这些盒子是入侵防御系统 (IPS)，它通过监视“妥协指标”(IoC) 来工作。这将是您环境中意外的网络流量；到达已知错误目的地的网络流量；或包含与恶意软件一致的数据包的网络流量。

通常，这些盒子带有订阅。销售它们的公司会频繁地（每天或更频繁地）发送更新 IoC 数据库的更新。如果他们发现某些勒索软件访问https://ransom.keyserver.evil.example.com，他们可能会立即将网络地址添加到 IPS 黑名单中，并尽快将其发布给他们的客户。如果您的网络上有一台设备尝试连接以获取勒索软件密钥，它们的 IPS 将断开连接，这样您就不会受到感染。

其中一些盒子还附带了用于维护设备清单的软件。您可以查看当今网络上的所有物联网小东西，并祝福他们。明天，如果它检测到你的网络上有一个新节点，它会在你的手机上弹出一个警告说“在你的网络上检测到新事物，授权（是/否）？” 这可能会帮助您阻止某人借用您的 wifi 或入侵您的网络。

所有这些功能都没有直接的开源替代品；不是因为技术如此特殊，而是因为 IoC 数据库的不断更新需要人类不断收集情报以应对新事件，而支付一群人的费用是昂贵的。您可以使用像Snort这样的开源 IPS 系统来实现其中的一些功能，但是 Snort “社区”订阅会在其商业订阅 30 天后更新。当今天的常见威胁包括基于 0 天的恶意软件时，这相当缓慢。