3.1 串行防御和免疫防护

天清入侵防御系统支持串行接入模式，串接在网络当中，以边界防护设备的形式接入网络，任何对受保护网络的访问数据都将穿过天清入侵防御引擎。其标准的接入方式如下图所示：

串接模式的部署

和入侵检测设备不同的串接模式，使实时防御成为可能。与基于静态规则进行边界防护的防火墙相比,入侵防御系统可以实现动态的深层次的防御,具体如下图:

防火墙和IPS的不同阻断

在发现攻击行为之后，天清入侵防御系统可以主动的阻断这些攻击行为，对内部网络的系统实现免疫防护。即使内部系统存在相应的风险漏洞也可以由入侵防御引擎来将实现先于攻击达成的防护。

3.2 高效的数据处理性能

正如很多边界防护设备一样，串行的接入模式需要面对的一个主要问题是如何使设备不成为网络传输的瓶颈。天清入侵防御系统采用了如下先进技术确保其具有高效的传输性能:
POLL技术：在通常的系统中，数据处理都是采用中断响应机制来进行的。采用中断在数据包较少的情况下，是一个比较好的解决方案，但在数据量较大的情况下，尤其是在千兆级环境下，处理大量中断所消耗的系统资源是相当可观的，我们在这里采用了轮询方式的POLL技术，CPU一直保持工作状态，而并且等待唤醒状态，以节约在大数据量情况下的CPU开销。在对数据包的转发中采用POLL技术，可以确保较低的传输时延。
驱动的内部无锁技术：常见的数据结构有这么三种：堆栈、队列和树。在不同的情况下，采用不同的数据结构，我们对捕获后的数据的存储方式采用的是环状队列，也就是说，无需等待中断，随时都可以从存储空间中实时获得可进行分析的数据，
自适应的CPU负载均衡技术：我们将每一个实际的CPU都虚拟成了多个虚拟的CPU，分别用于处理不同的事务：分别处理中断、检测和通讯等。
以上这三项技术的协同应用，使得天清入侵防御系统在数据包的处理性能方面有着出众的表现。其微秒级的分析时延，完全可以适应电信级用户网络环境需求。

3.3 权威性的检测特征库

启明星辰认为，基于误用的检测方法要达到精确检测其核心之一就是检测特征（signature）提取的准确性，构造一个好的入侵防御系统，依赖于能否准确地提取和描述检测特征。特别是在串行环境下，明晰而精确的检测特征将会是决定保护措施优劣的重要砝码。
天清入侵防御系统在提炼检测特征的时候采用了如下两种方式：
方式A：基于漏洞机理的分析方法。

利用漏洞机理的方法来提取和定义特征，可以实现检测和具体攻击工具的无关性，特别对于防止新型变种的攻击和攻击工具改造非常有效。

方式B：基于攻击过程的分析方法。

攻击过程分析法则是完全站在攻击者的角度，破析完整的攻击过程，可以判断攻击是处在攻击尝试阶段还是已经攻击成功。

另外，天清入侵防御系统中对检测特征的定义都是通过统一的标准化VT++语言来描述，VT++语言的使用，不但保证了特征的快速更新，还向用户提供了便于自行定义检测特征的接口，从而扩充了检测内容和范围。

天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE，对用户而言，提供了更详细了解网络中发生行为的机会。