un IPS est généralement déployé « en ligne” où il se trouve dans le chemin de communication direct entre la source et la destination, où il peut analyser en « temps réel” tout le flux de trafic réseau le long de ce chemin et prendre des mesures préventives automatisées., Les IPS peuvent être déployées n’importe où dans le réseau, mais leurs déploiements les plus courants sont les suivants:

• Enterprise Edge, Perimeter
• Enterprise Data Center

Un IPS peut être déployé en tant que meilleur de la race, IPS autonome ou la même capacité peut être activée dans la fonction IPS consolidée à l’intérieur Un IPS utilise des signatures qui peuvent être à la fois une vulnérabilité ou un exploit spécifique pour identifier le trafic malveillant, Généralement, il s’agit d’une détection basée sur la signature ou d’une détection basée sur les anomalies statistiques pour identifier les activités malveillantes.,

1. La détection basée sur les signatures utilise des signatures identifiables uniques qui se trouvent dans le code d’exploitation. Lorsque les exploits sont découverts, leurs signatures vont dans une base de données de plus en plus en expansion. La détection basée sur la Signature pour les adresses IP implique soit des signatures tournées vers les exploits, qui identifient les exploits individuels eux-mêmes, soit des signatures tournées vers les vulnérabilités, qui identifient la vulnérabilité du système visé par l’attaque., Les signatures de vulnérabilité sont importantes pour identifier les variantes d’exploit potentielles qui n’ont pas été observées auparavant, mais elles augmentent également le risque de résultats faussement positifs (paquets bénins mal étiquetés comme des menaces).
2. la détection basée sur les anomalies statistiques échantillonne aléatoirement le trafic réseau, puis compare les échantillons aux niveaux de performance. Lorsque des échantillons sont identifiés comme étant en dehors de la ligne de base, L’IPS déclenche une action pour prévenir une attaque potentielle.,

Une fois QU’IPS identifie le trafic malveillant qui peut être exploitable par le réseau, il déploie ce qu’on appelle un correctif virtuel pour la protection. Virtual patch, agit comme une mesure de sécurité contre les menaces qui exploitent des vulnérabilités connues et inconnues. Virtual patch fonctionne en implémentant des couches de stratégies et de règles de sécurité qui empêchent et interceptent un exploit de prendre des chemins réseau vers et depuis une vulnérabilité, offrant ainsi une couverture contre cette vulnérabilité au niveau du réseau plutôt qu’au niveau de l’hôte.