摘要：我们既要看到IPS蓬蓬勃勃的增长势头，又要承认IDS在入侵检测领域的传统优势，肯定IPS目前尚不可能完全取代IDS的基本事实，在建立自己的网络与信息安全体系的过程中，将两者有机地结合起来。

　　根据IDC发布的案例，美国的一家财务公司，在全球有12个分支机构，原计划使用多台防火墙并搭配250个许可证的IDS。最终，该公司仅用了30个许可证的IPS产品就实现了全球网络的入侵防御，而管理人员只需要3至4人，效率却提高了6倍以上。
　　波士顿Sappi Fine报社信息安全总监Jim Cupps说，作为具有10,000桌面设备和数百台基于微软服务器的公司，现在开始使用Deter mina基于主机的IPS，称之为内存防火墙的专用服务器，主要作为防御蠕虫的附加件。基于行为的内存防火墙能够监测缓冲区溢出攻击，"它并不能替代打补丁，但是它让我们不必立即打补丁，我们战胜了'补丁恐慌’，如果漏洞确实存在，入侵防御系统能够帮忙。"
　　应该指出，到目前为止IPS尚未强大到足以取代IDS的地步，或者它根本不必要全面取代IDS就能拓展自身的生存空间。这是因为：
　　IPS尚难应对较为复杂的攻击。受检测技术、传输技术、芯片技术等多方面的约束，当前IPS能够解决的主要是准确的单包检测和高速传输的融合问题，对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断，而对于更为复杂的攻击就难于应对；
　　IPS的分析报告功能太弱。对于In-line的IPS来说，分析得越清晰准确，计算复杂度越高，传输延迟就会越大。美国网络世界实验室联盟成员Rodney Thayer认为，在报告、分析等相关技术完善得足以防止虚假报警之前，IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统，而网络中的一些位置仍然需要检测功能，以加强不能提供很多事件信息的IPS；。
　　IDS正在走向检测与访问控制相融合。一个不太准确的IDS，经过人工的分析可以变得准确；同样，经过大规模的IDS部署后的集中分析，以及和其他检测类技术的关联分析，可以获得更加精确的结果。根据全局性的检测结果就可以进行全局性的响应和控制。从宏观看检测和访问控制的融合是IDS的发展方向；
　　技术上的相互渗透和融合并非一定要在产品上取而代之。防火墙最主要的特征是通（传输）和断（阻隔）两个功能，并不对通信包的数据部分进行检测；IDS是一个检测和发现为特征的技术行为，其追求的是抓包不能漏，分析不能错，尽量降低漏报率和误报率。因此，防火墙、IDS和IPS一样在网络信息安全体系中可以各显身手，相辅相成。
　　美国网络世界实验室联盟成员Joel Snyder认为，未来将是混合技术的天下，在网络边缘和核心层进行检测，遍布在网络上的传感设备和矫正控制的通力协作将是安全应用的主流。
　　全局性的检测可提高准确率，但是使检测过程变长，局部反应速度过慢。因此，面对一些局部事件，可以相当准确地判断出问题所在而阻断风险不大时，IPS当之无愧地成为首选产品；而对于需要全面检测和事后分析的情况，则非IDS莫属。根据客户需求将两者统一部署，使其相辅相成，不失为一个优秀的解决方案。图3给出了一个高可用性IPS、IDS与防火墙综合入侵防御的解决方案。该方案的要点是:
　　网络主干线的IPS和防火墙均采用双机动态热备份部署，确保任何单机故障均不会影响主干网的畅通；
　　将高端IPS串接于路由器与防火墙之间，利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长，实现网络架构防护机制，保护防火墙和核心交换机等网络设备免遭入侵和攻击；
　　信息中心和业务服务器的子交换机前分别部署一台中级IPS，可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击；
　　在各子网的分交换机端口部署分布式IDS的网络引擎，对各子网的通信进行实时监听，发现攻击或者误操作立即报告其中心控制台，向系统管理员发出警报，并且做好时间记录和报告，以便进行事件分析。
　　主动防御与实时阻断是IPS的立足之本，但是由于受到技术与成本的局限，IPS尚无法完全替代IDS全面的检测与报告功能。IPS与IDS相比较而存在、相斗争而发展的局面仍然会继续下去。作为信息安全工作者或者用户，没有必要去争论两者谁会战胜谁，而应该研究如何发挥双方的特长，使其相辅相成，共同建立现实的信息安全体系。
　　责任编辑：Mary