A behatolásmegelőző rendszer (IPS) figyelemmel kíséri az adatcsomagokat a gyanús tevékenységekhez, és megpróbál cselekedni konkrét politikák alapján.Kissé úgy működik, mint egy behatolás -észlelési rendszer, amely tartalmaz egy tűzfalat a támadások megelőzésére.Riasztást küld egy hálózatnak vagy rendszergazdának, amikor valami gyanús észlelést észlel, lehetővé téve az adminisztrátor számára, hogy válasszon egy műveletet, amelyet az esemény bekövetkezésekor megtesznek.A behatolási megelőző rendszerek figyelemmel kísérhetik a teljes hálózatot, a vezeték nélküli hálózati protokollokat, a hálózati viselkedést és az egyes számítógépek forgalmát.Mindegyik IP speciális detektálási módszereket alkalmaz a kockázatok elemzésére.Néhányan észlelhetik a rosszindulatú programok elterjedését egy hálózaton keresztül, a nagy fájlok másolását két rendszer között, és gyanús tevékenységek, például portszkennelés használata.Miután az IPS összehasonlította a kérdést a biztonsági szabályaival, naplózza az egyes eseményeket, és dokumentálja az események gyakoriságát.Ha a hálózati rendszergazda konfigurálta az IPS -t, hogy egy konkrét műveletet hajtson végre az esemény alapján, akkor a behatolásmegelőzési rendszer ezt követően végrehajtja a hozzárendelt műveletet.Alapvető figyelmeztetést küldnek az adminisztrátornak, így szükség esetén megfelelően válaszolhat, vagy további információkat nézhet meg az IPS-ről.-A székhely.A hálózat alapú IPS különféle hálózati protokollokat elemez, és általában távoli hozzáférési kiszolgálók, virtuális magánhálózati kiszolgálók és útválasztóknál használják.Vezeték nélküli IPS órák a vezeték nélküli hálózatok gyanús tevékenységeire, és egy területen jogosulatlan vezeték nélküli hálózatokat keresnek.A hálózati viselkedés elemzése olyan fenyegetéseket keres, amelyek levehetik a hálózatot vagy elterjedhetnek a rosszindulatú programokat, és általában az internethez kapcsolódó privát hálózatokkal használják.A gazdagép-alapú IPS egyetlen rendszeren működik, és furcsa alkalmazási folyamatokat, szokatlan hálózati forgalmat keres a gazdagéphez, a fájlrendszer módosítását és a konfigurációs változásokat.mindhárom kombinációja.Az aláírás-alapú detektálás jól működik az ismert fenyegetések észlelésében, ha egy eseményt egy már dokumentált aláírással összehasonlítunk, hogy meghatározzák, hogy a biztonsági jogsértés történt-e.Az anomálián alapuló detektálás olyan aktivitást keres, amely rendellenes, összehasonlítva a rendszeren vagy hálózaton bekövetkező normál eseményekkel, és különösen hasznos az ismeretlen fenyegetések azonosításához.Az állami protokoll elemzés olyan tevékenységet keres, amely ellentétes egy adott protokoll általában alkalmazására.