3 - Sistema de Prevenção de Intrusos (IPS)

O IPS (Intrusion Prevention System) se diferencia do IDS pelo fato de ser ativo, ou seja, interfere diretamente nos eventos que passam por ele. Diferentemente o IDS, que é passivo, apenas monitora os eventos sem neles interferir.

O IPS é complemento do IDS, pois bloqueia a intrusão. Ele detecta e bloqueia a invasão

Os IPSs mais comuns são os de rede, que atuam em cima do tráfego de rede.

Na figura abaixo, podemos diferenciar um IDS de um IPS, por meio da sua localização na rede.

Posicionamento do IDS e do IPS
Fonte: Internet, 2015.

Na imagem podemos perceber que o tráfego passa diretamente pelo IPS (3), de modo que o sistema pode optar por não transmitir um tráfego adiante, caso suspeite que seja malicioso. Esse comportamento é diferente do comportamento do IDS (1), que apenas monitora o tráfego. Mesmo que o IDS tome uma ação, essa será reativa, pois não vai interferir no tráfego da rede. Veja que o firewall (2) encontra-se entre o IDS e o IPS.