Een Intrusion Prevention System (IPS) bewaakt een netwerkgegevenspakketten op verdachte activiteit en probeert actie te ondernemen met behulp van specifiek beleid.Het werkt enigszins als een inbraakdetectiesysteem dat een firewall omvat om aanvallen te voorkomen.Het stuurt een waarschuwing naar een netwerk- of systeembeheerder wanneer iets verdacht wordt gedetecteerd, waardoor de beheerder een actie kan selecteren om te ondernemen wanneer de gebeurtenis plaatsvindt.Indringingpreventiesystemen kunnen een volledig netwerk, draadloze netwerkprotocollen, netwerkgedrag en een enkel computersverkeer volgen.Elke IPS gebruikt specifieke detectiemethoden om risico's te analyseren.

Afhankelijk van het IPS -model en de functies ervan, kan een inbraakpreventiesysteem verschillende beveiligingsinbreuken detecteren.Sommigen kunnen de verspreiding van malware over een netwerk detecteren, het kopiëren van grote bestanden tussen twee systemen en het gebruik van verdachte activiteiten zoals poortscan.Nadat de IPS het probleem is vergelijkd met zijn beveiligingsregels, registreert het elke gebeurtenis en documenteert het de gebeurtenissenfrequentie.Als de netwerkbeheerder de IPS heeft geconfigureerd om een specifieke actie uit te voeren op basis van het incident, onderneemt het inbraakpreventiesysteem de toegewezen actie.Een basiswaarschuwing wordt naar de beheerder verzonden, zodat hij of zij op de juiste manier kan reageren of aanvullende informatie over de IP's kan bekijken, indien nodig.

Er zijn vier algemene soorten inbraakpreventiesystemen, waaronder netwerkgebaseerde, draadloze, netwerkgedraganalyse en host-gebaseerd.Een netwerkgebaseerde IP's analyseert verschillende netwerkprotocollen en wordt vaak gebruikt op externe toegangsservers, virtuele privé-netwerkservers en routers.Een draadloze IPS kijkt naar verdachte activiteiten op draadloze netwerken en zoekt ook naar ongeautoriseerde draadloze netwerken in een gebied.Netwerkgedragsanalyse zoekt naar bedreigingen die een netwerk kunnen verslaan of malware kunnen verspreiden en worden vaak gebruikt met particuliere netwerken die verbinding maken met internet.Een host-gebaseerde IPS werkt op een enkel systeem en zoekt naar vreemde toepassingsprocessen, ongebruikelijk netwerkverkeer naar de host, bestandssysteemaanpassing en configuratiewijzigingen.

Er zijn drie detectiemethoden die een inbraakpreventiesysteem kan gebruiken, en veel systemen gebruiken eencombinatie van alle drie.Op handtekening gebaseerde detectie werkt goed voor het detecteren van bekende bedreigingen door een evenement te vergelijken met een reeds gedocumenteerde handtekening om te bepalen of er een inbreuk op de beveiliging is opgetreden.Op anomalie gebaseerde detectie zoekt naar activiteit die abnormaal is in vergelijking met de normale gebeurtenissen die op een systeem of netwerk voorkomen en met name nuttig is voor het identificeren van onbekende bedreigingen.Stateful protocolanalyse let op activiteit die ingaat in hoe een specifiek protocol normaal wordt gebruikt.