um IPS é tipicamente implantado “in-line” onde eles se sentam no caminho de comunicação direta entre a fonte e o destino, onde ele pode analisar em “tempo real” todo o fluxo de tráfego de rede ao longo desse caminho e tomar medidas preventivas automatizadas., Os IPS podem ser implantadas em qualquer lugar na rede, mas suas implantações mais comuns são:

• Empresa de Borda, Perímetro
• Enterprise Centro de Dados

Um IPS pode ser implantado como um melhor de raça, autônomo, IPS ou o mesmo recurso pode ser ativado no consolidado IPS função dentro de um firewall de próxima geração(NGFW). Um IPS usa assinaturas que podem ser tanto vulnerabilidade ou explorar específicas para identificar tráfego malicioso, normalmente, estas são detecção baseada em assinaturas ou detecção estatística baseada em anomalias para identificar atividade maliciosa.,

1. detecção baseada em Assinaturas usa assinaturas exclusivamente identificáveis que estão localizadas em código de exploração. Quando as façanhas são descobertas, as suas assinaturas vão para um banco de dados cada vez mais em expansão. A detecção baseada em assinaturas para PI envolve assinaturas de exploração, que identificam o indivíduo explora a si mesmo, ou assinaturas de vulnerabilidade, que identificam a vulnerabilidade no sistema que está sendo alvo de ataque., As assinaturas viradas para a vulnerabilidade são importantes para identificar potenciais variantes de exploração que não foram observadas anteriormente, mas também aumentam o risco de resultados falsos positivos (pacotes benignos mal rotulados como ameaças).
2. detecção estatística baseada em anomalias amostra aleatoriamente o tráfego de rede e compara as amostras com as linhas de base do nível de desempenho. Quando as amostras são identificadas como estando fora da linha de base, o IPS desencadeia uma ação para prevenir um ataque potencial.,

Uma vez que IPS identifica o tráfego malicioso que pode ser explorável em rede, ele implanta o que é conhecido como um patch virtual para proteção. O patch Virtual funciona como uma medida de segurança contra ameaças que exploram vulnerabilidades conhecidas e desconhecidas. O patch Virtual funciona através da implementação de camadas de políticas e regras de segurança que impedem E Interceptam uma exploração de percorrer caminhos de rede de e para uma vulnerabilidade, oferecendo assim cobertura contra essa vulnerabilidade a nível da rede e não a nível do host.