Tunkeutumisenestojärjestelmä (IPS) valvoo verkon datapaketteja epäilyttävän toiminnan varalta ja yrittää toimia käyttämällä tiettyjä käytäntöjä. Se toimii jonkin verran kuin tunkeutumisen havaitsemisjärjestelmä, joka sisältää palomuurin hyökkäysten estämiseksi. Se lähettää hälytyksen verkon tai järjestelmänvalvojalle, kun havaitaan jotain epäilyttävää, jolloin järjestelmänvalvoja voi valita toimenpiteen tapahtuman sattuessa. Tunkeutumisenestojärjestelmät voivat valvoa koko verkkoa, langattomia verkkoprotokollia, verkon käyttäytymistä ja yhden tietokoneen liikennettä. Jokainen IPS käyttää erityisiä tunnistusmenetelmiä riskien analysointiin.
IPS -mallista ja sen ominaisuuksista riippuen tunkeutumisenestojärjestelmä voi havaita erilaisia tietoturvaloukkauksia. Jotkut voivat havaita haittaohjelmien leviämisen verkossa, suurten tiedostojen kopioinnin kahden järjestelmän välillä ja epäilyttävien toimintojen, kuten porttiskannauksen, käytön. Kun IPS vertaa ongelmaa turvallisuussääntöihinsä, se kirjaa jokaisen tapahtuman ja dokumentoi tapahtuman taajuuden. Jos verkonvalvoja on määrittänyt IPS: n suorittamaan tietyn toiminnon tapahtuman perusteella, tunkeutumisenestojärjestelmä suorittaa sitten määrätyn toimenpiteen. Järjestelmänvalvojalle lähetetään perushälytys, jotta hän voi tarvittaessa vastata asianmukaisesti tai tarkastella lisätietoja IPS: stä.
Tunkeutumisenestojärjestelmiä on neljä yleistä tyyppiä, mukaan lukien verkkopohjainen, langaton, verkon käyttäytymisanalyysi ja isäntäpohjainen. Verkkopohjainen IPS analysoi erilaisia verkkoprotokollia, ja sitä käytetään yleisesti etäkäyttöpalvelimissa, virtuaalisen yksityisen verkon palvelimissa ja reitittimissä. Langaton IPS tarkkailee epäilyttäviä toimintoja langattomissa verkoissa ja etsii myös luvattomia langattomia verkkoja alueelta. Verkkokäyttäytymisen analyysi etsii uhkia, jotka voivat poistaa verkon tai levittää haittaohjelmia ja jota käytetään yleisesti Internetiin muodostavien yksityisten verkkojen kanssa. Isäntäpohjainen IPS toimii yhdessä järjestelmässä ja etsii outoja sovellusprosesseja, epätavallista verkkoliikennettä isännälle, tiedostojärjestelmän muokkausta ja kokoonpanomuutoksia.
Tunkeutumisenestojärjestelmä voi käyttää kolmea tunnistusmenetelmää, ja monet järjestelmät käyttävät kaikkien kolmen yhdistelmää. Allekirjoitukseen perustuva tunnistus toimii hyvin tunnettujen uhkien havaitsemiseksi vertaamalla tapahtumaa jo dokumentoituun allekirjoitukseen sen selvittämiseksi, onko tapahtunut tietoturvarikkomus. Poikkeamapohjainen havaitseminen etsii toimintaa, joka on epänormaalia verrattuna tavallisiin tapahtumiin järjestelmässä tai verkossa, ja se on erityisen hyödyllinen tuntemattomien uhkien tunnistamisessa. Tilallinen protokolla -analyysi etsii toimintaa, joka on vastoin tietyn protokollan normaalia käyttöä.