从需求看IDS与IPS差别

　　对IDS，人们希望它能呈现攻击，要求呈现得越全面越好。对IPS，人们对它的需求有三个方面，首先是精确阻断，这是核心，是评价一款IPS好坏的最关键指标，也是IPS区别于IDS的重要指标，IDS不会仔细考虑攻击的准确性，而IPS必须考虑，因此，需要厂商 对攻击进行清楚的定义，并精确阻断攻击，准确率甚至要求达到100%；其次是防御及时，目前每天公布的攻击有22个之多，如果防御不及时，就会出现很多漏洞代码; 第三是效率要高，因为是在线部署的，效率低会直接影响网络性能。

　　IDS呈现的事件，绝对不能等同于IPS精确阻断的事件。因为，很多异常行为并不是入侵攻击，只需要让网管员了解就可以了，而不需要阻断。比如一个很特殊的访问过程，也许并不是攻击，但是对于IDS来讲，它可能需要告警，要让用户了解到这种异常状况，但是对IPS来讲，未必要阻断。所以IDS和IPS的的特征库、事件库有着本质的区别，是完全不同的。

　　从部署上看，目前可共分三种不同的部署情况，第一种是只需要IPS，不需要IDS，这种用户是只关注风险控制，不关注风险管理的单位，可以归类为低风险的行业。第二种是既需要IDS，也需要IPS的高风险行业；第三种是只需要IDS，不需要IPS的监管机构，只做监管，不做防御，比如远程监控中心。