上的可疑行为，对正常及非正常的活动进行审计和分析，向网络控制台实时报警，并且能根据预先配置的策略自动对攻击作出反应。
主机版天阗
　　主机版天阗是基于主机的入侵检测系统，以下称为天阗主机入侵检测系统。
天阗主机入侵检测系统目前支持Solaris 7（SPARC）系统。他能自动、实时的入侵检测和响应系统。它能够实时监控系统，自动检测可疑行为，分析来自主机内部的入侵信号。在系统受到危害前发出警告，实时对攻击作出反应，并提供补救措施，最大程度地为主机系统提供安全保障。
　　天阗主机入侵检测系统分为两个部分：控制中心和探测引擎。探测引擎端负责将审计数据和日志记录作简单的处理后，形成安全相关事件后，上报控制中心。

　　控制中心负责，①制定入侵监测的策略；②收集来自多台主机的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。
系统特点
¤ 内置多种预定义策略，并允许用户添加修改策略；
¤ 具有自动/手动两种启动模式；
¤ 除去由控制中心集中管理之外，还提供基于命令行的管理工具；
¤ 具备多种安全的自我保护功能，防止探测引擎被恶意破坏。
网络版天阗
　　网络版天阗是基于网络的入侵检测系统，以下称为天阗网络入侵检测系统。
天阗网络入侵检测系统是通过监视网络中的数据包来发现黑客的入侵企图，它可以运行在一台单独的计算机上监视整个网络的信息。
　　天阗网络入侵检测系统是一种分布式的网络入侵检测系统，可以适用于任何规模的网络。无论是小型局域网还是跨地区的城际网络，都可以自由，灵活的来部署天阗。
　　天阗网络入侵检测系统由两部分构成，控制中心和网络探测器。控制中心即网络探测器的前端操作界面。一个网络探测器可以监测一个共享网络，一个控制中心可以管理一个或多个网络探测器，组成局部独立的预警网络。
多个局部预警网络可以相互联系，按照一定的规则构建成一个多层次，分级管理的大规模的预警网络。

　　网络探测器是预警系统中检测部分的核心。通过对网络进行实时监听，收集网络上的信息，并对这些信息进行实时的分析，看是否对被保护的网络构成威胁，然后按照预先定义的策略自动报警，阻断和记录日志等。
　　控制中心是预警系统的管理和配置工具，同时，它也接收来自网络探测器的实时报警信息，控制中心还提供了将实时报警信息转发至邮件信箱的功能。
　　控制中心可以编辑，修改和分发下属网络探测器和下属分控制中心的策略定义，给下属网络探测器升级事件库。
系统特点
¤ 内置了多种预定义策略，并允许用户添加修改策略；
¤ 同防火墙进行联合行动，阻断任何非法连接；
¤ 实时显示分析结果；
¤ 开放式事件特征库，任何人都可以自行定义和添加特征事件；
¤ 包含一个报表分析软件，事后可对日志进行二次分析；
¤ 网络流量分析，可以帮助分析网络故障；
¤ 提供固化版本的网络探测器，即插即用，方便安装；
系统运行环境
¤ 天阗主机版
探测引擎：Solaris 7 (SPARC)
控制中心：Windows 2000
¤ 天阗网络版
探测引擎：RedHat Linux 6.1
控制中心：windows 2000