Система предотвращения вторжений (IPS) отслеживает пакеты данных сети на предмет подозрительной активности и пытается предпринять действия с использованием определенных политик. Он действует как система обнаружения вторжений, которая включает в себя брандмауэр для предотвращения атак. Он отправляет предупреждение сетевому или системному администратору при обнаружении чего-либо подозрительного, позволяя администратору выбрать действие, которое необходимо предпринять в случае возникновения события. Системы предотвращения вторжений могут контролировать всю сеть, протоколы беспроводной сети, поведение сети и трафик одного компьютера. Каждый IPS использует определенные методы обнаружения для анализа рисков.

В зависимости от модели IPS и ее функций, система предотвращения вторжений может обнаруживать различные нарушения безопасности. Некоторые могут обнаружить распространение вредоносных программ по сети, копирование больших файлов между двумя системами и использование подозрительных действий, таких как сканирование портов. После того, как IPS сравнивает проблему со своими правилами безопасности, он регистрирует каждое событие и документирует частоту этого события. Если сетевой администратор настроил IPS для выполнения определенного действия в зависимости от инцидента, система предотвращения вторжений выполняет назначенное действие. Базовое предупреждение отправляется администратору, чтобы он или она могли ответить соответствующим образом или просмотреть дополнительную информацию о IPS, если это необходимо.

Существует четыре основных типа систем предотвращения вторжений, включая сетевые, беспроводные, анализ поведения сети и хост-системы. Сетевой IPS анализирует различные сетевые протоколы и обычно используется на серверах удаленного доступа, серверах виртуальной частной сети и маршрутизаторах. Беспроводная IPS отслеживает подозрительные действия в беспроводных сетях, а также ищет несанкционированные беспроводные сети в регионе. Анализ поведения сети ищет угрозы, которые могут уничтожить сеть или распространять вредоносное ПО, и обычно используется в частных сетях, подключенных к Интернету. IPS на основе хоста работает в одной системе и ищет странные процессы приложений, необычный сетевой трафик к хосту, изменения файловой системы и изменения конфигурации.

Существует три метода обнаружения, которые может использовать система предотвращения вторжений, и многие системы используют комбинацию всех трех. Обнаружение на основе подписи хорошо работает для обнаружения известных угроз, сравнивая событие с уже задокументированной подписью, чтобы определить, произошло ли нарушение безопасности. Обнаружение на основе аномалий ищет аномальную активность по сравнению с обычными событиями в системе или сети и особенно полезна для выявления неизвестных угроз. Анализ протокола с отслеживанием состояния ищет действия, которые противоречат тому, как обычно используется определенный протокол.