NIPS必須基于特定的硬件平臺，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬件平臺通常可以分為三類：一類是網絡處理器(網絡芯片)，一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

　　在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特征匹配、協議分析和異常檢測。特征匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基于狀態的特征匹配不但檢測攻擊行為的特征，還要檢查當前網絡的會話狀態，避免受到欺騙攻擊。

　　協議分析是一種較新的入侵檢測技術，它充分利用網絡協議的高度有序性，并結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特征。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基于協議標準(如RFC)，還基于協議的具體實現，這是因為很多協議的實現偏離了協議標準。通過協議分析，IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

　　 應用入侵防護(AIP)

　　NIPS產品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數據的網絡鏈路上，以確保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機/服務器操作系統平臺無關。

　　NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

　　IPS技術特征

　　嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，并對該數據流的剩余部分進行攔截。

　　深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

　　入侵特征庫：高質量的入侵特征庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特征庫，并快速應用到所有傳感器。

　　高效處理能力：IPS必須具有高效處理數據包的能力，對整個網絡性能的影響保持在最低水平。

　　IPS面臨的挑戰

　　IPS 技術需要面對很多挑戰，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網絡中，而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網絡的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網絡提供的應用。

　　即使 IPS 設備不出現故障，它仍然是一個潛在的網絡瓶頸，不僅會增加滯后時間，而且會降低網絡的效率，IPS必須與數千兆或者更大容量的網絡流量保持同步，尤其是當加載了數量龐大的檢測特征庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬件(FPGA、網絡處理器和ASIC芯片)來提高IPS的運行效率。

　　誤報率和漏報率也需要IPS認真面對。在繁忙的網絡當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特征編寫得不是十分完善，那么"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對于實時在線的IPS來說，一旦攔截了"攻擊性"數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此后該客戶所有重新連接到企業網絡的合法訪問都會被"盡職盡責"的IPS攔截。

　　IPS廠商采用各種方式加以解決。一是綜合采用多種檢測技術，二是采用專用硬件加速系統來提高IPS的運行效率。盡管如此，為了避免IPS重蹈 IDS覆轍，廠商對IPS的態度還是十分謹慎的。例如，NAI提供的基于網絡的入侵防護設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的 IPS實際上就是一臺純粹的IDS設備，NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。

　　IPS的不足并不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。對于用戶而言，在廠商提供技術支持的條件下，有選擇地采用IPS，仍不失為一種應對攻擊的理想選擇。