ระบบป้องกันการบุกรุก (IPS) ตรวจสอบแพ็กเก็ตข้อมูลของเครือข่ายสำหรับกิจกรรมที่น่าสงสัยและพยายามดำเนินการโดยใช้นโยบายเฉพาะ มันทำหน้าที่คล้ายกับระบบตรวจจับการบุกรุกซึ่งรวมถึงไฟร์วอลล์เพื่อป้องกันการโจมตี มันจะส่งการแจ้งเตือนไปยังเครือข่ายหรือผู้ดูแลระบบเมื่อตรวจพบสิ่งที่น่าสงสัยทำให้ผู้ดูแลระบบสามารถเลือกการกระทำที่จะดำเนินการเมื่อมีเหตุการณ์เกิดขึ้น ระบบป้องกันการบุกรุกสามารถตรวจสอบเครือข่ายทั้งหมดโปรโตคอลเครือข่ายไร้สายพฤติกรรมเครือข่ายและการรับส่งข้อมูลของคอมพิวเตอร์เครื่องเดียว IPS แต่ละตัวใช้วิธีการตรวจจับเฉพาะเพื่อวิเคราะห์ความเสี่ยง
ระบบการป้องกันการบุกรุกสามารถตรวจจับการละเมิดความปลอดภัยต่าง ๆ ทั้งนี้ขึ้นอยู่กับรุ่น IPS และคุณสมบัติของมัน บางคนสามารถตรวจจับการแพร่กระจายของมัลแวร์ในเครือข่ายการคัดลอกไฟล์ขนาดใหญ่ระหว่างสองระบบและการใช้กิจกรรมที่น่าสงสัยเช่นการสแกนพอร์ต หลังจาก IPS เปรียบเทียบปัญหากับกฎความปลอดภัยแล้วจะบันทึกแต่ละเหตุการณ์และบันทึกความถี่ของเหตุการณ์ หากผู้ดูแลระบบเครือข่ายกำหนดค่า IPS ให้ดำเนินการเฉพาะตามเหตุการณ์ระบบป้องกันการบุกรุกจะดำเนินการตามที่ได้รับมอบหมาย การแจ้งเตือนขั้นพื้นฐานจะถูกส่งไปยังผู้ดูแลระบบเพื่อให้เขาหรือเธอสามารถตอบสนองได้อย่างเหมาะสมหรือดูข้อมูลเพิ่มเติมเกี่ยวกับ IPS หากจำเป็น
ระบบป้องกันการบุกรุกโดยทั่วไปมีสี่ประเภท ได้แก่ เครือข่ายไร้สายการวิเคราะห์พฤติกรรมเครือข่ายและโฮสต์ IPS ที่ยึดตามเครือข่ายจะวิเคราะห์โปรโตคอลเครือข่ายที่หลากหลายและมักใช้กับเซิร์ฟเวอร์การเข้าถึงระยะไกลเซิร์ฟเวอร์เครือข่ายส่วนตัวเสมือนและเราเตอร์ IPS แบบไร้สายจะตรวจสอบกิจกรรมที่น่าสงสัยบนเครือข่ายไร้สายและค้นหาเครือข่ายไร้สายที่ไม่ได้รับอนุญาตในพื้นที่ การวิเคราะห์พฤติกรรมเครือข่ายจะค้นหาภัยคุกคามที่อาจทำลายเครือข่ายหรือแพร่กระจายมัลแวร์และมักใช้กับเครือข่ายส่วนตัวที่เชื่อมต่อกับอินเทอร์เน็ต IPS ที่ใช้โฮสต์ทำงานบนระบบเดียวและมองหากระบวนการแอปพลิเคชั่นแปลก ๆ การรับส่งข้อมูลเครือข่ายที่ผิดปกติไปยังโฮสต์การปรับเปลี่ยนระบบไฟล์
มีวิธีการตรวจจับสามวิธีที่ระบบป้องกันการบุกรุกสามารถใช้ได้และหลายระบบใช้ทั้งสามวิธีร่วมกัน การตรวจจับโดยใช้ลายเซ็นทำงานได้ดีสำหรับการตรวจจับภัยคุกคามที่ทราบโดยการเปรียบเทียบเหตุการณ์กับลายเซ็นที่มีการบันทึกไว้แล้วเพื่อพิจารณาว่ามีการละเมิดความปลอดภัยเกิดขึ้น การตรวจจับโดยอาศัยความผิดปกติจะค้นหากิจกรรมที่ผิดปกติเมื่อเปรียบเทียบกับเหตุการณ์ปกติที่เกิดขึ้นในระบบหรือเครือข่ายและมีประโยชน์อย่างยิ่งสำหรับการระบุภัยคุกคามที่ไม่รู้จัก การวิเคราะห์โพรโทคอล stateful ค้นหากิจกรรมที่ขัดต่อวิธีการใช้โพรโทคอลเฉพาะ
