IDS 和 IPS 有什么区别

含义不同

IDS 入侵检测系统。IDS 主要检测系统内部，运行在被监控的主机上，对主机的网络行为、系统日志、进程和内存等指标进行监控。IPS 是检测在系统的防火墙和外网之间，针对流向内部的流量进行分析。监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，实时监视系统会发现情况并发出警告。

IPS：入侵防御系统。IPS 是位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS 会在遭到攻击前做好预防阻止攻击的发生。IDS 属于被动检测，存在于网络之外起到预警的作用，而不是在网络前面起到防御的作用。

作用不同

IDS 专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IPS 入侵防御系统是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

部署位置不同

IDS 通常采用旁路接入，在网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源，这些位置通常是：服务器区域的交换机上；Internet 接入路由器滞后的第一台交换机上；重点保护网段的局域网交换机上。

IPS 通常采用 Inline 接入，在办公网络中，至少需要在以下区域部署：办公网与外部网络的连接部位（入口 / 出口）；重要服务器集群前端；办公网内部接入层。

工作机制不同

IDS 主要针对已发生的攻击事件或异常行为进行处理，属于被动防护。以 NIDS 为例：NIDS 以旁路方式，对所监测的网络数据进行获取、还原，根据签名进行模式匹配，或者进行一系列统计分析，根据结果对有问题的会话进行阻断，或者和防火墙产生联动。IDS 的致命缺点在于阻断 UDP 会话不太灵，对加密的数据流束手无策。

IPS 针对攻击事件或异常行为可提前感知及预防，属于主动防护。根据设置的过滤器，分析相对应的数据包，通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

IPS 的阻断方式较 IDS 更为可靠，可以中断拦截 UDP 会话，也可以做到确保符合签名规则的数据包不漏发到被保护区域。

IPS 致命的缺点是同样硬件的情况下，性能比 IDS 低的多。实际应用中，误杀漏杀和 IDS 一样，主要是签名库决定的。但是随着 UDP 协议的广泛使用，IPS 在 UDP 上的误杀率可能会高于 IDS。