通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

　　针对不同的攻击行为，IPS需要不同的过滤器。

　　每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

　　过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。

　　IPS和防火墙相比，除了能检查身份证件，IPS还能检查旅客的指纹，能搜身，这样抓获恐怖分子的机会就会大大增加。

　　IPS和IDS相比，除了能记录下来部分旅客在机场时的活动情况，以预备真出了事后为警察提供线索，还能在机场识别出恐怖分子，不让其上机，让恐怖活动不能得逞。

　　足下有绊石

　　IPS的出现可谓是企业网络安全的革命性创新。然而创新意味着对困难的克服，IPS技术必须克服三大障碍。

　　旁路变串接的障碍

　　改进IDS旁路工作方式，使得IPS不仅能旁路工作，还能串接在网络中工作，对攻击的防御由被动防御变成主动防御。

　　串接在网络上后，IPS技术的一些痼疾就展现出来了。

　　第一个是漏报误报率问题。IDS因为检测手法比较单纯，漏报误报一直是IDS产品的弱点，人们甚至因此对IDS的实用性产生了怀疑。IDS因为是被动防御，产生误报后只要没有联动措施，都不会影响网络的正常工作。而IPS是串接在网络中的主动防御，产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。

　　举例来说，机场在安检处检查旅客时，不能仅凭旅客是否鬼鬼祟祟，冒似恐怖分子就把他抓起来，如果抓错人会直接影响机场的正常工作秩序，必须有搜身，验指纹等新的技术，保证抓获的是真正的恐怖分子。

　　第二个是性能问题。IDS因为是旁路工作，对实时性要求不高，而IPS串接在网络上，要求必须像网络设备一样对数据包做快速转发。因此，IPS需要在不影响检测效率的基础上做到高性能的转发。

　　举例来说，安检是要对每个旅客检查的项目多了，但不能因此耽误飞机的起飞时间。这就对检查时间提出了高要求，必须能快速检查完更多的项目。

　　功能延伸的障碍

　　IPS技术必须大大扩展安全功能，在网络蠕虫的预防、BT下载的限制、垃圾邮件的防范等方面做更多的工作。这些工作对传统的IDS技术来说力不从心，就像以前的机场安检让“911”的劫机犯混过安检一样，现在的机场安检必须能检查出来这种恐怖分子。

　　扩大规则库的障碍

　　随着网络蠕虫等自动攻击的泛滥，一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求，用户需要看到哪种蠕虫或后门木马。

　　这就需要厂商在规则库的更新和维护上投入更多的资源，不光是跟踪官方公布的漏洞和最常见的攻击程序等，还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上，更新速度要达到每天更新，现有的IDS规则更新体系已经满足不了IPS要求。

　　

　　图1 IPS工作原理

　　

　　图2 IPS系统结构图