” 的理由。

    從入侵防御系統(tǒng)的起源來看，這個“升級說”似乎有些道理：Network ICE公司在2000年首次提出了IPS這個概念，并于同年的9月18日推出了BlackICE Guard，這是一個串行部署的IDS，直接分析網絡數據并實時對惡意數據進行丟棄處理。

    但這種概念一直受到質疑，自2002年IPS概念傳入國內起，IPS這個新型的產品形態(tài)就不斷地受到挑戰(zhàn)，而且各大安全廠商、客戶都沒有表現出對IPS的興趣，普遍的一個觀點是：在IDS基礎上發(fā)展起來的IPS產品，在沒能解決IDS固有問題的前提下，是無法得到推廣應用的。

    這個固有問題就是“誤報”和“濫報”，IDS的用戶常常會有這種苦惱：IDS界面上充斥著大量的報警信息，經過安全專家分析后，被告知這是誤警。但在IDS旁路檢測的部署形式下，這些誤警對正常業(yè)務不會造成影響，僅需要花費資源去做人工分析。而串行部署的IPS就完全不一樣了，一旦出現了誤報或濫報，觸發(fā)了主動的阻斷響應，用戶的正常業(yè)務就有可能受到影響，這是所有用戶都不愿意看到和接受的。正是這個原因，導致了IPS概念在05年之前的國內市場表現平淡。

    隨著時間的推進，自2006年起，大量的國外廠商的IPS產品進入國內市場，各本土廠商和用戶都開始重新關注起IPS這一并不新鮮的“新”概念。

    IPS到底是什么？

    “IPS可以阻斷攻擊，這正是IDS所做不了的，所以IPS是IDS的升級，是IDS的替代品”，可能很多人都會有這種看法。

    我們先來看IPS的產生原因：

    A：串行部署的防火墻可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力。

    B：旁路部署的IDS可以及時發(fā)現那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷。

    C： IDS和防火墻聯動：通過IDS來發(fā)現，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯動在實際應用中的效果不顯著。

    于是就有下面的一種想法，如圖1所示。

圖1　IPS的起源

    這就是IPS產品的起源：一種能防御防火墻所不能防御的深層入侵威脅（入侵檢測技術）的在線部署（防火墻方式）安全產品。

    而為什么會有這種需求呢？是由于用戶發(fā)現了一些無法控制的入侵威脅行為，這也正是IDS的作用。

    入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數據進行檢測和報警，告知使用者網絡中的實時狀況，并提供相應的解決、處理方法，是一種側重于風險管理的安全產品。

    入侵防御系統(tǒng)（IPS）對那些被明確判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側重于風險控制的安全產品。

    這也解釋了IDS和IPS的關系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS的時候，只能是憑感覺判斷，應該在什么地方部署什么樣的安全產品，通過IDS的廣泛部署，了解了網絡的當前實時狀況，據此狀況可進一步判斷應該在何處部署何類安全產品（IPS等）。

    IPS應該看重那些方面的功能？