Экран приложений. Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений application firewallIDS. Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью.
Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а в последствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер и переобучать при изменении конфигурации приложений. Гибридные коммутаторы. Есть технологии, которые объединят в себе экраны приложений и коммутаторы седьмого уровня это гибридные коммутаторы.
Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, в начале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при каждом изменении конфигурации системы. Ловушки. К категории IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в процесс нападения.
Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты. Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие.
При этом они не конкурируют с уже существующими средствами информационной безопасности межсетевыми экранами, IDS, антивирусами и др поскольку дополняют их.