入侵防御系统（Intrusion Prevention System，IPS）能够对经过的流量进行深度检测，从而发现网络中的恶意流量。入侵防御系统是云防火墙的一个重要组件，具有不断更新的恶意威胁特征库，能够及时发现新的威胁；内置协议检测引擎，可以自动检测多种主流协议和应用；支持TCP流重组和HTTP协议还原，为报文检测提供保障；采用多线程、pipeline技术、hyperscan算法等多种先进技术，提高入侵检测系统的处理能力。作为云防火墙的重要组成部分，它极大的丰富了云防火墙的特性。
以下将分别介绍入侵防御系统的几大特性：
1）不断更新的特征库
入侵防御系统实现了一个庞大的恶意威胁特征库，基于此特征库可以及时发现网络中的恶意流量，通过不断更新此特征库，可以及时应对不断出现的新的威胁。
2）多线程和cpu亲和性
入侵防御系统支持多线程，可以实现对多条流并行检测，提供较高的处理能力。多线程必然会带来频繁的核间切换，容易导致因cache miss和cache write back造成的大量性能损失，为了避免这种开销浪费，同时保证更多cache hit，入侵防御系统利用线程的CPU亲和性绑定的方式，将每个线程绑定到某个核上工作，独占此核，从而减少了损耗，提高了性能。
3）pipeline技术
为了提高入侵防御系统的处理能力，采用了pipeline技术。每个线程包含报文的全部流程，包括报文解码、流重组、协议检测、协议解析、报文检测、结果输出等流程，每个报文在一个线程中完成全部处理，报文进入哪个流程则由报文接收模块决定。
4）协议自动检测
入侵检测系统内置协议检测引擎，根据报文的协议特征而不依赖协议常用端口，精准识别所属的5层/7层协议，为访问控制和协议解析提供准确的信息。
5）协议解析器
根据协议检测的结果，进行协议的解析和还原，为后续报文检测、特征匹配提供信息，支持如HTTP、SMTP、FTP、SSH、DNS、TFTP等主流协议。
5）TCP流引擎
TCP流引擎用来记录TCP流的详细信息，为报文检测提供更加详尽和灵活的配置选项，包括两个子引擎，一个是流追踪子引擎，主要记录TCP流的连接状态、序列号、TCP窗口、TCP选项等信息，报文检测引擎可以根据这些信息对报文做更加灵活的检测；另一个是流重组子引擎，主要用来缓存重组TCP报文，报文检测引擎可以根据重组报文做检测，解决恶意特征被拆包绕过防火墙的问题，提高恶意流量识别率。
6）HTTP引擎
HTTP协议是当前互联网的主流协议，入侵检测系统实现了一套完整的有状态HTTP协议解析器，可以记录还原HTTP协议交互的全过程，支持HTTP协议常见的字段，并且支持文件识别、解压、提取，是报文检测引擎不可或缺的重要组成部分。
7）hyperscan高效匹配算法
Hyperscan是业界一款非常优秀的、由intel开发的高性能的正则表达式匹配库，在模式匹配中有非常广泛的应用，特别适用于DPI/IPS/IDS/FW等场景中。我们也引入了这一高效匹配算法，大大提升了入侵防御系统的性能。

入侵防御系统作为云防火墙中不可或缺的一部分，经过不断的技术演进、采用多种先进技术优化，具有识别准确、处理高效等特点，提升了云防火墙产品的竞争力。