Sissetungi vältimise süsteem (IPS) jälgib võrgu andmepakette kahtlaste tegevuste suhtes ja proovib konkreetseid poliitikaid kasutades tegutseda. See toimib mõnevõrra nagu sissetungimise tuvastamise süsteem, mis sisaldab rünnakute vältimiseks tulemüüri. See saadab võrgu- või süsteemiadministraatorile hoiatuse, kui tuvastatakse midagi kahtlast, võimaldades administraatoril valida sündmuse toimumise korral toimingu. Sissetungi ennetamise süsteemid suudavad jälgida tervet võrku, traadita võrgu protokolle, võrgu käitumist ja ühe arvuti liiklust. Iga IPS kasutab riskide analüüsimiseks spetsiifilisi tuvastamismeetodeid.
Sõltuvalt IPS-i mudelist ja selle funktsioonidest suudab sissetungitõkestussüsteem tuvastada erinevaid turvarikkumisi. Mõned suudavad tuvastada pahavara levikut võrgus, suurte failide kopeerimist kahe süsteemi vahel ja kahtlaste tegevuste, näiteks pordi skannimise, kasutamist. Pärast seda, kui IPS võrdleb probleemi oma turvareeglitega, logib see iga sündmuse ja dokumenteerib sündmuse sageduse. Kui võrguadministraator konfigureeris IPS-i juhtumi põhjal konkreetset toimingut sooritama, sooritab sissetungitõrjesüsteem määratud toimingu. Administraatorile saadetakse põhihoiatus, et ta saaks vajadusel asjakohaselt reageerida või vaadata IPS-i kohta lisateavet.
Sissetungi ennetamise süsteeme on neli üldist tüüpi, sealhulgas võrgupõhised, juhtmevabad, võrgukäitumise analüüsid ja hostipõhised. Võrgupõhine IPS analüüsib erinevaid võrguprotokolle ja seda kasutatakse tavaliselt kaugjuurdepääsu serverites, virtuaalse privaatvõrgu serverites ja ruuterites. Juhtmeta IPS jälgib kahtlasi tegevusi traadita võrgus ja otsib ka piirkonnas volitamata traadita võrke. Võrgukäitumise analüüs otsib ohte, mis võivad võrgu hävitada või pahavara levitada, ja seda kasutatakse tavaliselt Interneti-ühendust loovate privaatvõrkude puhul. Hostipõhine IPS töötab ühes süsteemis ja otsib kummalisi rakendusprotsesse, ebatavalist võrguliiklust hostile, failisüsteemi muutmist ja konfiguratsioonimuudatusi.
Sissetungi ennetamise süsteem saab kasutada kolme tuvastamismeetodit ja paljud süsteemid kasutavad kõigi kolme kombinatsiooni. Allkirjapõhine tuvastamine toimib hästi teadaolevate ohtude tuvastamiseks, kui võrrelda sündmust juba dokumenteeritud allkirjaga, et teha kindlaks, kas turvarikkumine on aset leidnud. Anomaaliapõhine tuvastamine otsib tegevust, mis on ebanormaalne võrreldes tavaliste sündmustega, mis toimuvad süsteemis või võrgus, ja on eriti kasulik tundmatute ohtude tuvastamiseks. Olekupõhine protokollianalüüs otsib tegevust, mis on vastuolus konkreetse protokolli tavapärase kasutamisega.