1.入侵检测系统（IDS）

   IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

   我们做一个比喻——假如防火墙是一栋大厦的吗，门锁，那么IDS就是这栋大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

   与防火墙不同的是，IDS入侵系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无需网络流量流经它便可以工作。因此，对IDS的不熟的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

     IDS在交换式网络中的位置一般选为：尽可能靠近攻击源、尽可能受保护资源。

        这些位置通常是：

                      服务器区域的交换机上；

                       Internet接入路由器之后的第一台交换机上；

                        重点保护网段的局域网交换机上。

2.入侵防御系统（IPS）

  IPS是英文"Intrusion Prevention  System"的缩写，中文意思是入侵防御系统。

 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IPS的技术，已经无法应对安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络宽带资源。

      对于不熟在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪。特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

3.IPS与IDS的区别、选择

    IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。