Im Gegensatz zu einem Intrusion Detection System (IDS) hat das Intrusion Prevention System (IPS) keine überwachende und alarmauslösende Funktion, sondern kontrolliert unmittelbar den Traffic. Das IPS-System ist direkt in die Datenleitungen geschaltet und überwacht die ein- und ausgehenden Datenpakete der Netzwerk-Komponenten. Angriffe und vom normalen Datenverkehr abweichende Bitmuster werden über Signaturen erkannt und blockieren den Datenverkehr. Unterstützt wird diese Sperrfunktion durch intelligente Verhaltensmuster und anomale Algorithmen, die auf der Applikationsebene arbeiten.

<< Anzeige >>

IPS-Systeme sollten die Datenanalyse in Hochgeschwindigkeit ausführen können und dürfen selbst unter Hochlast nicht den legitimen Datenverkehr blockieren. Die Schutzmechanismen wie Signaturanalysen, das Erkennen von Protokollabweichungen, Firewall-Funktionen und Zugriffskontrollen müssen robust sein.