Et inntrengingsforebyggende system (IPS) overvåker nettverksdatapakker for mistenkelig aktivitet og prøver å iverksette tiltak ved hjelp av spesifikke retningslinjer.Det fungerer noe som et inntrengingsdeteksjonssystem som inkluderer en brannmur for å forhindre angrep.Den sender et varsel til et nettverks- eller systemadministrator når noe mistenkelig blir oppdaget, slik at administratoren kan velge en handling å ta når hendelsen oppstår.Inntrengingsforebyggende systemer kan overvåke et helt nettverk, trådløse nettverksprotokoller, nettverksatferd og en enkelt datamaskintrafikk.Hver IPS bruker spesifikke deteksjonsmetoder for å analysere risikoer.

Avhengig av IPS -modellen og dens funksjoner, kan et inntrengingsforebyggende system oppdage forskjellige sikkerhetsbrudd.Noen kan oppdage spredning av malware over et nettverk, kopiering av store filer mellom to systemer og bruk av mistenkelige aktiviteter som portskanning.Etter at IPS sammenligner problemet med sikkerhetsreglene, logger den hver hendelse og dokumenterer hendelsesfrekvensen.Hvis nettverksadministratoren konfigurerte IP -ene til å utføre en spesifikk handling basert på hendelsen, tar inntrengingsforebyggingssystemet den tildelte handlingen.Et grunnleggende varsel sendes til administratoren slik at han eller hun kan svare på riktig-basert.En nettverksbasert IPS analyserer forskjellige nettverksprotokoller og brukes ofte på eksterne tilgangsservere, virtuelle private nettverksservere og rutere.En trådløs IPS ser på mistenkelige aktiviteter på trådløse nettverk og ser også etter uautoriserte trådløse nettverk i et område.Nettverksatferdsanalyse ser etter trusler som kan ta ned et nettverk eller spre skadelig programvare og brukes ofte med private nettverk som kobles til Internett.En vertsbasert IPS jobber på et enkelt system og ser etter rare applikasjonsprosesser, uvanlig nettverkstrafikk til vert, filsystemmodifisering og konfigurasjonsendringer.

Det er tre deteksjonsmetoder et inntrengingsforebyggende system kan bruke, og mange systemer bruker enKombinasjon av alle tre.Signaturbasert deteksjon fungerer bra for å oppdage kjente trusler ved å sammenligne en hendelse med en allerede dokumentert signatur for å avgjøre om et sikkerhetsbrudd har skjedd.Anomalybasert deteksjon ser etter aktivitet som er unormal sammenlignet med de normale hendelsene som oppstår på et system eller et nettverk og er spesielt nyttig for å identifisere ukjente trusler.Statlig protokollanalyse ser etter aktivitet som strider mot hvordan en spesifikk protokoll vanligvis brukes.