Sistem za preprečevanje vdorov (IPS) spremlja omrežne podatkovne pakete glede sumljive dejavnosti in poskuša ukrepati s posebnimi pravilniki. Deluje kot sistem za odkrivanje vdorov, ki vključuje požarni zid za preprečevanje napadov. Pošlje opozorilo skrbniku omrežja ali sistema, ko je zaznano nekaj sumljivega, kar omogoča skrbniku, da izbere dejanje, ki ga bo izvedel, ko pride do dogodka. Sistemi za preprečevanje vdorov lahko spremljajo celotno omrežje, brezžične omrežne protokole, obnašanje omrežja in promet posameznega računalnika. Vsak IPS uporablja posebne metode odkrivanja za analizo tveganj.
Glede na model IPS in njegove lastnosti lahko sistem za preprečevanje vdorov zazna različne varnostne kršitve. Nekateri lahko zaznajo širjenje zlonamerne programske opreme po omrežju, kopiranje velikih datotek med dvema sistemoma in uporabo sumljivih dejavnosti, kot je skeniranje vrat. Ko IPS primerja težavo s svojimi varnostnimi pravili, zabeleži vsak dogodek in dokumentira pogostost dogodka. Če je skrbnik omrežja konfiguriral IPS za izvedbo določenega dejanja na podlagi incidenta, potem sistem za preprečevanje vdorov izvede dodeljeno dejanje. Skrbniku se pošlje osnovno opozorilo, da se lahko ustrezno odzove ali si po potrebi ogleda dodatne informacije na IPS.
Obstajajo štiri splošne vrste sistemov za preprečevanje vdorov, vključno z omrežnimi, brezžičnimi, analizo vedenja omrežja in gostiteljskimi. Omrežni IPS analizira različne omrežne protokole in se običajno uporablja na strežnikih za oddaljeni dostop, strežnikih navideznega zasebnega omrežja in usmerjevalnikih. Brezžični IPS spremlja sumljive dejavnosti v brezžičnih omrežjih in išče tudi nepooblaščena brezžična omrežja na območju. Analiza vedenja omrežja išče grožnje, ki bi lahko uničile omrežje ali razširile zlonamerno programsko opremo, in se običajno uporablja v zasebnih omrežjih, ki se povezujejo z internetom. IPS, ki temelji na gostitelju, deluje na enem samem sistemu in išče čudne procese aplikacij, nenavaden omrežni promet do gostitelja, spremembe datotečnega sistema in konfiguracijske spremembe.
Sistem za preprečevanje vdorov lahko uporablja tri metode odkrivanja in mnogi sistemi uporabljajo kombinacijo vseh treh. Zaznavanje na podlagi podpisov dobro deluje za odkrivanje znanih groženj, tako da primerja dogodek z že dokumentiranim podpisom, da ugotovi, ali je prišlo do kršitve varnosti. Zaznavanje na podlagi anomalij išče dejavnost, ki je nenormalna v primerjavi z običajnimi dogodki, ki se zgodijo v sistemu ali omrežju, in je še posebej uporabno za prepoznavanje neznanih groženj. Analiza protokola s stanjem išče dejavnost, ki je v nasprotju s tem, kako se določen protokol običajno uporablja.