Ett intrångsskyddssystem (IPS) övervakar ett nätverks datapaket för misstänkt aktivitet och försöker vidta åtgärder med hjälp av specifika policyer. Det fungerar ungefär som ett intrångsdetekteringssystem som inkluderar en brandvägg för att förhindra attacker. Den skickar en varning till en nätverks- eller systemadministratör när något misstänkt upptäcks, vilket gör att administratören kan välja en åtgärd att vidta när händelsen inträffar. Intrångsskyddssystem kan övervaka ett helt nätverk, trådlösa nätverksprotokoll, nätverksbeteende och en enda dators trafik. Varje IPS använder specifika detektionsmetoder för att analysera risker.
Beroende på IPS-modellen och dess funktioner kan ett intrångsskyddssystem upptäcka olika säkerhetsintrång. Vissa kan upptäcka spridning av skadlig programvara över ett nätverk, kopiering av stora filer mellan två system och användning av misstänkta aktiviteter som portskanning. Efter att IPS har jämfört problemet med dess säkerhetsregler loggar den varje händelse och dokumenterar händelsens frekvens. Om nätverksadministratören konfigurerade IPS för att utföra en specifik åtgärd baserat på incidenten, vidtar intrångsskyddssystemet den tilldelade åtgärden. En grundläggande varning skickas till administratören så att han eller hon kan svara på lämpligt sätt eller se ytterligare information om IPS, om det behövs.
Det finns fyra allmänna typer av intrångsskyddssystem, inklusive nätverksbaserade, trådlösa, nätverksbeteendeanalyser och värdbaserade. En nätverksbaserad IPS analyserar olika nätverksprotokoll och används ofta på fjärråtkomstservrar, virtuella privata nätverksservrar och routrar. En trådlös IPS letar efter misstänkta aktiviteter på trådlösa nätverk och letar även efter obehöriga trådlösa nätverk i ett område. Analys av nätverksbeteende letar efter hot som kan ta ner ett nätverk eller sprida skadlig programvara och används ofta med privata nätverk som ansluter till Internet. En värdbaserad IPS fungerar på ett enda system och letar efter konstiga applikationsprocesser, ovanlig nätverkstrafik till värden, filsystemändringar och konfigurationsändringar.
Det finns tre detekteringsmetoder som ett intrångsskyddssystem kan använda, och många system använder en kombination av alla tre. Signaturbaserad upptäckt fungerar bra för att upptäcka kända hot genom att jämföra en händelse med en redan dokumenterad signatur för att avgöra om ett säkerhetsintrång har inträffat. Avvikelsebaserad upptäckt letar efter aktivitet som är onormal jämfört med normala händelser som inträffar på ett system eller nätverk och är särskilt användbar för att identifiera okända hot. Stateful protokollanalys letar efter aktivitet som går emot hur ett specifikt protokoll normalt används.