Penso que a resposta certa seria realmente o IPS devido a necessidade do cliente de não poder ter seu serviço impactado. A forma como o IDS trabalha é reativa, ou seja, como ele nunca toma uma ação de bloqueio o ataque sempre chegara ao site do cliente diferentemente do IPS que estando em linha com a infraestrutura do cliente poderá tomar uma ação imediata e evitar de forma proativa que o serviço/site fique fora.