IPS的引擎設計的好壞是決定IPS入侵防御效果的核心，誤報和漏洞是檢驗IPS引擎的兩個關鍵指標。通常的IPS引擎和簽名的設計和發布是慢于威脅和漏洞被發現的速度，有兩大原因：

原因一：當前廠商的IPS引擎和簽名主要還是基于攻擊來設計；

原因二：漏洞的披露速度大幅提升，很多漏洞因此被稱之為"零日漏洞"，"零時漏洞"，基于同一漏洞的攻擊種類和攻擊工具也各不相同。

因此通過發現攻擊的特征來設計引擎和簽名，往往讓IPS的誤報和漏報率明顯較高，UTM中的IPS功能經常應為性能等其他的因素，檢測略往往不被重視。

基于攻擊的引擎 VS基于漏洞的引擎

所謂漏洞是指軟件中的缺陷，這些缺陷可被惡意人員利用，形成攻擊。一般漏洞被發現以后，會有一些組織如CVE和Bugtraq對這些漏洞進行編號跟蹤。而簽名則用于描述檢測威脅所需要的特征。當一種攻擊被發現以后，簽名研究人員會對這個攻擊進行特征的提取，一般有兩種方法：基于具體攻擊的(exploit-based)和基于漏洞(vulnerability-based)的。

所謂基于具體攻擊，就是指一個攻擊出現后，研究人員專門針對這個攻擊的特征來編寫簽名，這類簽名能夠防御的范圍非常狹窄，往往只能防御一種特定的攻擊。要躲開這樣的簽名非常容易，只要把攻擊中的特定字符串修改掉就行了。舉一個簡單的例子來說：如果有一個簽名尋找"FUBAR123"這個特定字符串，那么只要修改一些大小寫或者數字，比如"fUBAR124"，原先的簽名就失效了。如果簽名是基于某一種特定的攻擊方法，那么攻擊者只要稍微修改一下這個模式，就能完全躲開檢測了。基于具體攻擊的簽名開發周期非常短，對研究人員的技能要求也相對較低，這使得很多廠商能夠在很短時間內響應突發的新型攻擊。

華為賽門鐵克UTM+產品采用的是基于漏洞的簽名技術。在這種方式下，研究人員同樣也需要提取特征來編寫簽名，但是和基于具體攻擊不一樣的是--研究人員需要充分理解和掌握對應的漏洞的各種技術信息，并分析對應的已知和未知的攻擊方式，然后才能提取出具備普遍性的特征。通過這種方式開發的簽名，能夠防御針對該漏洞的未知攻擊，真正做到零日攻擊防御。采用這種方式開發的簽名還有一個優點，即可以讓簽名庫整體規模在不損失檢測能力的情況下保持在一個非常小的水平，從而降低引擎工作壓力。基于漏洞的簽名開發需要廠商具備非常資深的漏洞分析能力，目前只有少數廠商才具備該能力。

如何保護那些沒有打過補丁的漏洞呢？主要思路其實很簡單：就像一把鑰匙開一把鎖一樣，只有特定特征的蠕蟲才能攻陷一個漏洞。通過對攻擊特征的分析提取出漏洞的特征，把這個特征作為標準模式對網絡流量進行掃描，一旦發現網絡流量中的攻擊符合這個特征的內容，就對這個攻擊進行攔截。基于漏洞的攻擊關注的是漏洞的特征而不是蠕蟲本身的特征，所以當一個新的蠕蟲出現的時候，只要它是攻擊某個漏洞的，我們就能夠立刻阻擋它而不需要關注蠕蟲的特征，因此基于漏洞的特征能有效抵御已知和未知的攻擊。

通常情況下基于攻擊的引擎，往往衡量IPS的核心指標是簽名的數量，那么在基于漏洞引擎的設計下，它還是否是一個決定性的指標呢？

簽名數量VS簽名質量

簽名數量一直以來被認為是判斷IPS能力的重要指標。簽名的數量越多，表明能覆蓋的攻擊越多，也表示廠商在該領域擁有更多的積累和研究。其實，夸大入侵防護（IPS）功能里的簽名數量是太容易的事，很多廠商就在玩以這些數字為中心的市場宣傳游戲；但實際上，和生活中的很多事情一樣，IPS簽名的質量遠遠比數量要重要得多。在某些場合下，一個可以支持簽名數量最少的廠商恰恰是最好的選擇。而那些使用基于具體攻擊的、容易出誤報的簽名的IPS方案往往在簽名整體數量上很好看，但是性能和有效性卻不高。換句話說，IPS簽名數量并不是衡量IPS產品好壞的有效指標。

華為賽門鐵克深知IPS簽名質量和相應速度的重要性，因此以更加全面和寬闊的視角來開發IPS簽名。華賽的目標是通過關注和研究每個漏洞的潛在演進，堅持開發基于漏洞的簽名，以讓用戶最少操心的方式，最迅速地將最新的保護能力提供給用戶。編寫簽名采用的方法越是具備通用性，編寫出來的簽名越有可能不僅能保護現存的攻擊，而且能保護未來新出現的針對已知漏洞或類似漏洞的變種攻擊。

當應對一種新型威脅的響應時間非常重要的時候，我們也會選擇編寫一些基于攻擊的簽名。因為這確實是一個最容易的方法：既能快速推出對應的簽名，又具備較低的現網誤報風險。但是一旦有時間，這些基于具體攻擊的簽名就會被重新審視提煉，來確認是否能夠優化，即以更加通用的方法來重寫，使其能夠防御更加廣泛的攻擊。

即使某些簽名原本已經是基于漏洞的簽名，華賽也會重新審視，看是否可以再次優化和合并，使其覆蓋更多的漏洞。

華為賽門鐵克UTM+提升業務價值

華為賽門鐵克聯合賽門鐵克，一方面在全球范圍內關注最新的病毒和威脅的發展動態，以保證擁有最快速的特征更新能力，及時防護已知的攻擊；另一方面采用基于漏洞的攻擊和威脅的檢測技術，保證了不僅能夠識別已知的攻擊類型，也能對未知的攻擊做出及時有效的響應；高質量的簽名則保證了IPS的低誤報。對于客戶而言，在降低安全風險的同時，也因較低的誤報率帶來了良好的業務體驗。

華為賽門鐵克UTM+中的網絡威脅防護技術，與傳統IPS相比具有主動防御的能力：不僅能發現已知的威脅，也能發現未知的威脅，且在這些威脅進入網絡之前就能有效攔截。

與反病毒被動響應保護機制不同的是，華為賽門鐵克UTM+的網絡威脅防護能夠提供真正的主動防御保護，主要擁有以下四大特性：

第一，通過有效檢測網絡流量識別與基于漏洞特征的攻擊，能抵御未修補的和零日漏洞。

第二，能有效防御基于Web 2.0和瀏覽器插件類型的攻擊，還能攔擊偷渡式下載，也能保護通用的Web應用程序的漏洞，如PDF reader。

第三，通過網絡流量分析，能識別社會工程學型的攻擊，如仿冒的惡意軟件掃描頁面、偽造的影視頻解碼組件和安裝包，或者隱藏的執行文件等。

第四，可幫助識別并隔離已經受感染的系統，通過分析主機與網絡中的僵尸網絡的活動性，攔截主機到外部未知的惡意網站。