İzinsiz giriş önleme sistemi (IPS), bir ağın veri paketlerini şüpheli etkinlik açısından izler ve belirli politikaları kullanarak hareket etmeye çalışır. Saldırıları önlemek için güvenlik duvarı içeren izinsiz giriş algılama sistemi gibi davranır. Şüpheli bir şey tespit edildiğinde ağa veya sistem yöneticisine bir uyarı göndererek yöneticinin etkinlik gerçekleştiğinde gerçekleştirilecek eylemi seçmesine olanak sağlar. İzinsiz giriş önleme sistemleri, tüm bir ağı, kablosuz ağ protokollerini, ağ davranışını ve tek bir bilgisayarın trafiğini izleyebilir. Her IPS, riskleri analiz etmek için özel tespit yöntemleri kullanır.
IPS modeline ve özelliklerine bağlı olarak, izinsiz giriş önleme sistemi çeşitli güvenlik ihlallerini tespit edebilir. Bazıları kötü amaçlı yazılımın bir ağa yayılmasını, büyük dosyaların iki sistem arasında kopyalanmasını ve bağlantı noktası taraması gibi şüpheli etkinliklerin kullanımını algılayabilir. IPS, konuyu güvenlik kuralları ile karşılaştırdıktan sonra, her olayı günlüğe kaydeder ve etkinliğin sıklığını belgeler. Ağ yöneticisi IPS'yi olaya bağlı olarak belirli bir eylem gerçekleştirecek şekilde yapılandırdıysa, izinsiz giriş önleme sistemi atanmış eylemi gerçekleştirir. Yöneticiye, uygun şekilde yanıt verebilmesi veya gerekirse IPS hakkında ek bilgi görüntüleyebilmesi için temel bir uyarı gönderilir.
Ağ tabanlı, kablosuz, ağ davranış analizi ve ana bilgisayar tabanlı olmak üzere dört genel izinsiz giriş önleme sistemi vardır. Ağ tabanlı bir IPS çeşitli ağ protokollerini analiz eder ve yaygın olarak uzaktan erişim sunucularında, sanal özel ağ sunucularında ve yönlendiricilerde kullanılır. Kablosuz IPS, kablosuz ağlardaki şüpheli etkinlikleri izler ve ayrıca bir bölgedeki yetkisiz kablosuz ağları arar. Ağ davranışı analizi, bir ağı ele geçirebilecek veya kötü amaçlı yazılımları yayabilecek tehditleri arar ve genellikle İnternete bağlanan özel ağlarda kullanılır. Ana bilgisayar tabanlı bir IPS tek bir sistemde çalışır ve garip uygulama işlemlerini, ana bilgisayara yapılan olağandışı ağ trafiğini, dosya sistemi değişikliklerini ve yapılandırma değişikliklerini arar.
İzinsiz giriş önleme sisteminin kullanabileceği üç algılama yöntemi vardır ve birçok sistem bu üçünün bir kombinasyonunu kullanır. İmza tabanlı algılama, bir güvenlik açığının olup olmadığını belirlemek için bir olayı önceden belgelenmiş bir imza ile karşılaştırarak bilinen tehditleri tespit etmek için iyi çalışır. Anormalliğe dayalı tespit, bir sistemde veya ağda meydana gelen normal olaylarla karşılaştırıldığında anormal olan bir aktivite arar ve bilinmeyen tehditleri tanımlamak için özellikle yararlıdır. Durum bilgisi olan protokol analizi, belirli bir protokolün normal olarak nasıl kullanıldığına aykırı faaliyetler arar.
