在网络安全领域，入侵检测系统 (IDS) 和入侵防御系统 (IPS) 是两种关键的技术，旨在保护网络免受各种威胁。
这两者尽管名字相似，但在功能、配置、以及应用场景等方面都有着显著的差异。
入侵检测系统 (IDS)IDS 是一种被动监控系统，主要用于检测并记录网络中的可疑活动或潜在威胁。
它会通过分析网络流量或系统日志，发现异常行为或已知的攻击模式。
IDS 不会主动阻止攻击，而是会向管理员发送警报，通知他们可能的安全威胁。
IDS 的主要任务是“检测”。
IDS 通过以下几种方式进行威胁检测：签名匹配： IDS 通过预定义的攻击签名库来匹配网络流量中的数据包，识别已知的攻击模式。
这种方法的优点是能够快速、准确地识别已知威胁，但缺点是无法检测到未知的、没有签名的新型攻击。
行为分析： IDS 通过建立正常的网络流量行为基线，来识别与此基线有显著差异的异常行为。
这种方法对未知攻击有一定的检测能力，但可能会产生误报。
IDS 通常部署在网络的旁路模式（out-of-band）下。
这意味着 IDS 不会直接干涉网络流量的传输，而是通过镜像端口、网络探针或传感器来监控流量。
这种部署方式的优点是不会对网络性能产生影响，但由于 IDS 只是被动监控，因此无法在攻击发生时立即阻止。
IDS 在检测到可疑活动时，会生成警报并发送给网络管理员。
警报信息通常包含攻击类型、