System zapobiegania włamaniom (IPS) monitoruje pakiety danych sieci w celu podejrzanej aktywności i próbuje podjąć działania przy użyciu określonych zasad.Działa nieco jak system wykrywania włamań, który obejmuje zaporę zaproponową, aby zapobiec atakom.Wysyła ostrzeżenie do sieci lub administratora systemów, gdy wykryto coś podejrzanego, umożliwiając administratorowi wybrać działanie, które należy podjąć, gdy zdarzenie nastąpi.Systemy zapobiegania włamaniom mogą monitorować całą sieć, protokoły sieci bezprzewodowej, zachowanie sieciowe i ruch pojedynczy komputery.Każdy IPS wykorzystuje określone metody wykrywania do analizy ryzyka.

W zależności od modelu IPS i jego cech, system zapobiegania włamaniu może wykryć różne naruszenia bezpieczeństwa.Niektóre mogą wykryć rozprzestrzenianie się złośliwego oprogramowania w sieci, kopiowanie dużych plików między dwoma systemami oraz korzystanie z podejrzanych działań, takich jak skanowanie portów.Po tym, jak IPS porównuje problem z regułami bezpieczeństwa, rejestruje każde zdarzenie i dokumentuje częstotliwość zdarzeń.Jeśli administrator sieci skonfigurował IPS do wykonywania konkretnej akcji na podstawie incydentu, system zapobiegania włamaniom podejmuje przypisane działanie.Podstawowy alert jest wysyłany do administratora, aby mógł odpowiednio odpowiedzieć lub wyświetlić dodatkowe informacje na temat IPS, jeśli to konieczne.-na podstawie.Network IPS analizuje różne protokoły sieciowe i jest powszechnie używany na serwerach zdalnego dostępu, wirtualnych serwerach sieciowych i routerach.Bezprzewodowe IPS obserwuje podejrzane działania w sieciach bezprzewodowych, a także szuka nieautoryzowanych sieci bezprzewodowych w danym obszarze.Analiza zachowań sieci szuka zagrożeń, które mogą usunąć sieć lub rozpowszechniać złośliwe oprogramowanie i jest powszechnie używana z prywatnymi sieciami łączącymi się z Internetem.IPS oparte na hostach działa na jednym systemie i szuka dziwnych procesów aplikacji, nietypowy ruch sieciowy do hosta, zmiany systemu plików i zmiany konfiguracji.

Istnieją trzy metody wykrywania, z których może użyć system zapobiegania włamaniu, a wiele systemów używa APołączenie wszystkich trzech.Wykrywanie oparte na podpisach działa dobrze w celu wykrywania znanych zagrożeń poprzez porównanie zdarzenia z już udokumentowanym podpisem w celu ustalenia, czy nastąpiło naruszenie bezpieczeństwa.Wykrywanie oparte na anomalii szuka aktywności, która jest nieprawidłowa w porównaniu z normalnymi zdarzeniami występującymi w systemie lub sieci i jest szczególnie przydatne do identyfikacji nieznanych zagrożeń.Analiza protokołu stanu szuka aktywności, która jest sprzeczna z tym, jak normalnie stosuje się określony protokół.