保证误判率最小化

　　众所周知，基于签名的技术，如防病毒引擎，都会有误判率(如将某种正常行为定义为攻击)。一般地说，误判率与签名库大小和扫描数据的多少是有直接比例关系的。那么在ILS体系结构中，各层协同工作，以降低需要扫描的数据量和签名库的大小。

　　♦ 网关防病毒和深度应用检测

　　前面描述过，深度应用检测层通过执行协议标准检测和对已知的有害文件类型进行拦截来发现攻击行为。对已知的有害文件类型进行拦截不会产生误判;那么减少防病毒引擎的扫描工作量，就意味着具有降低病毒检测误判率的可能性。

　　♦ 入侵检测

　　经过优化的ILS 包含一套标准的入侵防御系统，通过签名定义的方法描述所有可能的攻击形。每种攻击对应一个签名。在ILS 体系结构中，由于从数据完整性层到深度应用检测层，大多数攻击都被有效地拦截了。这意味着，在内容安全层的IPS 引擎中只需要维护大约2000 余种签名就足够了。

　　另外，因为深度应用检测层可以识别大多数的协议，并将这些信息传递给IPS 引擎。这样一来，IPS 引擎就可以针对具体协议来进行精细扫描，从而进一步缩小了查询签名库的范围，提高了处理速度。例如，扫描SMTP 通讯而忽略其使用的端口，那么IPS 引擎只需要在SMTP 签名列表中搜索匹配项即可。这样的设计，不仅仅减少了被扫描数据流的数量，而且也减少了每次扫描时使用到的签名数量。从而进一步地降低了误报率。