un IPS normalmente se implementa «en línea» donde se sientan en la ruta de comunicación directa entre la fuente y el destino, donde puede analizar en «tiempo real» todo el flujo de tráfico de red a lo largo de esa ruta y tomar medidas preventivas automatizadas., Las IPS se pueden implementar en cualquier lugar de la red, pero sus implementaciones más comunes son:

• Enterprise Edge, Perimeter
• Enterprise Data Center

Una IPS se puede implementar como la mejor de su clase, IPS independientes o la misma capacidad se puede activar en la función IPS consolidada dentro de un firewall de próxima generación(NGFW). Una IPS utiliza firmas que pueden ser vulnerabilidades o exploits específicos para identificar tráfico malicioso, por lo general, se trata de detección basada en firmas o detección basada en anomalías estadísticas para identificar actividad maliciosa.,

1. La detección basada en firmas utiliza firmas identificables únicas que se encuentran en el código de explotación. Cuando se descubren exploits, sus firmas van a una base de datos cada vez más amplia. La detección basada en firmas para IPS implica firmas orientadas a exploits, que identifican los exploits individuales, o firmas orientadas a vulnerabilidades, que identifican la vulnerabilidad en el sistema que está siendo atacado., Las firmas que enfrentan vulnerabilidades son importantes para identificar posibles variantes de exploits que no se han observado previamente, pero también aumentan el riesgo de resultados falsos positivos (paquetes benignos mal etiquetados como amenazas).
2. La detección estadística basada en anomalías muestrea aleatoriamente el tráfico de red y luego compara las muestras con las líneas de base del nivel de rendimiento. Cuando las muestras se identifican como fuera de la línea de base, el IPS activa una acción para evitar un ataque potencial.,

una vez que IPS identifica el tráfico malicioso que puede ser explotable en la red, despliega lo que se conoce como parche virtual para protección. Parche Virtual, actúa como una medida de seguridad contra las amenazas que explotan vulnerabilidades conocidas y desconocidas. Virtual patch funciona mediante la implementación de capas de políticas y reglas de seguridad que impiden e interceptan que un exploit tome rutas de red hacia y desde una vulnerabilidad, ofreciendo así cobertura contra esa vulnerabilidad a nivel de red en lugar del nivel de host.