除了检测机制外，IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS 能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。 McAfee、Juniper、ISS同时都在 IPS 中提供了调优机制，使IPS 通过自学习提高检测的准确性。

引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee 也于日前收购了从事漏洞研究的 Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，使关键资源得到主动防护。Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，每周都会发布攻击签名和基于严重等级的紧急签名更新， Juniper 提供的攻击签名是基于弱点和安全漏洞，而不仅仅是黑客已经使用并且造成破坏的安全弱点。

McAfee 公司北亚区技术总监陈联认为，目前严重的安全事件大多数是由缓冲区溢出所导致，所以McAfee 在自己的实验里加强了对溢出型漏洞的研究和跟踪，并且把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。这项缓冲区溢出分析技术使得M c A f e e 的 I P S 设备能够检测七层的数据包，实现对应用的主动保护。

赛门铁克在IPS设备中采用了漏洞阻截技术。通过研究漏洞特征，将其加入到漏洞签名库中，IPS 就可以发现符合漏洞特征的所有攻击流量。冲击波及其变种都利用了RPC（微软操作系统的一个漏洞）漏洞。赛门铁克通过研究并提取RPC 漏洞的特征，组成特征签名并将其推送给 IPS 设备。在公布漏洞和病毒爆发的一段间隔里，用户只需将漏洞特征签名自动下载，就可以在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。

主动防御是安全根本

绝大多数IDS 系统都是被动的，而不是主动性的。在攻击实际发生之前，IDS 往往无法预先发出警报。IPS则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送侥诓肯低持小Ｕ庋焕矗形侍獾氖莅约八欣醋酝皇萘鞯暮笮莅寄芄辉贗PS设备中被清除掉。

现在谈主动防御的很多，这也是IPS 市场启动的根源。但是有专家认为，入侵防护应该是由多种安全设备组成的安全体系共同来实现，而不是由IPS这种设备单独来完成，IPS 只是主动防护的一部分，而不是主动防护的全部。主动防护系统还需要加入应用级防火墙与应用级IDS，应用级的IDS 产品能够重组信息流，跟踪应用会话过程，并准确描述和识别攻击，而应用级的防火墙能够阻断向应用层发起的攻击，保护Web 应用。

IDS、 IPS还将并驾齐驱

在主动防御渐入人心之时，担当网络警卫的IDS 的报警作用更加重要。尽管IDS 功过参半，但是IDS的报警功能仍是主动防御系统所必需的，也许IDS 的产品形式会消失，但是IDS的检测功能并不会因形式的消失而消失，只是逐渐被转化和吸纳到其他的安全设备当中。