Die IPS (Intrusion Prevention System)-Funktion überwacht alle System- und API-Aufrufe und blockiert solche, die Schäden anrichten könnten. Host Intrusion Prevention bestimmt, welcher Prozess einen Aufruf verwendet, den Sicherheitskontext, in dem der Prozess ausgeführt wird und die Ressource, auf die zugegriffen wird. Ein Treiber auf Kernel-Ebene, der umgeleitete Einträge in der Systemaufruftabelle im Benutzermodus erhält, überwacht die Systemaufrufkette. Wenn Aufrufe gemacht werden, vergleicht der Treiber die Aufrufanforderung mit einer Datenbank an kombinierten Signaturen und Verhaltensregeln, um zu bestimmen, ob eine Aktion erlaubt, blockiert oder protokolliert werden soll.