随着在全世界中，入侵检测系统（IPS）在企业数据中心和网络边界中越来越多的应用，假阳性的问题也凸现出来了。假阳性是这样一种警报：显示为系统上的恶意活动，但是在进一步的检测中证明是合法的网络流量或者行为。太多的假阳性会减少从系统中收到的数据的真正价值，而且随着网络攻击的增加会成为问题。以下从五个方法减少IPS的假阳性。

• 定义。在把IPS应用到产品中之前，需要特别考虑网络中的正常使用模式中的定义、诊断和修复策略。造成过多假阳性报告的最大的单一作用因素是基线网络使用资料的无效率或者不恰当，而IPS用之监测异常活动。
• 慎重创建极限警报（threshold alarm）。在最初的测试和展示阶段，要平均关注条件的相配、极限和触发，这样警告就不会在遇到较小的障碍或者异常活动的时候发出不必要的警告了。考虑一下，真正需要了解什么、网络上别人对你攻击的意义最大的部分是什么，然后再创建极限警告，使其只在你认为严重的事情发生时才会发出提醒。
• 考虑只在混合模式或者bridge mode下运行。很多企业都选择混合模式或者bridge mode，而不使用阻挡模式，来防止过多的假阳性问题阻止重要的合法传输。不运行阻挡模式仍然可以允许你阻挡简单的恶意流量类型，例如蠕虫，但是却在正常阶段把IPS设备的功能转变的更像入侵检测系统（IDS）。你可以总是打开阻挡模式，从而在你最需要的时候激活IPS的全面而详细的产品功能。
• 变更IPS。这可能是最坏的情况。基于简单的签名分析进行网络防御的IPS更可能发出错误警告。寻找这样的IPS：包括连续稳定运算、基于Windows的时间比例限制（对于监测下班时间发生的攻击很有用处，而这些攻击可能在上班时间被分析认为是合法流量）以及可以启发式的检测异常活动的特别的应用意识协议模式。
• 切记环境问题。建立认为活动报告的人为环境。例如，Windows Media Player播放的音频和视频是用户可以使用的合法过程，但是对于IPS，WMP中内置的端口扫描和发送机制非常类似于恶意端口扫描。需要对所接收到的事故报告创建人为的要素。