Ένα σύστημα πρόληψης εισβολών (IPS) παρακολουθεί ένα πακέτο δεδομένων δικτύων για ύποπτη δραστηριότητα και προσπαθεί να αναλάβει δράση χρησιμοποιώντας συγκεκριμένες πολιτικές.Λειτουργεί κάπως σαν ένα σύστημα ανίχνευσης εισβολών που περιλαμβάνει ένα τείχος προστασίας για την πρόληψη των επιθέσεων.Στέλνει μια ειδοποίηση σε έναν διαχειριστή δικτύου ή συστημάτων όταν εντοπίζεται κάτι ύποπτο, επιτρέποντας στον διαχειριστή να επιλέξει μια ενέργεια που πρέπει να λάβει όταν συμβεί το συμβάν.Τα συστήματα πρόληψης εισβολών μπορούν να παρακολουθούν ένα ολόκληρο δίκτυο, πρωτόκολλα ασύρματου δικτύου, συμπεριφορά δικτύου και μια ενιαία κυκλοφορία υπολογιστών.Κάθε IPS χρησιμοποιεί συγκεκριμένες μεθόδους ανίχνευσης για την ανάλυση των κινδύνων.Μερικοί μπορούν να ανιχνεύσουν την εξάπλωση του κακόβουλου λογισμικού σε ένα δίκτυο, την αντιγραφή μεγάλων αρχείων μεταξύ δύο συστημάτων και τη χρήση ύποπτων δραστηριοτήτων όπως η σάρωση λιμένων.Αφού το IPS συγκρίνει το ζήτημα με τους κανόνες ασφαλείας του, καταγράφει κάθε συμβάν και καταγράφει τη συχνότητα των συμβάντων.Εάν ο διαχειριστής δικτύου διαμόρφωσε το IPS για να εκτελέσει μια συγκεκριμένη ενέργεια με βάση το περιστατικό, το σύστημα πρόληψης εισβολών λαμβάνει τότε την εκχωρημένη ενέργεια.Μια βασική ειδοποίηση αποστέλλεται στον διαχειριστή, ώστε να μπορεί να ανταποκριθεί κατάλληλα ή να δει πρόσθετες πληροφορίες σχετικά με το IPS, εάν είναι απαραίτητο.

Υπάρχουν τέσσερις γενικοί τύποι συστημάτων πρόληψης εισβολών, συμπεριλαμβανομένων των δικτύων, ασύρματης ανάλυσης συμπεριφοράς δικτύου και ξενιστή-με βάση.Ένα δίκτυο που βασίζεται σε δίκτυο αναλύει διάφορα πρωτόκολλα δικτύου και χρησιμοποιείται συνήθως σε διακομιστές απομακρυσμένης πρόσβασης, εικονικούς διακομιστές ιδιωτικού δικτύου και δρομολογητές.Ένα ασύρματο ρολόι IPS για ύποπτες δραστηριότητες σε ασύρματα δίκτυα και επίσης αναζητά μη εξουσιοδοτημένα ασύρματα δίκτυα σε μια περιοχή.Η ανάλυση συμπεριφοράς του δικτύου αναζητά απειλές που θα μπορούσαν να κατεβάσουν ένα δίκτυο ή να διαδώσουν κακόβουλο λογισμικό και χρησιμοποιούνται συνήθως με ιδιωτικά δίκτυα που συνδέονται με το Διαδίκτυο.Ένα IPS που βασίζεται σε κεντρικούς υπολογιστές λειτουργεί σε ένα μόνο σύστημα και αναζητά περίεργες διαδικασίες εφαρμογής, ασυνήθιστη επισκεψιμότητα δικτύου στον κεντρικό υπολογιστή, τροποποίηση του συστήματος αρχείων και αλλαγές διαμόρφωσης.

Υπάρχουν τρεις μεθόδους ανίχνευσης που μπορεί να χρησιμοποιήσει το σύστημα πρόληψης εισβολών και πολλά συστήματα χρησιμοποιούν ένασυνδυασμός και των τριών.Η ανίχνευση με βάση την υπογραφή λειτουργεί καλά για την ανίχνευση γνωστών απειλών συγκρίνοντας ένα συμβάν με μια ήδη τεκμηριωμένη υπογραφή για να διαπιστωθεί εάν έχει συμβεί παραβίαση ασφαλείας.Η ανίχνευση με βάση την ανωμαλία αναζητά δραστηριότητα που είναι ανώμαλη σε σύγκριση με τα κανονικά συμβάντα που συμβαίνουν σε ένα σύστημα ή ένα δίκτυο και είναι ιδιαίτερα χρήσιμο για τον εντοπισμό άγνωστων απειλών.Η ανάλυση του κρατικού πρωτοκόλλου αναζητά δραστηριότητα που έρχεται σε αντίθεση με τον τρόπο με τον οποίο χρησιμοποιείται κανονικά ένα συγκεκριμένο πρωτόκολλο.