Sustav za sprječavanje upada (IPS) nadzire mrežne pakete podataka u potrazi za sumnjivim aktivnostima i pokušava poduzeti radnju pomoću specifičnih pravila. Djeluje kao sustav za otkrivanje upada koji uključuje vatrozid za sprječavanje napada. Šalje upozorenje administratoru mreže ili sustava kada se otkrije nešto sumnjivo, dopuštajući administratoru da odabere radnju koju će poduzeti kada se događaj dogodi. Sustavi za sprječavanje upada mogu nadzirati cijelu mrežu, bežične mrežne protokole, ponašanje mreže i promet jednog računala. Svaki IPS koristi posebne metode detekcije za analizu rizika.
Ovisno o IPS modelu i njegovim značajkama, sustav za sprječavanje upada može otkriti različite sigurnosne povrede. Neki mogu otkriti širenje zlonamjernog softvera preko mreže, kopiranje velikih datoteka između dva sustava i korištenje sumnjivih aktivnosti kao što je skeniranje portova. Nakon što IPS usporedi problem sa svojim sigurnosnim pravilima, bilježi svaki događaj i dokumentira učestalost događaja. Ako je administrator mreže konfigurirao IPS da izvrši određenu radnju na temelju incidenta, sustav za sprječavanje upada tada poduzima dodijeljenu radnju. Osnovno upozorenje se šalje administratoru kako bi on ili ona mogli na odgovarajući način odgovoriti ili pogledati dodatne informacije o IPS-u, ako je potrebno.
Postoje četiri opća tipa sustava za sprječavanje upada, uključujući mrežni, bežični, analizu ponašanja mreže i host-temeljen. Mrežni IPS analizira različite mrežne protokole i obično se koristi na poslužiteljima udaljenog pristupa, virtualnim privatnim mrežnim poslužiteljima i usmjerivačima. Bežični IPS prati sumnjive aktivnosti na bežičnim mrežama i također traži neovlaštene bežične mreže u nekom području. Analiza ponašanja mreže traži prijetnje koje bi mogle uništiti mrežu ili proširiti zlonamjerni softver i obično se koristi s privatnim mrežama koje se povezuju na internet. IPS koji se temelji na hostu radi na jednom sustavu i traži čudne procese aplikacije, neobičan mrežni promet na hostu, modifikacije datotečnog sustava i promjene konfiguracije.
Postoje tri metode otkrivanja koje sustav za sprječavanje upada može koristiti, a mnogi sustavi koriste kombinaciju sve tri. Otkrivanje temeljeno na potpisu dobro funkcionira za otkrivanje poznatih prijetnji uspoređivanjem događaja s već dokumentiranim potpisom kako bi se utvrdilo je li došlo do kršenja sigurnosti. Otkrivanje temeljeno na anomalijama traži aktivnost koja je abnormalna u usporedbi s normalnim događajima koji se događaju na sustavu ili mreži i posebno je korisna za prepoznavanje nepoznatih prijetnji. Analiza protokola s uvidom u stanje traži aktivnost koja je u suprotnosti s uobičajenom upotrebom određenog protokola.