■ 技术上的相互渗透和融合。IDS是一个检测和发现为特征的技术行为，追求的是抓包不能漏，分析不能错，尽量降低漏报率和误报率。IPS具备从网络到主机的主动防御能力，讲的是主动出击，快速阻断。不难理解，IDS的进步将改善IPS的检测功能，而IPS的发展也必将推动IDS保护功能的进一步完善。因此，提高检测的精确性和走向检测与访问控制相融合，是IPS与IDS的共同的基础和利益之所在；
    ■ 应对复杂攻击离不开IDS。受检测技术、传输技术、芯片技术等多方面的约束，当前IPS能够解决的主要是准确的单包检测和高速传输的融合问题，对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断，而对于更为复杂的攻击就难于应对。因此，全面部署IDS，通过系统管理员的专业干预，则能应对各种复杂的入侵情况；
    ■ IPS的分析报告功能太弱。对于In-line的IPS来说，分析得越清晰准确，计算复杂度越高，传输延迟就会越大。美国网络世界实验室联盟成员Rodney Thayer认为，在报告、分析等相关技术完善得足以防止虚假报警之前，IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统，而网络中的一些位置仍然需要检测与报告功能极强的IDS；。
    ■ 综合部署，相辅相成。一个不太准确的IDS，经过人工的分析可以变得准确；同样，经过统一部署检测设备和集中的关联分析，可以获得更加精确的测试结果。全局性的检测可提高准确率，但是使检测过程变长，局部反应速度过慢。因此，面对一些局部事件，可以相当准确地判断出问题所在而阻断风险不大时，IPS是当之无愧的首选产品；而对于需要全面检测和事后分析的情况，则非IDS莫属。根据客户需求将两者统一部署，使其优势互补、相辅相成，不失为一个优秀的解决方案。
    三、一个共生互补的解决方案
    图2 给出了一个综合部署IPS、IDS与防火墙的入侵防御高可用性（HA）解决方案。该方案的要点是:：
    ■ 网络主干线的IPS和防火墙均采用双机动态热备份部署，确保任何单机故障均不会影响主干网的畅通；
    ■ 将高端IPS串接于路由器与防火墙之间，利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长，实现网络架构防护机制，保护防火墙和核心交换机等网络设备免遭入侵和攻击；
    ■ 信息中心和业务服务器的子交换机前分别部署一台中级IPS，可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击；
    ■ 在各子网的分交换机端口部署分布式IDS的网络引擎，对各子网的通信进行实时监听，发现攻击或者误操作立即报告其中心控制台，向系统管理员发出警报，并且做好时间记录和报告，以便进行事件分析。
    四、结束语
    主动防御与实时阻断是IPS的立足之本，但是由于受到技术与成本的局限，IPS尚无法完全替代IDS全面的检测与报告功能。IPS与IDS相比较而存在、相竞争而发展的局面仍然会继续下去。作为信息安全工作者或者用户，没有必要去争论两者谁会战胜谁，而应该研究如何发挥双方的共生性与互补性，使其相辅相成，共同建立现实的网络与信息安全体系。

(责任编辑：adminadmin2008)