Un sistema de prevención de intrusiones (IPS) supervisa los paquetes de datos de una red en busca de actividad sospechosa e intenta tomar medidas utilizando políticas específicas. Actúa como un sistema de detección de intrusos que incluye un firewall para prevenir ataques. Envía una alerta a un administrador de red o sistemas cuando se detecta algo sospechoso, lo que le permite al administrador seleccionar una acción a tomar cuando ocurre el evento. Los sistemas de prevención de intrusiones pueden monitorear una red completa, protocolos de red inalámbrica, comportamiento de la red y el tráfico de una sola computadora. Cada IPS utiliza métodos de detección específicos para analizar los riesgos.
Dependiendo del modelo de IPS y sus características, un sistema de prevención de intrusiones puede detectar varias brechas de seguridad. Algunos pueden detectar la propagación de malware a través de una red, la copia de archivos grandes entre dos sistemas y el uso de actividades sospechosas como el escaneo de puertos. Una vez que el IPS compara el problema con sus reglas de seguridad, registra cada evento y documenta la frecuencia del evento. Si el administrador de la red configuró el IPS para realizar una acción específica basada en el incidente, el sistema de prevención de intrusiones toma la acción asignada. Se envía una alerta básica al administrador para que pueda responder adecuadamente o ver información adicional en el IPS, si es necesario.
Hay cuatro tipos generales de sistemas de prevención de intrusiones, que incluyen análisis de comportamiento de red, inalámbricos, basados en red y basados en host. Un IPS basado en red analiza varios protocolos de red y se usa comúnmente en servidores de acceso remoto, servidores de red privada virtual y enrutadores. Un IPS inalámbrico observa actividades sospechosas en redes inalámbricas y también busca redes inalámbricas no autorizadas en un área. El análisis del comportamiento de la red busca amenazas que podrían derribar una red o propagar malware y se usa comúnmente con redes privadas que se conectan a Internet. Un IPS basado en host funciona en un solo sistema y busca procesos de aplicación extraños, tráfico de red inusual hacia el host, modificación del sistema de archivos y cambios de configuración.
Hay tres métodos de detección que puede utilizar un sistema de prevención de intrusiones y muchos sistemas utilizan una combinación de los tres. La detección basada en firmas funciona bien para detectar amenazas conocidas al comparar un evento con una firma ya documentada para determinar si se ha producido una infracción de seguridad. La detección basada en anomalías busca actividad anormal en comparación con los eventos normales que ocurren en un sistema o red y es particularmente útil para identificar amenazas desconocidas. El análisis de protocolo con estado busca actividad que vaya en contra de cómo se usa normalmente un protocolo específico.