Os sistemas de prevenção de intrusões, do inglês Intrusion prevention systems
(IPS), evoluíram no final dos anos 1990 para resolver as ambiguidades
no monitoramento de rede passivo, ao colocar a detecção em linha. A
princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall
não bastava: ainda era possível que ao menos aquele pacote malicioso
trafegasse na rede. A solução era implementar formas inteligentes de
bloqueio dentro do IPS.
Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls
tradicionais trabalham. Entretanto, nada impede que, para otimizar a
performance, muitos IPS utilizem regras baseadas em portas e endereço
IP.
O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede.
Em alguns casos, as tecnologias podem ser complementares. Porém, não se
pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e,
hoje, pode tranquilamente exercer também as funções de host.
A vantagem de um sistema de prevenção de intrusos está em ser um
excelente detector de tráfego malicioso com uma média de falso positivo e
falso negativa baixa.
http://pt.wikipedia.org/wiki/Sistema_de_preven%C3%A7%C3%A3o_de_intrusos