Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.

Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación.

Funcionamiento

Entre sus principales funciones, se encuentran no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad.

Se tiene que puede alertar al administrador ante la detección de intrusiones o actividad maliciosa, mientras que es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de seguridad para proteger al equipo o a la red de un ataque.De ahí que se diga que un IPS protege a una red o equipo de manera proactiva mientras que un IDS lo hace de manera reactiva.

Los IPS se clasifican en cuatro difrentes tipos:

1. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red sospechoso al analizar la actividad por protocolo de comunicación lan.

2. Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al analizar la actividad por protocolo de comunicación inalámbrico.

3. Análisis de comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que generan tráfico inusual, como ataques de denegación de servicio ciertas formas de malware y violaciones a políticas de red.

4. Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoran un host único en busca de actividad sospechosa.

Los IPS categorizan la forma en que detectan el tráfico malicioso:

• Detección basada en firmas: como lo hace un antivirus.

• Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.

• Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.