Một hệ thống phòng ngừa xâm nhập (IPS) theo dõi các gói dữ liệu mạng cho hoạt động đáng ngờ và cố gắng thực hiện hành động bằng các chính sách cụ thể.Nó hoạt động có phần giống như một hệ thống phát hiện xâm nhập bao gồm tường lửa để ngăn chặn các cuộc tấn công.Nó gửi một cảnh báo cho một quản trị viên mạng hoặc hệ thống khi có điều gì đó đáng ngờ được phát hiện, cho phép quản trị viên chọn một hành động để thực hiện khi sự kiện xảy ra.Các hệ thống phòng ngừa xâm nhập có thể giám sát toàn bộ mạng, giao thức mạng không dây, hành vi mạng và lưu lượng máy tính duy nhất.Mỗi IPS sử dụng các phương pháp phát hiện cụ thể để phân tích rủi ro. Tùy thuộc vào mô hình IPS và các tính năng của nó, một hệ thống phòng ngừa xâm nhập có thể phát hiện các vi phạm bảo mật khác nhau.Một số người có thể phát hiện sự lây lan của phần mềm độc hại trên mạng, sao chép các tệp lớn giữa hai hệ thống và sử dụng các hoạt động đáng ngờ như quét cổng.Sau khi IPS so sánh vấn đề với các quy tắc bảo mật của nó, nó ghi lại từng sự kiện và ghi lại tần suất sự kiện.Nếu quản trị viên mạng đã định cấu hình IPS để thực hiện một hành động cụ thể dựa trên sự cố, hệ thống phòng chống xâm nhập sau đó sẽ thực hiện hành động được chỉ định.Một cảnh báo cơ bản được gửi cho quản trị viên để người đó có thể trả lời một cách thích hợp hoặc xem thông tin bổ sung trên IPS, nếu cần thiết. Có bốn loại hệ thống phòng chống xâm nhập chung, bao gồm-dựa trên.Một IPS dựa trên mạng phân tích các giao thức mạng khác nhau và thường được sử dụng trên các máy chủ truy cập từ xa, máy chủ mạng riêng ảo và bộ định tuyến.Một đồng hồ IPS không dây cho các hoạt động đáng ngờ trên mạng không dây và cũng tìm kiếm các mạng không dây trái phép trong một khu vực.Phân tích hành vi mạng tìm kiếm các mối đe dọa có thể hạ gục mạng hoặc lan truyền phần mềm độc hại và thường được sử dụng với các mạng riêng kết nối với Internet.IPS dựa trên máy chủ hoạt động trên một hệ thống và tìm kiếm các quy trình ứng dụng lạ, lưu lượng mạng bất thường đến máy chủ, sửa đổi hệ thống tệp và thay đổi cấu hình. Có ba phương pháp phát hiện một hệ thống phòng ngừa xâm nhập có thể sử dụng và nhiều hệ thống sử dụngSự kết hợp của cả ba.Phát hiện dựa trên chữ ký hoạt động tốt để phát hiện các mối đe dọa đã biết bằng cách so sánh một sự kiện với chữ ký đã được ghi nhận để xác định xem có xảy ra vi phạm bảo mật hay không.Phát hiện dựa trên bất thường tìm kiếm hoạt động bất thường khi so sánh với các sự kiện bình thường xảy ra trên một hệ thống hoặc mạng và đặc biệt hữu ích để xác định các mối đe dọa chưa biết.Phân tích giao thức trạng thái tìm kiếm hoạt động đi ngược lại cách sử dụng một giao thức cụ thể.