侵入防止システム (Intrusion Prevention System:IPS) 機能により、システム コールおよび API 呼び出しをすべて監視し、不正な動作を行う可能性のある呼び出しをブロックします。Host Intrusion Prevention では、呼び出しを行っているプロセス、そのプロセスが実行されているセキュリティ コンテキスト、アクセス先のリソースを判別します。ユーザモードのシステム コール テーブルにあるエントリをリダイレクトして受信するカーネルレベル ドライバは、一連のシステム コールを監視します。呼び出しが行われると、呼び出し要求に対してシグネチャの組み合わせおよび動作ルールのデータベースとの比較がドライバにより行われ、これによりアクションを許可するか、ブロックするか、ログへ記録するかが判断されます。