华为赛门铁克UTM+产品采用的是基于漏洞的签名技术。在这种方式下，研究人员同样也需要提取特征来编写签名，但是和基于具体攻击不一样的是——研究人员需要充分理解和掌握对应的漏洞的各种技术信息，并分析对应的已知和未知的攻击方式，然后才能提取出具备普遍性的特征。通过这种方式开发的签名，能够防御针对该漏洞的未知攻击，真正做到零日攻击防御。采用这种方式开发的签名还有一个优点，即可以让签名库整体规模在不损失检测能力的情况下保持在一个非常小的水平，从而降低引擎工作压力。基于漏洞的签名开发需要厂商具备非常资深的漏洞分析能力，目前只有少数厂商才具备该能力。

如何保护那些没有打过补丁的漏洞呢?主要思路其实很简单：就像一把钥匙开一把锁一样，只有特定特征的蠕虫才能攻陷一个漏洞。通过对攻击特征的分析提取出漏洞的特征，把这个特征作为标准模式对网络流量进行扫描，一旦发现网络流量中的攻击符合这个特征的内容，就对这个攻击进行拦截。基于漏洞的攻击关注的是漏洞的特征而不是蠕虫本身的特征，所以当一个新的蠕虫出现的时候，只要它是攻击某个漏洞的，我们就能够立刻阻挡它而不需要关注蠕虫的特征，因此基于漏洞的特征能有效抵御已知和未知的攻击。

通常情况下基于攻击的引擎，往往衡量IPS的核心指标是签名的数量，那么在基于漏洞引擎的设计下，它还是否是一个决定性的指标呢?

签名数量VS签名质量

签名数量一直以来被认为是判断IPS能力的重要指标。签名的数量越多，表明能覆盖的攻击越多，也表示厂商在该领域拥有更多的积累和研究。其实，夸大入侵防护(IPS)功能里的签名数量是太容易的事，很多厂商就在玩以这些数字为中心的市场宣传游戏;但实际上，和生活中的很多事情一样，IPS签名的质量远远比数量要重要得多。在某些场合下，一个可以支持签名数量最少的厂商恰恰是最好的选择。而那些使用基于具体攻击的、容易出误报的签名的IPS方案往往在签名整体数量上很好看，但是性能和有效性却不高。换句话说，IPS签名数量并不是衡量IPS产品好坏的有效指标。