3.1 串行防御和免疫防護

天清入侵防御系統支持串行接入模式，串接在網絡當中，以邊界防護設備的形式接入網絡，任何對受保護網絡的訪問數據都將穿過天清入侵防御引擎。其標準的接入方式如下圖所示：

串接模式的部署

和入侵檢測設備不同的串接模式，使實時防御成為可能。與基于靜態規則進行邊界防護的防火墻相比,入侵防御系統可以實現動態的深層次的防御,具體如下圖:

防火墻和IPS的不同阻斷

在發現攻擊行為之后，天清入侵防御系統可以主動的阻斷這些攻擊行為，對內部網絡的系統實現免疫防護。即使內部系統存在相應的風險漏洞也可以由入侵防御引擎來將實現先于攻擊達成的防護。

3.2 高效的數據處理性能

正如很多邊界防護設備一樣，串行的接入模式需要面對的一個主要問題是如何使設備不成為網絡傳輸的瓶頸。天清入侵防御系統采用了如下先進技術確保其具有高效的傳輸性能:
POLL技術：在通常的系統中，數據處理都是采用中斷響應機制來進行的。采用中斷在數據包較少的情況下，是一個比較好的解決方案，但在數據量較大的情況下，尤其是在千兆級環境下，處理大量中斷所消耗的系統資源是相當可觀的，我們在這里采用了輪詢方式的POLL技術，CPU一直保持工作狀態，而并且等待喚醒狀態，以節約在大數據量情況下的CPU開銷。在對數據包的轉發中采用POLL技術，可以確保較低的傳輸時延。
驅動的內部無鎖技術：常見的數據結構有這么三種：堆棧、隊列和樹。在不同的情況下，采用不同的數據結構，我們對捕獲后的數據的存儲方式采用的是環狀隊列，也就是說，無需等待中斷，隨時都可以從存儲空間中實時獲得可進行分析的數據，
自適應的CPU負載均衡技術：我們將每一個實際的CPU都虛擬成了多個虛擬的CPU，分別用于處理不同的事務：分別處理中斷、檢測和通訊等。
以上這三項技術的協同應用，使得天清入侵防御系統在數據包的處理性能方面有著出眾的表現。其微秒級的分析時延，完全可以適應電信級用戶網絡環境需求。

3.3 權威性的檢測特征庫

啟明星辰認為，基于誤用的檢測方法要達到精確檢測其核心之一就是檢測特征（signature）提取的準確性，構造一個好的入侵防御系統，依賴于能否準確地提取和描述檢測特征。特別是在串行環境下，明晰而精確的檢測特征將會是決定保護措施優劣的重要砝碼。
天清入侵防御系統在提煉檢測特征的時候采用了如下兩種方式：
方式A：基于漏洞機理的分析方法。

利用漏洞機理的方法來提取和定義特征，可以實現檢測和具體攻擊工具的無關性，特別對于防止新型變種的攻擊和攻擊工具改造非常有效。

方式B：基于攻擊過程的分析方法。

攻擊過程分析法則是完全站在攻擊者的角度，破析完整的攻擊過程，可以判斷攻擊是處在攻擊嘗試階段還是已經攻擊成功。

另外，天清入侵防御系統中對檢測特征的定義都是通過統一的標準化VT++語言來描述，VT++語言的使用，不但保證了特征的快速更新，還向用戶提供了便于自行定義檢測特征的接口，從而擴充了檢測內容和范圍。

天清入侵防御系統的檢測防御規則庫全面兼容CVE和CNCVE，對用戶而言，提供了更詳細了解網絡中發生行為的機會。