un IPS este de obicei implementat „în linie” unde se află pe calea de comunicare directă între sursă și destinație, unde poate analiza în timp real tot fluxul de trafic de rețea de-a lungul acelei căi și poate lua măsuri preventive automate., Ip-urile pot fi trimise oriunde în rețea, dar cele mai comune implementările sunt:

• Enterprise Margine, Perimetrul
• Date Enterprise Center

IPS pot fi utilizate ca un cele mai bune de rasa, independentă IPS sau aceeași capacitate poate fi pornit în consolidat IPS funcție în interiorul un next-generation firewall(NGFW). Un IPS utilizează semnături care pot fi atât vulnerabilitate, cât și exploatare specifică pentru a identifica traficul rău intenționat, de obicei, acestea sunt fie detectare bazată pe semnătură, fie detectare statistică bazată pe anomalii pentru a identifica activitatea rău intenționată.,

1. detectarea bazată pe semnături utilizează semnături identificabile în mod unic care sunt localizate în codul de exploatare. Când exploatările sunt descoperite, semnăturile lor intră într-o bază de date din ce în ce mai extinsă. Detectarea bazată pe semnături pentru IP-uri implică fie semnături care se confruntă cu exploatarea, care identifică exploatările individuale în sine, fie semnături care se confruntă cu vulnerabilitatea, care identifică vulnerabilitatea sistemului vizat pentru atac., Semnăturile care se confruntă cu vulnerabilitatea sunt importante pentru identificarea variantelor potențiale de exploatare care nu au fost observate anterior, dar cresc și riscul de rezultate fals pozitive (pachete benigne etichetate greșit ca amenințări).
2. detectarea statistică bazată pe anomalii eșantionează aleatoriu traficul de rețea și apoi compară probele cu liniile de bază ale nivelului de performanță. Atunci când eșantioanele sunt identificate ca fiind în afara liniei de bază, IPS declanșează o acțiune pentru a preveni atacul potențial.,odată ce IPS identifică traficul rău intenționat care poate fi exploatat în rețea, acesta implementează ceea ce este cunoscut ca un patch virtual pentru protecție. Virtual patch, acționează ca o măsură de siguranță împotriva amenințărilor care exploatează vulnerabilitățile cunoscute și necunoscute. Virtual patch lucrări de punere în aplicare straturi de politici de securitate și reguli care să prevină și să intercepteze un exploit de a lua căi de rețea și de o vulnerabilitate, oferind astfel acoperire împotriva vulnerabilității la nivel de rețea, mai degrabă decât gazda nivel.