IPS的引擎设计的好坏是决定IPS入侵防御效果的核心，误报和漏洞是检验IPS引擎的两个关键指标。通常的IPS引擎和签名的设计和发布是慢于威胁和漏洞被发现的速度，有两大原因：

原因一：当前厂商的IPS引擎和签名主要还是基于攻击来设计;

原因二：漏洞的披露速度大幅提升，很多漏洞因此被称之为“零日漏洞”，“零时漏洞”，基于同一漏洞的攻击种类和攻击工具也各不相同。

因此通过发现攻击的特征来设计引擎和签名，往往让IPS的误报和漏报率明显较高，UTM中的IPS功能经常应为性能等其他的因素，检测略往往不被重视。

基于攻击的引擎 VS基于漏洞的引擎

所谓漏洞是指软件中的缺陷，这些缺陷可被恶意人员利用，形成攻击。一般漏洞被发现以后，会有一些组织如CVE和Bugtraq对这些漏洞进行编号跟踪。而签名则用于描述检测威胁所需要的特征。当一种攻击被发现以后，签名研究人员会对这个攻击进行特征的提取，一般有两种方法：基于具体攻击的(exploit-based)和基于漏洞(vulnerability-based)的。

所谓基于具体攻击，就是指一个攻击出现后，研究人员专门针对这个攻击的特征来编写签名，这类签名能够防御的范围非常狭窄，往往只能防御一种特定的攻击。要躲开这样的签名非常容易，只要把攻击中的特定字符串修改掉就行了。举一个简单的例子来说：如果有一个签名寻找“FUBAR123”这个特定字符串，那么只要修改一些大小写或者数字，比如“fUBAR124”，原先的签名就失效了。如果签名是基于某一种特定的攻击方法，那么攻击者只要稍微修改一下这个模式，就能完全躲开检测了。基于具体攻击的签名开发周期非常短，对研究人员的技能要求也相对较低，这使得很多厂商能够在很短时间内响应突发的新型攻击。