Angriffe können ein charakteristisches Zeichenmuster aufweisen. Diese Signatur kann schädliche Aktivitäten erkennen und verhindern. Beispielsweise kann eine Signatur nach der Zeichenfolge ../ in einem Web-URL suchen. Wenn die Signatur aktiviert ist und das System diese Zeichenfolge findet, wird ein Ereignis ausgelöst.
Ein signaturbasierter Ansatz mit Host- und Netzwerk-IPS-Signaturen reagiert auf die meisten Erkennungsschemata, die in der Intrusionserkennung verwendet werden, und ist ein Mechanismus, der von der Host Intrusion Prevention verwendet wird. Eine Datenbank mit Signaturregeln wird mit jedem Agenten installiert und wird aktualisiert, wenn neue Angriffstypen erkannt werden.
Signaturen werden kategorisiert nach dem Schweregrad und der Beschreibung der Gefahr, die ein Angriff aufweist. Sie werden für spezifische Anwendungen und Betriebssysteme entworfen. Die meisten Signaturen schützen das gesamte Betriebssystem. Manche schützen dagegen bestimmte Anwendungen.
Host Intrusion Prevention bietet vorwiegend Host-IPS-Signaturen und einige zusätzliche Netzwerk-IPS-Signaturen.