Un sistema di prevenzione delle intrusioni (IPS) monitora i pacchetti di dati di reti per attività sospette e cerca di agire usando politiche specifiche.Si comporta in qualche modo come un sistema di rilevamento delle intrusioni che include un firewall per prevenire gli attacchi.Invia un avviso a una rete o amministratore di sistema quando viene rilevato qualcosa di sospetto, consentendo all'amministratore di selezionare un'azione da intraprendere quando si verifica l'evento.I sistemi di prevenzione delle intrusioni possono monitorare un'intera rete, protocolli di rete wireless, comportamento di rete e un singolo traffico di computer.Ogni IPS utilizza metodi di rilevamento specifici per analizzare i rischi.

A seconda del modello IPS e delle sue caratteristiche, un sistema di prevenzione delle intrusioni può rilevare varie violazioni della sicurezza.Alcuni possono rilevare la diffusione di malware attraverso una rete, la copia di file di grandi dimensioni tra due sistemi e l'uso di attività sospette come la scansione delle porte.Dopo che l'IPS confronta il problema con le sue regole di sicurezza, registra ogni evento e documenta la frequenza degli eventi.Se l'amministratore di rete ha configurato l'IPS per eseguire un'azione specifica in base all'incidente, il sistema di prevenzione delle intrusioni intraprende l'azione assegnata.Un avviso di base viene inviato all'amministratore in modo che possa rispondere in modo appropriato o visualizzare ulteriori informazioni sull'IPS, se necessario.

Esistono quattro tipi generali di sistemi di prevenzione delle intrusioni, tra cui analisi del comportamento di rete basate sulla rete, wireless e host-basato.Un IPS basato sulla rete analizza vari protocolli di rete ed è comunemente utilizzato su server di accesso remoto, server di rete privata virtuale e router.Un IPS wireless osserva attività sospette su reti wireless e cerca anche reti wireless non autorizzate in un'area.L'analisi del comportamento della rete cerca minacce che potrebbero abbattere una rete o diffondere malware ed è comunemente utilizzato con reti private che si connettono a Internet.Un IPS basato su host funziona su un singolo sistema e cerca strani processi di applicazione, traffico di rete insolito per host, modifica del file system e modifiche alla configurazione.

Esistono tre metodi di rilevamento che un sistema di prevenzione delle intrusioni può utilizzare e molti sistemi utilizzano acombinazione di tutti e tre.Il rilevamento basato sulla firma funziona bene per rilevare minacce note confrontando un evento con una firma già documentata per determinare se si è verificata una violazione della sicurezza.Il rilevamento basato sull'anomalia cerca attività anormale rispetto agli eventi normali che si verificano su un sistema o una rete ed è particolarmente utile per identificare minacce sconosciute.L'analisi del protocollo statale cerca attività che va contro il modo in cui viene normalmente utilizzato un protocollo specifico.