3.1 串行防御和免疫防護(hù)

天清入侵防御系統(tǒng)支持串行接入模式，串接在網(wǎng)絡(luò)當(dāng)中，以邊界防護(hù)設(shè)備的形式接入網(wǎng)絡(luò)，任何對(duì)受保護(hù)網(wǎng)絡(luò)的訪問(wèn)數(shù)據(jù)都將穿過(guò)天清入侵防御引擎。其標(biāo)準(zhǔn)的接入方式如下圖所示：

串接模式的部署

和入侵檢測(cè)設(shè)備不同的串接模式，使實(shí)時(shí)防御成為可能。與基于靜態(tài)規(guī)則進(jìn)行邊界防護(hù)的防火墻相比,入侵防御系統(tǒng)可以實(shí)現(xiàn)動(dòng)態(tài)的深層次的防御,具體如下圖:

防火墻和IPS的不同阻斷

在發(fā)現(xiàn)攻擊行為之后，天清入侵防御系統(tǒng)可以主動(dòng)的阻斷這些攻擊行為，對(duì)內(nèi)部網(wǎng)絡(luò)的系統(tǒng)實(shí)現(xiàn)免疫防護(hù)。即使內(nèi)部系統(tǒng)存在相應(yīng)的風(fēng)險(xiǎn)漏洞也可以由入侵防御引擎來(lái)將實(shí)現(xiàn)先于攻擊達(dá)成的防護(hù)。

3.2 高效的數(shù)據(jù)處理性能

正如很多邊界防護(hù)設(shè)備一樣，串行的接入模式需要面對(duì)的一個(gè)主要問(wèn)題是如何使設(shè)備不成為網(wǎng)絡(luò)傳輸?shù)钠款i。天清入侵防御系統(tǒng)采用了如下先進(jìn)技術(shù)確保其具有高效的傳輸性能:
POLL技術(shù)：在通常的系統(tǒng)中，數(shù)據(jù)處理都是采用中斷響應(yīng)機(jī)制來(lái)進(jìn)行的。采用中斷在數(shù)據(jù)包較少的情況下，是一個(gè)比較好的解決方案，但在數(shù)據(jù)量較大的情況下，尤其是在千兆級(jí)環(huán)境下，處理大量中斷所消耗的系統(tǒng)資源是相當(dāng)可觀的，我們?cè)谶@里采用了輪詢方式的POLL技術(shù)，CPU一直保持工作狀態(tài)，而并且等待喚醒狀態(tài)，以節(jié)約在大數(shù)據(jù)量情況下的CPU開銷。在對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)中采用POLL技術(shù)，可以確保較低的傳輸時(shí)延。
驅(qū)動(dòng)的內(nèi)部無(wú)鎖技術(shù)：常見的數(shù)據(jù)結(jié)構(gòu)有這么三種：堆棧、隊(duì)列和樹。在不同的情況下，采用不同的數(shù)據(jù)結(jié)構(gòu)，我們對(duì)捕獲后的數(shù)據(jù)的存儲(chǔ)方式采用的是環(huán)狀隊(duì)列，也就是說(shuō)，無(wú)需等待中斷，隨時(shí)都可以從存儲(chǔ)空間中實(shí)時(shí)獲得可進(jìn)行分析的數(shù)據(jù)，
自適應(yīng)的CPU負(fù)載均衡技術(shù)：我們將每一個(gè)實(shí)際的CPU都虛擬成了多個(gè)虛擬的CPU，分別用于處理不同的事務(wù)：分別處理中斷、檢測(cè)和通訊等。
以上這三項(xiàng)技術(shù)的協(xié)同應(yīng)用，使得天清入侵防御系統(tǒng)在數(shù)據(jù)包的處理性能方面有著出眾的表現(xiàn)。其微秒級(jí)的分析時(shí)延，完全可以適應(yīng)電信級(jí)用戶網(wǎng)絡(luò)環(huán)境需求。

3.3 權(quán)威性的檢測(cè)特征庫(kù)

啟明星辰認(rèn)為，基于誤用的檢測(cè)方法要達(dá)到精確檢測(cè)其核心之一就是檢測(cè)特征（signature）提取的準(zhǔn)確性，構(gòu)造一個(gè)好的入侵防御系統(tǒng)，依賴于能否準(zhǔn)確地提取和描述檢測(cè)特征。特別是在串行環(huán)境下，明晰而精確的檢測(cè)特征將會(huì)是決定保護(hù)措施優(yōu)劣的重要砝碼。
天清入侵防御系統(tǒng)在提煉檢測(cè)特征的時(shí)候采用了如下兩種方式：
方式A：基于漏洞機(jī)理的分析方法。

利用漏洞機(jī)理的方法來(lái)提取和定義特征，可以實(shí)現(xiàn)檢測(cè)和具體攻擊工具的無(wú)關(guān)性，特別對(duì)于防止新型變種的攻擊和攻擊工具改造非常有效。

方式B：基于攻擊過(guò)程的分析方法。

攻擊過(guò)程分析法則是完全站在攻擊者的角度，破析完整的攻擊過(guò)程，可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。

另外，天清入侵防御系統(tǒng)中對(duì)檢測(cè)特征的定義都是通過(guò)統(tǒng)一的標(biāo)準(zhǔn)化VT++語(yǔ)言來(lái)描述，VT++語(yǔ)言的使用，不但保證了特征的快速更新，還向用戶提供了便于自行定義檢測(cè)特征的接口，從而擴(kuò)充了檢測(cè)內(nèi)容和范圍。

天清入侵防御系統(tǒng)的檢測(cè)防御規(guī)則庫(kù)全面兼容CVE和CNCVE，對(duì)用戶而言，提供了更詳細(xì)了解網(wǎng)絡(luò)中發(fā)生行為的機(jī)會(huì)。