Et indtrængen forebyggende system (IPS) overvåger en netværk datapakker til mistænksom aktivitet og forsøger at gribe ind ved hjælp af specifikke politikker.Det fungerer noget som et indtrængningsdetekteringssystem, der inkluderer en firewall til at forhindre angreb.Den sender en advarsel til en netværks- eller systemadministrator, når der registreres noget mistænkeligt, så administratoren kan vælge en handling, der skal træffes, når begivenheden finder sted.Intrusionsforebyggende systemer kan overvåge et helt netværk, trådløse netværksprotokoller, netværksadfærd og en enkelt computere trafik.Hver IPS bruger specifikke detektionsmetoder til at analysere risici.

Afhængig af IPS -modellen og dens funktioner kan et indtrængenforebyggelsessystem registrere forskellige sikkerhedsbrud.Nogle kan registrere spredningen af malware på tværs af et netværk, kopiering af store filer mellem to systemer og brugen af mistænkelige aktiviteter såsom PORT -scanning.Efter at IPS sammenligner spørgsmålet med dets sikkerhedsregler, logger det hver begivenhed og dokumenterer begivenhedsfrekvensen.Hvis netværksadministratoren konfigurerede IPS til at udføre en bestemt handling baseret på hændelsen, tager indtrængen forebyggelsessystemet den tildelte handling.En grundlæggende advarsel sendes til administratoren, så han eller hun kan svare korrekt eller se yderligere oplysninger om IPS, hvis nødvendigt-baseret.En netværksbaseret IPS analyserer forskellige netværksprotokoller og bruges ofte på fjernadgangsservere, virtuelle private netværksservere og routere.En trådløs IPS holder øje med mistænkelige aktiviteter på trådløse netværk og ser også efter uautoriserede trådløse netværk i et område.Netværksadfærdsanalyse ser efter trusler, der kan nedtage et netværk eller sprede malware og bruges ofte med private netværk, der opretter forbindelse til internettet.En værtsbaseret IPS arbejder på et enkelt system og ser efter mærkelige applikationsprocesser, usædvanlig netværkstrafik til værten, filsystemmodifikation og konfigurationsændringer.

Der er tre detektionsmetoder, som et indtrængen forebyggelsessystem kan bruge, og mange systemer bruger enkombination af alle tre.Signaturbaseret detektion fungerer godt til at opdage kendte trusler ved at sammenligne en begivenhed med en allerede dokumenteret underskrift for at afgøre, om der er sket en sikkerhedsbrud.Anomaly-baseret detektion ser efter aktivitet, der er unormal sammenlignet med de normale begivenheder, der forekommer på et system eller et netværk, og er især nyttigt til at identificere ukendte trusler.Statlig protokolanalyse ser efter aktivitet, der går imod, hvordan en specifik protokol normalt bruges.