Een inbraakpreventiesysteem (IPS) werkt door actief het netwerkverkeer in realtime te monitoren om kwaadaardige activiteiten en veiligheidsrisico’s te detecteren en te blokkeren. Het analyseert inkomende en uitgaande pakketten en vergelijkt ze met een database met bekende aanvalssignaturen en vooraf gedefinieerde regels. Wanneer de IPS een pakket of stroom pakketten identificeert die overeenkomt met een handtekening of een specifieke regel overtreedt, onderneemt het onmiddellijk actie om te voorkomen dat de dreiging het netwerk in gevaar brengt. Deze actie kan het verwijderen of blokkeren van de kwaadaardige pakketten omvatten, het opnieuw instellen van verbindingen en het waarschuwen van netwerkbeheerders om het incident te onderzoeken en er onmiddellijk op te reageren.
Inbraakpreventiesystemen (IPS) en inbraakdetectiesystemen (IDS) zijn beveiligingstechnologieën die zijn ontworpen om netwerken te beschermen tegen ongeoorloofde toegang en kwaadwillige activiteiten. Een IDS bewaakt het netwerkverkeer en systeemgebeurtenissen en analyseert patronen en afwijkingen om potentiële beveiligingsinbreuken op te sporen. Het genereert waarschuwingen wanneer verdachte activiteit wordt gedetecteerd, zodat beheerders potentiële bedreigingen kunnen onderzoeken en hierop kunnen reageren. Een IPS gaat nog een stap verder door actief te blokkeren of te voorkomen dat geïdentificeerde bedreigingen het netwerk binnendringen, waardoor realtime bescherming tegen aanvallen wordt geboden. Terwijl IDS zich richt op detectie en waarschuwingen, combineert IPS detectie met preventie om het netwerk actief te verdedigen tegen beveiligingsbedreigingen.
Een IPS-handtekening werkt door specifieke patronen of kenmerken van bekende kwaadaardige activiteiten of aanvallen te definiëren. Deze handtekeningen zijn gemaakt op basis van onderzoek en analyse van verschillende soorten netwerkaanvallen, kwetsbaarheden en exploits. Wanneer een IPS netwerkverkeer onderzoekt, vergelijkt het binnenkomende pakketten met zijn handtekeningdatabase. Als een pakket overeenkomt met een handtekening, wat wijst op een bekende aanval of ongeautoriseerde activiteit, onderneemt de IPS actie volgens vooraf gedefinieerd beleid om de dreiging te blokkeren of te beperken. Handtekeningen kunnen variëren van eenvoudige patronen in pakketheaders tot meer complexe reeksen die specifieke aanvalsmethoden of -gedragingen aangeven, waardoor de IPS effectief een breed scala aan beveiligingsbedreigingen kan identificeren en zich hiertegen kan verdedigen.