Hệ thống ngăn chặn xâm nhập là một thiết bị an ninh mạng giám sát các hoạt động mạng và hệ thống để tìm hành vi độc hại hoặc không mong muốn và có thể phản ứng để chặn hoặc tránh các hoạt động đó.
IPS dựa trên mạng sẽ hoạt động nội tuyến để giám sát tất cả lưu lượng mạng để tìm chương trình độc hại hoặc các cuộc tấn công. Khi một cuộc tấn công được xác định, nó có thể loại bỏ các gói tin vi phạm trong khi vẫn cho phép tất cả các lưu lượng khác vượt qua. Công nghệ ngăn chặn xâm nhập được một số người coi là sự phát triển của công nghệ phát hiện xâm nhập (IDS).
Hệ thống ngăn chặn xâm nhập (IPS) ra đời vào cuối những năm 1990 để giải quyết sự mơ hồ trong giám sát mạng thụ động bằng cách xác định vị trí hệ thống phát hiện trong dòng. IPS ban đầu là IDS có thể thực hiện các lệnh ngăn chặn đối với tường lửa và các thay đổi kiểm soát truy cập đối với bộ định tuyến. Phương pháp này hoạt động không hiệu quả vì nó tạo ra một điều kiện chạy đua giữa các IDS và việc khai thác khi nó di chuyển qua cơ chế kiểm soát.
IPS nội tuyến có thể được coi là một cải tiến của công nghệ tường lửa (snort nội tuyến được kết hợp thành một), IPS có thể tạo ra các quyết định kiểm soát truy cập dựa trên nội dung ứng dụng, thay vì địa chỉ IP hoặc các cổng như tường lửa truyền thống đã hoàn thành.
Nó có thể nâng cao hiệu suất và hiệu quả của ánh xạ phân loại, hầu hết IPS sử dụng cổng đích trong cấu trúc chữ ký của chúng. Vì hệ thống IPS ban đầu là một phần mở rộng theo nghĩa đen của các hệ thống phát hiện xâm nhập, chúng tiếp tục được liên kết với nhau.
Hệ thống ngăn chặn xâm nhập cũng có thể phục vụ thứ hai ở cấp máy chủ để từ chối các sự kiện độc hại tiềm ẩn. Có những ưu và nhược điểm đối với IPS dựa trên máy chủ tương quan với IPS dựa trên mạng. Trong một số trường hợp, các công nghệ phải bổ sung cho nhau.
Một Hệ thống Phòng chống Xâm nhập phải là một Hệ thống Phát hiện Xâm nhập tốt để cho phép giảm chi phí dương tính giả. Một số hệ thống IPS cũng có thể tránh các cuộc tấn công chưa được phát hiện, bao gồm cả những cuộc tấn công do tràn bộ đệm.
Hoạt động của IPS trong mạng bị nhầm lẫn với kiểm soát truy cập và tường lửa lớp ứng dụng. Có một số khác biệt quan trọng trong các công nghệ này. Mặc dù tất cả đều có những điểm tương đồng, nhưng cách chúng tiếp cận bảo mật mạng hoặc hệ thống về cơ bản là khác nhau.
IPS thường được thiết kế để hoạt động hoàn toàn vô hình trên mạng. Các sản phẩm IPS thường không yêu cầu địa chỉ IP trên mạng được bảo vệ nhưng có thể phản hồi trực tiếp với bất kỳ lưu lượng nào theo một số cách. (Các phản hồi IPS thông thường liên quan đến việc giảm gói tin, đặt lại kết nối, thực hiện cảnh báo và thậm chí cách ly những kẻ xâm nhập.) Mặc dù một số sản phẩm IPS có khả năng thực hiện các quy tắc tường lửa, đây thường chỉ là một sự tiện lợi và không phải là dịch vụ cốt lõi của sản phẩm.
Hơn nữa, công nghệ IPS cung cấp thông tin chi tiết sâu hơn về các hoạt động mạng hỗ trợ dữ liệu trên các máy chủ hoạt động quá mức, đăng nhập không hợp lệ, nội dung không phù hợp và một số chức năng mạng và lớp ứng dụng khác.