Ett intrångsförebyggande system (IPS) övervakar ett nätverksdatapaket för misstänkt aktivitet och försöker vidta åtgärder med hjälp av specifika policyer.Det fungerar något som ett intrångsdetekteringssystem som innehåller en brandvägg för att förhindra attacker.Den skickar en varning till ett nätverk eller systemadministratör när något misstänkt upptäcks, vilket gör att administratören kan välja en åtgärd att vidta när evenemanget inträffar.Intrusion Prevention Systems kan övervaka ett helt nätverk, trådlösa nätverksprotokoll, nätverksbeteende och en enda datortrafik.Varje IPS använder specifika detekteringsmetoder för att analysera risker.

Beroende på IPS -modellen och dess funktioner kan ett intrångsförebyggande system upptäcka olika säkerhetsbrott.Vissa kan upptäcka spridningen av skadlig programvara över ett nätverk, kopiering av stora filer mellan två system och användning av misstänkta aktiviteter som portskanning.Efter att IPS jämför problemet med sina säkerhetsregler loggar den varje händelse och dokumenterar händelsesfrekvensen.Om nätverksadministratören konfigurerade IPS för att utföra en specifik åtgärd baserad på händelsen, tar intrångsförebyggande systemet den tilldelade åtgärden.En grundläggande varning skickas till administratören så att han eller hon kan svara på lämpligt sätt eller visa ytterligare information om IPS, om det behövs.-baserad.En nätverksbaserad IPS analyserar olika nätverksprotokoll och används ofta på fjärråtkomstservrar, virtuella privata nätverksservrar och routrar.En trådlös IPS -klockor för misstänkta aktiviteter i trådlösa nätverk och letar också efter obehöriga trådlösa nätverk i ett område.Nätverksbeteendeanalys letar efter hot som kan ta ner ett nätverk eller sprida skadlig programvara och används ofta med privata nätverk som ansluter till internet.En värdbaserad IPS fungerar på ett enda system och letar efter konstiga applikationsprocesser, ovanlig nätverkstrafik till värden, filsystemändringar och konfigurationsändringar.

Det finns tre detekteringsmetoder som ett intrångsförebyggande system kan använda och många system använder enkombination av alla tre.Signaturbaserad detektion fungerar bra för att upptäcka kända hot genom att jämföra en händelse med en redan dokumenterad signatur för att avgöra om ett säkerhetsbrott har inträffat.Anomalibaserad detektion letar efter aktivitet som är onormal jämfört med de normala händelserna som inträffar på ett system eller nätverk och är särskilt användbart för att identifiera okända hot.Statlig protokollanalys letar efter aktivitet som strider mot hur ett specifikt protokoll normalt används.