Intrusion Prevention is een systematiek waarbij wordt gekeken
naar ongewenst gedrag van netwerkverkeer. Intrusion Prevention is
in feite een uitbreiding op Intrusion Detection. het verschil is
dat Intrusion Prevention ook actief verkeer kan blokkeren of
pakketten kan 'droppen'. Detectie kan plaatsvinden op basis van
inhoud van het verkeer, zoals ongewenste HTTP, FTP, SQL en andere
commando's. Ook kan er gecontroleerd op de 'dichtheid' van
verkeer. Drie login-pogingen op een webpagina binnen een minuut
is normaal verkeer, maar 300 login-pogingen binnen 10 seconden
zijn verdacht.
Intrusion Prevention Systems (IPS) zijn er in een aantal
verschijningsvormen: als appliance, of als uitbreiding op
bijvoorbeeld firewall systemen. De fabrikant TippingPoint
ontwerpt en bouwt specifieke appliances voor IPS, terwijl
Check Point
en Palo Alto diverse IPS-functies in hun
firewall hebben gestopt.
Een IPS kan ook bescherming bieden tegen het uitbuiten van
kwetsbaarheden in operating systemen ('exploits on
vulnerabilities'). TippingPoint noemt dit 'virtual patching'.
Een voordeel hierbij is dat operating systemen niet dagelijks of
wekelijks gepatched hoeven te worden.