Sistem pencegahan intrusi (IPS) memantau paket data jaringan untuk aktivitas mencurigakan dan mencoba mengambil tindakan menggunakan kebijakan khusus. Ini bertindak agak seperti sistem deteksi intrusi yang mencakup firewall untuk mencegah serangan. Ini mengirimkan peringatan ke administrator jaringan atau sistem ketika sesuatu yang mencurigakan terdeteksi, memungkinkan administrator untuk memilih tindakan yang akan diambil ketika peristiwa itu terjadi. Sistem pencegahan intrusi dapat memantau seluruh jaringan, protokol jaringan nirkabel, perilaku jaringan, dan lalu lintas satu komputer. Setiap IPS menggunakan metode deteksi khusus untuk menganalisis risiko.
Tergantung pada model IPS dan fitur-fiturnya, sistem pencegahan intrusi dapat mendeteksi berbagai pelanggaran keamanan. Beberapa dapat mendeteksi penyebaran malware di seluruh jaringan, penyalinan file besar antara dua sistem, dan penggunaan aktivitas mencurigakan seperti pemindaian port. Setelah IPS membandingkan masalah dengan aturan keamanannya, IPS mencatat setiap kejadian dan mendokumentasikan frekuensi kejadian. Jika administrator jaringan mengonfigurasi IPS untuk melakukan tindakan spesifik berdasarkan insiden, sistem pencegahan intrusi kemudian mengambil tindakan yang ditetapkan. Peringatan dasar dikirim ke administrator sehingga dia dapat merespons dengan tepat atau melihat informasi tambahan tentang IPS, jika perlu.
Ada empat jenis umum sistem pencegahan intrusi, termasuk berbasis jaringan, nirkabel, analisis perilaku jaringan dan berbasis host. IPS berbasis jaringan menganalisis berbagai protokol jaringan dan biasanya digunakan pada server akses jarak jauh, server jaringan pribadi virtual, dan router. IPS nirkabel mengawasi aktivitas mencurigakan di jaringan nirkabel dan juga mencari jaringan nirkabel yang tidak sah di suatu area. Analisis perilaku jaringan mencari ancaman yang dapat melumpuhkan jaringan atau menyebarkan malware dan biasanya digunakan dengan jaringan pribadi yang terhubung ke Internet. IPS berbasis host bekerja pada satu sistem dan mencari proses aplikasi yang aneh, lalu lintas jaringan yang tidak biasa ke host, modifikasi sistem file, dan perubahan konfigurasi.
Ada tiga metode deteksi yang dapat digunakan oleh sistem pencegahan intrusi, dan banyak sistem menggunakan kombinasi ketiganya. Deteksi berbasis tanda tangan berfungsi dengan baik untuk mendeteksi ancaman yang diketahui dengan membandingkan suatu peristiwa dengan tanda tangan yang sudah didokumentasikan untuk menentukan apakah telah terjadi pelanggaran keamanan. Deteksi berbasis anomali mencari aktivitas yang tidak normal jika dibandingkan dengan kejadian normal yang terjadi pada sistem atau jaringan dan sangat berguna untuk mengidentifikasi ancaman yang tidak diketahui. Analisis protokol stateful mencari aktivitas yang bertentangan dengan bagaimana protokol tertentu biasanya digunakan.