System zapobiegania włamaniom (IPS) monitoruje pakiety danych w sieci pod kątem podejrzanej aktywności i próbuje podjąć działania przy użyciu określonych zasad. Działa trochę jak system wykrywania włamań, który zawiera zaporę ogniową, która zapobiega atakom. Wysyła alert do administratora sieci lub systemów, gdy zostanie wykryte coś podejrzanego, pozwalając administratorowi wybrać akcję do podjęcia w przypadku wystąpienia zdarzenia. Systemy zapobiegania włamaniom mogą monitorować całą sieć, protokoły sieci bezprzewodowej, zachowanie sieci i ruch pojedynczego komputera. Każdy IPS wykorzystuje określone metody wykrywania do analizy ryzyka.
W zależności od modelu IPS i jego funkcji, system zapobiegania włamaniom może wykryć różne naruszenia bezpieczeństwa. Niektóre mogą wykrywać rozprzestrzenianie się złośliwego oprogramowania w sieci, kopiowanie dużych plików między dwoma systemami oraz wykorzystywanie podejrzanych działań, takich jak skanowanie portów. Po porównaniu problemu ze swoimi regułami bezpieczeństwa IPS rejestruje każde zdarzenie i dokumentuje częstotliwość zdarzenia. Jeśli administrator sieci skonfigurował IPS do wykonania określonej akcji na podstawie incydentu, system zapobiegania włamaniom wykonuje przypisaną akcję. Podstawowy alert jest wysyłany do administratora, aby w razie potrzeby mógł odpowiednio zareagować lub wyświetlić dodatkowe informacje na temat IPS.
Istnieją cztery ogólne typy systemów zapobiegania włamaniom, w tym oparte na sieci, bezprzewodowe, analiza zachowania sieci i oparte na hoście. Oparty na sieci IPS analizuje różne protokoły sieciowe i jest powszechnie używany na serwerach dostępu zdalnego, serwerach wirtualnej sieci prywatnej i routerach. Bezprzewodowy IPS wyszukuje podejrzane działania w sieciach bezprzewodowych, a także szuka nieautoryzowanych sieci bezprzewodowych na danym obszarze. Analiza zachowania sieci wyszukuje zagrożenia, które mogą uszkodzić sieć lub rozprzestrzeniać złośliwe oprogramowanie i jest powszechnie stosowana w przypadku sieci prywatnych łączących się z Internetem. IPS oparty na hoście działa w jednym systemie i wyszukuje dziwne procesy aplikacji, nietypowy ruch sieciowy do hosta, modyfikacje systemu plików i zmiany konfiguracji.
Istnieją trzy metody wykrywania, z których może korzystać system zapobiegania włamaniom, a wiele systemów wykorzystuje kombinację wszystkich trzech. Wykrywanie oparte na sygnaturach dobrze sprawdza się w wykrywaniu znanych zagrożeń, porównując zdarzenie z już udokumentowaną sygnaturą w celu ustalenia, czy doszło do naruszenia bezpieczeństwa. Wykrywanie na podstawie anomalii wyszukuje aktywność, która jest nienormalna w porównaniu do normalnych zdarzeń występujących w systemie lub sieci i jest szczególnie przydatna do identyfikowania nieznanych zagrożeń. Analiza protokołów stanowych wyszukuje czynności, które są sprzeczne ze sposobem, w jaki dany protokół jest zwykle używany.