Un IPS viene in genere distribuito “in linea” dove si trova nel percorso di comunicazione diretta tra l’origine e la destinazione, dove può analizzare in “real-time” tutto il flusso di traffico di rete lungo quel percorso e intraprendere azioni preventive automatizzate., Gli IPS possono essere distribuiti ovunque nella rete, ma le loro distribuzioni più comuni sono:

• Enterprise Edge, Perimeter
• Enterprise Data Center

Un IPS può essere distribuito come un best of breed, IPS standalone o la stessa capacità può essere attivata nella funzione consolidated IPS all’interno di un firewall di nuova generazione(NGFW). Un IPS utilizza firme che possono essere sia vulnerabilità o exploit specifici per identificare il traffico dannoso, In genere, si tratta di rilevamento basato sulla firma o rilevamento basato su anomalie statistiche per identificare l’attività dannosa.,

1. Il rilevamento basato sulla firma utilizza firme univocamente identificabili che si trovano nel codice di exploit. Quando gli exploit vengono scoperti, le loro firme vanno in un database sempre più in espansione. Il rilevamento basato sulla firma per gli IP comporta sia le firme exploit-facing, che identificano i singoli exploit stessi, sia le firme vulnerability-facing, che identificano la vulnerabilità nel sistema preso di mira per l’attacco., Le firme che affrontano la vulnerabilità sono importanti per identificare potenziali varianti di exploit che non sono state osservate in precedenza, ma aumentano anche il rischio di risultati falsi positivi (pacchetti benigni etichettati erroneamente come minacce).
2. Il rilevamento statistico basato sulle anomalie campiona casualmente il traffico di rete e quindi confronta i campioni con le linee di base a livello di prestazioni. Quando i campioni sono identificati come al di fuori della linea di base, l’IPS innesca un’azione per prevenire potenziali attacchi.,

Una volta che IPS identifica il traffico dannoso che può essere sfruttabile in rete, distribuisce ciò che è noto come una patch virtuale per la protezione. Patch virtuale, agisce come misura di sicurezza contro le minacce che sfruttano vulnerabilità note e sconosciute. La patch virtuale funziona implementando livelli di policy e regole di sicurezza che impediscono e intercettano un exploit dall’intraprendere percorsi di rete da e verso una vulnerabilità, offrendo così una copertura contro tale vulnerabilità a livello di rete piuttosto che a livello di host.