从发展看IDS与IPS差别

　　从物理层次看，IPS和IDS这两种技术无法融合，IPS和IDS资源消耗的重点不一样，IPS多了一个存储转发的过程，先要存储，然后进行分析，分析完后，再进行转发。IDS则不同，关注的是检测事件，怎么样更有效、更清晰地呈现给用户问题，然后让用户找到改进的办法。

　　因此，对IPS，厂商的技术发展策略重点是突出精确，比如启明星辰，对IPS的技术发展路线是将基于特征的检测和基于原理的检测进行融合，进行交叉验证，来保证要阻断的内容、对象等，确确实实就是攻击。为了保证及时性，启明星辰建立了两个非常重要的部门，一个是攻防实验室，一个是信息安全的博士后工作站，攻防实验室天天在研究漏洞、研究攻击，一旦发现新的攻击，就把这个特征定义清楚，放到特征库中。如果特征不唯一，就提交给信息安全博士后工作站，他们会结合这个攻击躲避的原理，来设计躲避机制和算法。形成一个新模块，纳入到产品的检测引擎中去，并不只是简单地在特征库中增加一个特征。

　　而IDS的发展防线，则是增强数据汇总、统计、关联分析、报表的呈现能力，是全面检测，IDS的发展目标是检测面越来越全，包括入侵、违规、异常甚至病毒等。同时，检测结果越来越具有可理解性，与事件进行关联，给出事件判断的依据，让网络管理员更容易看懂。