Un système de prévention des intrusions (IPS) surveille les paquets de données de réseaux pour une activité suspecte et essaie de prendre des mesures en utilisant des politiques spécifiques.Il agit un peu comme un système de détection d'intrusion qui comprend un pare-feu pour éviter les attaques.Il envoie une alerte à un réseau ou à un administrateur de systèmes lorsque quelque chose de suspect est détecté, permettant à l'administrateur de sélectionner une action à prendre lorsque l'événement se produit.Les systèmes de prévention des intrusions peuvent surveiller un réseau entier, des protocoles de réseau sans fil, un comportement du réseau et un seul trafic d'ordinateurs.Chaque IPS utilise des méthodes de détection spécifiques pour analyser les risques.

Selon le modèle IPS et ses caractéristiques, un système de prévention des intrusions peut détecter diverses violations de sécurité.Certains peuvent détecter la propagation des logiciels malveillants sur un réseau, la copie de fichiers volumineux entre deux systèmes et l'utilisation d'activités suspectes telles que la numérisation de port.Une fois que l'IPS a comparé le problème à ses règles de sécurité, il enregistre chaque événement et documente la fréquence des événements.Si l'administrateur réseau a configuré les IP pour effectuer une action spécifique basée sur l'incident, le système de prévention des intrusions prend ensuite l'action attribuée.Une alerte de base est envoyée à l'administrateur afin qu'il puisse répondre de manière appropriée ou afficher des informations supplémentaires sur les IPS, si nécessaire.

Il existe quatre types généraux de systèmes de prévention des intrusions, y compris l'analyse du comportement sans fil, sans fil, le réseau de réseau et l'hôte-basé.Un IPS basé sur le réseau analyse divers protocoles de réseau et est couramment utilisé sur les serveurs d'accès à distance, les serveurs et routeurs de réseaux privés virtuels.Un IPS sans fil regarde des activités suspectes sur les réseaux sans fil et recherche également des réseaux sans fil non autorisés dans une zone.L'analyse du comportement du réseau recherche des menaces qui pourraient éliminer un réseau ou répandre des logiciels malveillants et qui est couramment utilisé avec des réseaux privés qui se connectent à Internet.Un IPS basé sur l'hôte fonctionne sur un seul système et recherche des processus d'application étranges, un trafic réseau inhabituel vers l'hôte, des modifications de modification du système de fichiers et de configuration.

Il existe trois méthodes de détection qu'un système de prévention des intrusions peut utiliser, et de nombreux systèmes utilisent uncombinaison des trois.La détection basée sur la signature fonctionne bien pour détecter les menaces connues en comparant un événement à une signature déjà documentée pour déterminer si une violation de sécurité s'est produite.La détection basée sur l'anomalie recherche une activité anormale par rapport aux événements normaux qui se produisent sur un système ou un réseau et sont particulièrement utiles pour identifier les menaces inconnues.L'analyse du protocole avec état cherche une activité qui va à l'encontre de la façon dont un protocole spécifique est normalement utilisé.