1.入侵檢測系統（IDS）

   IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。專業上講就(jiù)是依照(zhào)一定的安全策略，對網絡、系統的運行狀況進行監視，盡可(kě)能發現各種攻擊企圖、攻擊行爲或者攻擊結果，以保證網絡系統資源的機(jī)密性、完整性和可(kě)用性。

   我們做一個比喻——假如(rú)防火(huǒ)牆是一棟大(dà)廈的嗎(ma)，門(mén)鎖，那麽IDS就(jiù)是這棟大(dà)廈裡(lǐ)的監視系統。一旦小偷進入了大(dà)廈，或内部人(rén)員(yuán)有越界行爲，隻有實時監視系統才能發現情況并發出警告。

   與防火(huǒ)牆不同的是，IDS入侵系統是一個旁路(lù)監聽設備，沒有也不需要跨接在任何鏈路(lù)上，無需網絡流量流經它便可(kě)以工(gōng)作(zuò)。因此，對IDS的不熟的唯一要求是：IDS應當挂接在所有所關注的流量都(dōu)必須流經的鏈路(lù)上。在這裡(lǐ)，“所關注流量”指的是來(lái)自(zì)高危網絡區域的訪問(wèn)流量和需要進行統計(jì)、監視的網絡報文。

     IDS在交換式網絡中的位置一般選爲：盡可(kě)能靠近攻擊源、盡可(kě)能受保護資源。

        這些位置通常是：

                      服務器區域的交換機(jī)上；

                       Internet接入路(lù)由器之後的第一台交換機(jī)上；

                        重點保護網段的局域網交換機(jī)上。

2.入侵防禦系統（IPS）

  IPS是英文"Intrusion Prevention  System"的縮寫，中文意思是入侵防禦系統。

 随着網絡攻擊技術(shù)的不斷提高和網絡安全漏洞的不斷發現，傳統防火(huǒ)牆技術(shù)加傳統IPS的技術(shù)，已經無法應對安全威脅。在這種情況下，IPS技術(shù)應運而生(shēng)，IPS技術(shù)可(kě)以深度感知并檢測流經的數據流量，對惡意報文進行丢棄以阻斷攻擊，對濫用報文進行限流以保護網絡寬帶資源。

      對于不熟在數據轉發路(lù)徑上的IPS，可(kě)以根據預先設定的安全策略，對流經的每個報文進行深度檢測（協議(yì)分(fēn)析跟蹤。特征匹配、流量統計(jì)分(fēn)析、事(shì)件(jiàn)關聯分(fēn)析等），如(rú)果一旦發現隐藏于其中網絡攻擊，可(kě)以根據該攻擊的威脅級别立即采取抵禦措施，這些措施包括（按照(zhào)處理(lǐ)力度）：向管理(lǐ)中心告警；丢棄該報文；切斷此次應用會話(huà)；切斷此次TCP連接。

3.IPS與IDS的區别、選擇

    IPS對于初始者來(lái)說(shuō)，是位于防火(huǒ)牆和網絡的設備之間的設備。這樣，如(rú)果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其他(tā)地方之前阻止這個惡意的通信。而IDS隻是存在于你(nǐ)的網絡之外起到報警的作(zuò)用，而不是在你(nǐ)的網絡前面起到防禦的作(zuò)用。