Un sistem de prevenire a intruziunilor (IPS) monitorizează pachetele de date ale unei rețele pentru activități suspecte și încearcă să ia măsuri folosind politici specifice. Acționează oarecum ca un sistem de detectare a intruziunilor care include un firewall pentru a preveni atacurile. Trimite o alertă unui administrator de rețea sau de sistem atunci când este detectat ceva suspect, permițând administratorului să selecteze o acțiune de întreprins atunci când are loc evenimentul. Sistemele de prevenire a intruziunilor pot monitoriza o întreagă rețea, protocoalele de rețea fără fir, comportamentul rețelei și traficul unui singur computer. Fiecare IPS utilizează metode specifice de detectare pentru a analiza riscurile.
În funcție de modelul IPS și de caracteristicile acestuia, un sistem de prevenire a intruziunilor poate detecta diverse breșe de securitate. Unii pot detecta răspândirea malware-ului într-o rețea, copierea fișierelor mari între două sisteme și utilizarea activităților suspecte, cum ar fi scanarea portului. După ce IPS compară problema cu regulile sale de securitate, înregistrează fiecare eveniment și documentează frecvența evenimentului. Dacă administratorul de rețea a configurat IPS-ul pentru a efectua o acțiune specifică în funcție de incident, sistemul de prevenire a intruziunilor ia apoi acțiunea atribuită. O alertă de bază este trimisă administratorului, astfel încât acesta să poată răspunde corespunzător sau să vadă informații suplimentare despre IPS, dacă este necesar.
Există patru tipuri generale de sisteme de prevenire a intruziunilor, inclusiv bazate pe rețea, fără fir, analiza comportamentului rețelei și bazată pe gazdă. Un IPS bazat pe rețea analizează diverse protocoale de rețea și este utilizat în mod obișnuit pe servere de acces la distanță, servere de rețea privată virtuală și routere. Un IPS wireless urmărește activitățile suspecte în rețelele fără fir și, de asemenea, caută rețele fără fir neautorizate într-o zonă. Analiza comportamentului rețelei caută amenințări care ar putea distruge o rețea sau răspândi malware și este folosită în mod obișnuit cu rețelele private care se conectează la Internet. Un IPS bazat pe gazdă funcționează pe un singur sistem și caută procese de aplicație ciudate, trafic neobișnuit de rețea către gazdă, modificări ale sistemului de fișiere și modificări ale configurației.
Există trei metode de detectare pe care le poate folosi un sistem de prevenire a intruziunilor și multe sisteme folosesc o combinație a tuturor celor trei. Detectarea bazată pe semnătură funcționează bine pentru detectarea amenințărilor cunoscute prin compararea unui eveniment cu o semnătură deja documentată pentru a determina dacă a avut loc o încălcare a securității. Detectarea bazată pe anomalii caută activități care sunt anormale în comparație cu evenimentele normale care apar pe un sistem sau o rețea și este deosebit de utilă pentru identificarea amenințărilor necunoscute. Analiza cu stat a protocolului caută activități care contravin modului în care este utilizat în mod normal un anumit protocol.