從2003年 Gartner公司副總裁Richard Stiennon發(fā)表的《入侵檢測已壽終正寢，入侵防御將萬古長青》報(bào)告引發(fā)的安全業(yè)界震動(dòng)至今，關(guān)于入侵檢測系統(tǒng)與入侵防御系統(tǒng)之間關(guān)系的討論已經(jīng)趨于平淡，2006年IDC年度安全市場報(bào)告更是明確指出入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩個(gè)獨(dú)立的市場，給這個(gè)討論畫上了一個(gè)句號(hào)。
可以說，目前無論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認(rèn)為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。但由于入侵防御產(chǎn)品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產(chǎn)品，什么時(shí)候該選擇入侵防御產(chǎn)品呢？筆者曾見過用戶進(jìn)行產(chǎn)品選擇的時(shí)候在產(chǎn)品類型上寫著“入侵檢測系統(tǒng)或者入侵防御系統(tǒng)”。這說明用戶還不能確定到底使用哪種產(chǎn)品，顯然是因?yàn)閷?duì)兩類產(chǎn)品的區(qū)分不夠清晰所致，其實(shí)從產(chǎn)品價(jià)值以及應(yīng)用角度來分析就可以比較清晰的區(qū)分和選擇兩類產(chǎn)品。
從產(chǎn)品價(jià)值角度講：入侵檢測系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。用戶進(jìn)行網(wǎng)絡(luò)安全建設(shè)之前，通常要考慮信息系統(tǒng)面臨哪些威脅；這些威脅的來源以及進(jìn)入信息系統(tǒng)的途徑；信息系統(tǒng)對(duì)這些威脅的抵御能力如何等方面的信息。在信息系統(tǒng)安全建設(shè)中以及實(shí)施后也要不斷的觀察信息系統(tǒng)中的安全狀況，了解網(wǎng)絡(luò)威脅發(fā)展趨勢。只有這樣才能有的放矢的進(jìn)行信息系統(tǒng)的安全建設(shè)，才能根據(jù)安全狀況及時(shí)調(diào)整安全策略，減少信息系統(tǒng)被破壞的可能。
入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制。當(dāng)用戶明確信息系統(tǒng)安全建設(shè)方案和策略之后，可以在入侵防御系統(tǒng)中實(shí)施邊界防護(hù)安全策略。與防火墻類產(chǎn)品可以實(shí)施的安全策略不同，入侵防御系統(tǒng)可以實(shí)施深層防御安全策略，即可以在應(yīng)用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測產(chǎn)品所做不到的。
從產(chǎn)品應(yīng)用角度來講：為了達(dá)到可以全面檢測網(wǎng)絡(luò)安全狀況的目的，入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測分析引擎，并統(tǒng)一進(jìn)行引擎的策略管理以及事件分析，以達(dá)到掌控整個(gè)信息系統(tǒng)安全狀況的目的。
而為了實(shí)現(xiàn)對(duì)外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。
如上分析，入侵檢測系統(tǒng)的核心價(jià)值在于通過對(duì)全網(wǎng)信息的分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)的核心價(jià)值在于安全策略的實(shí)施—對(duì)黑客行為的阻擊；入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對(duì)內(nèi)部攻擊行為無能為力。明確了這些區(qū)別，用戶就可以比較理性的進(jìn)行產(chǎn)品類型選擇：
若用戶計(jì)劃在一次項(xiàng)目中實(shí)施較為完整的安全解決方案，則應(yīng)同時(shí)選擇和部署入侵檢測系統(tǒng)和入侵防御系統(tǒng)兩類產(chǎn)品。在全網(wǎng)部署入侵檢測系統(tǒng)，在網(wǎng)絡(luò)的邊界點(diǎn)部署入侵防御系統(tǒng)。
若用戶計(jì)劃分布實(shí)施安全解決方案，可以考慮先部署入侵檢測系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全狀況監(jiān)控，后期再部署入侵防御系統(tǒng)。
若用戶僅僅關(guān)注網(wǎng)絡(luò)安全狀況的監(jiān)控（如金融監(jiān)管部門，電信監(jiān)管部門等），則可在目標(biāo)信息系統(tǒng)中部署入侵檢測系統(tǒng)即可。