IPS（入侵防御系统）提出了多年，一直有个声音认为IPS会取代IDS（入侵检测系统），但是几年过去了，情况并非如此，那么IPS 目前到底处于什么状态呢？

        据调查，目前59%的用户部署了IDS，27%的用户将IDS列入购买计划，62% 用户在关注 IPS，并且7%的用户有意向购买 IPS，这些数据表明，IDS和IPS 在国内都呈现出繁荣发展的前景。

        这与几年前一些研究机构预计的“IPS将逐步取代IDS”的看法截然不同。IPS 既没有得到 “一览众山小”的市场局面，IDS 也没有“节节败退”，是什么原因使得人们的预测出现了如此大的偏差呢？要想找出其中的原因，不得不从研究历史出发，看看IDS 和IPS 都是如何发展的。

        需求决定IDS 不会消沉

        安全防护是一个多层次的保护机制，它既包括企业的安全策略，又包括防火墙、防病毒、入侵检测等产品技术解决方案。而且，为了保障网络安全，还必须建立一套完整的安全防护体系，进行多层次、多手段的检测和防护。IDS正是构建安全防护体系不可缺少的一环。

        虽然有很多用户对IDS 是否具有存在价值表示过质疑，但到目拔梗嗟挠没窃诠刈⑷绾巫畲蟪潭鹊胤⒒覫DS 的作用，来保障网络的安全。

        据市场统计显示，2005 年 IDS 可以占到安全市场全年总额的11.2%，市场销售额达到5. 5亿元。而2004 年国内IDS产品全年销售额是3.8亿元，占中国网络安全市场全年市场份额的 10.9%。2003 年IDS的市场销售额是2.75亿元。可以看出，随着国内用户的成熟，IDS在网络安全市场中也是处在一个稳定的发展阶段。在这种情况下，谁能说IDS的市场会江山不再呢？

        促使IDS 得到广泛应用的另一个因素是，Slammer、冲击波等针对系统漏洞的攻击不断增多，新的软件漏洞不断被发现，一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中，从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短，用户需要一种可以检测攻击的有效工具，IDS 就是其中的一种。

        自身改进打破IDS 灭亡论

        虽然前一时间IPS取代IDS 的呼声日渐高涨，而且Gartner 发表的“IDS将死”言论更是让这两种技术的争斗达到了白热化，但在国内，IDS还没有受到 “灭亡论”的太大影响，这主要是因为IDS不断地进行着改造。目前的IDS 技术是需要有比较大的改进才能满足客户的需要，可能需要细分市场做出不同的产品来满足不同的客户。

        从安全厂商来看，安氏中国、绿盟科技、McAfee、天融信、方正、冠群金辰、联想、东软、中科网威、启明星辰等众多厂商都有多款百兆和千兆的 IDS 产品。从对这些主流IDS 产品的评测来看，IDS 产品在性能方面也是不断进步的。比如， 2002 年——2003 年的百兆IDS 产品，在64 字节100%压力下平均检测能力仅有40.2%，而2003 年——2004年，部分百兆IDS 产品检测能力已达到100%，这标志着百兆IDS 产品在性能方面已经成熟。

        而千兆IDS 产品的性能也有了长足的发展，捕获数据包的能力每秒67 万——85 万，最高可达140 多万，对大流量网络的适应能力明显增强。还有在功能方面，部分IDS 产品几年前就具备了网络流量分析、页面重组、内容恢复、事件回放等功能，如今不仅功能更为完善多样，而且功能的模块化也更有利于用户根据实际需要进行定制和应用。

        近年来，IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中，我们都能发现IDS的身影。某证券公司的IT主管谈到：“随着企业网络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、防病毒等常规的安全手段只能对付外部入侵，对于内部违规行为却无能为力。而IDS 可以审计跟踪内部违反安全策略的行为。另外，IDS 可以记录、报警各种安全事件，有利于进行安全审计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。”

        IDS 缺陷成就IPS

        不过我们同时也看到，也有很多用户反应IDS 带来的麻烦大于贡献。有用户反映，IDS 的误报率太高，只要一开机，警报便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而从上万条信息中挖掘出有用信息费时又费力，通常需要设立专人负责管理IDS，这在缺乏IT人才的企业中是很不现实的。

        想要解决误报和漏报的问题，要综合运用多种检测机制，包括特征对比、协议异常分析等技术，同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。 未来的IDS还需要面向宽带高速实时的网络环境，引入数据挖掘、分布式部署、免疫和神经网络技术，并且适应 IPv6 的技术要求。

        很多用户希望IDS 能够增加主动阻断攻击的能力，在危害出现时能够直接将其阻断。用户的这种希望并不是空穴来风，而是与当前的安全形势息息相关。

        系统漏洞屡屡被攻击，主动防御和应用安全的压力从来没有如此凸显过。一方面系统的复杂性在不断提高，几乎每周都会有系统缺陷被发现；另一方面利用高危缺陷进行入侵和传播的攻击技术也在快速发展，用户需要一种能够实时阻断攻击的安全技术。 从工作原理上来看， IDS技术属于被动式的反应式技术，这种技术在安全威胁传播速度较慢时并没有显现出太大问题，随着威胁传播速度的加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，于是喊着主动防御口号的IPS得到了一定的市场机会。