Un sistema de prevención de intrusiones (IPS) monitorea los paquetes de datos de una red en busca de actividad sospechosa e intenta tomar medidas utilizando políticas específicas. Actúa de alguna manera como un sistema de detección de intrusos que incluye un firewall para prevenir ataques. Envía una alerta a un administrador de red o de sistemas cuando se detecta algo sospechoso, lo que permite al administrador seleccionar una acción para tomar cuando ocurre el evento. Los sistemas de prevención de intrusiones pueden monitorear una red completa, protocolos de red inalámbrica, comportamiento de la red y el tráfico de una sola computadora. Cada IPS utiliza métodos de detección específicos para analizar riesgos.

Dependiendo del modelo IPS y sus características, un sistema de prevención de intrusiones puede detectar varias infracciones de seguridad. Algunos pueden detectar la propagación de malware a través de una red, la copia de archivos grandes entre dos sistemas y el uso de actividades sospechosas como el escaneo de puertos. Después de que el IPS compara el problema con sus reglas de seguridad, registra cada evento y documenta la frecuencia del evento. Si el administrador de la red configuró el IPS para realizar una acción específica basada en el incidente, el sistema de prevención de intrusiones toma la acción asignada. Se envía una alerta básica al administrador para que pueda responder adecuadamente o ver información adicional en el IPS, si es necesario.

Existen cuatro tipos generales de sistemas de prevención de intrusiones, incluidos los basados ​​en red, inalámbricos, análisis de comportamiento de red y basados ​​en host. Un IPS basado en la red analiza varios protocolos de red y se usa comúnmente en servidores de acceso remoto, servidores de red privada virtual y enrutadores. Un IPS inalámbrico vigila actividades sospechosas en redes inalámbricas y también busca redes inalámbricas no autorizadas en un área. El análisis del comportamiento de la red busca amenazas que podrían derribar una red o propagar malware y se usa comúnmente con redes privadas que se conectan a Internet. Un IPS basado en host funciona en un solo sistema y busca procesos de aplicación extraños, tráfico de red inusual al host, modificación del sistema de archivos y cambios de configuración.

Hay tres métodos de detección que puede usar un sistema de prevención de intrusiones, y muchos sistemas usan una combinación de los tres. La detección basada en firmas funciona bien para detectar amenazas conocidas al comparar un evento con una firma ya documentada para determinar si se ha producido una violación de seguridad. La detección basada en anomalías busca actividad anormal en comparación con los eventos normales que ocurren en un sistema o red y es particularmente útil para identificar amenazas desconocidas. El análisis de protocolo con estado busca actividad que vaya en contra de cómo se usa normalmente un protocolo específico.