Đợc cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lu lợng vào ra trên một máy tính, có thể đợc triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể đợc cài đặt trên nhiều dạng máy tính khác nhau cụ thể nh các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện đợc. Lu lợng đã gửi tới máy tính HIDS đợc phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS đợc thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.
-Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính nên linh hoạt hơn NIDS.
-Loại : software (phần mềm).
-Nhiệm vụ : phân tích lu lợng ra vào mạng chuyển tới máy tính cài đặt HIDS
-Ưu điểm :
-Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ ...
-Nhợc điểm : Đa số chạy trên hệ điều hành Window . Tuy nhiên cũng đã có 1 số chạy đợc trên Unix và những hệ điều hành khác.
Hình 2-: Mô hình HIDS
* Một số sản phẩm HIDS:
-Snort (Miễn phí, mã nguồn mở).
-GFI EventsManager 7.
Các kỹ thuật xử lý dữ liệu đợc sử dụng trong các hệ thống phát hiện xâm nhập:
Phụ thuộc vào kiểu phơng pháp đợc sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng đợc sử dụng cho dữ liệu đối với một IDS.
-Hệ thống Expert (Expert systems): Hệ thống này làm việc trên một tập các nguyên tắc đã đợc định nghĩa từ trớc để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều đợc kết hợp vào cuộc kiểm định và đợc dịch dới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (đợc phát triển tại AT&T).
-Phát hiện xâm nhập dựa trên luật (Rule-Based Intrusion Detection): Giống nh phơng pháp hệ thống Expert, phơng pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Nh vậy, dấu hiệu tấn công có thể đợc tìm thấy trong các bản ghi(record). Một kịch bản tấn công có thể đợc mô tả, ví dụ nh một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy đợc
trong cuộc kiểm định. Phơng pháp này sử dụng các từ tơng đơng trừu tợng của dữ liệu kiểm định. Sự phát hiện đợc thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thờng đợc sử dụng trong các hệ thống thơng mại (ví dụ nh: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)).
-Phân biệt ý định ngời dung (User intention identification): Kỹ thuật này mô hình hóa các hành vi thông thờng của ngời dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện đợc trên hệ thống (liên quan đến chức năng ngời dùng). Các nhiệm vụ đó thờng cần đến một số hoạt động đợc điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi ngời dùng. Bất cứ khi nào một sự không hợp lệ đợc phát hiện thì một cảnh báo sẽ đợc sinh ra.
-Phân tích trạng thái phiên (State-transition analysis): Một tấn công đợc miêu tả bằng một tập các mục tiêu và phiên cần đợc thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên đợc trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện đợc một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã đợc định trớc.
-Phơng pháp phân tích thống kê (Statistical analysis approach): Đây là phơng pháp thờng đợc sử dụng. Hành vi ngời dùng hay hệ thống (tập các thuộc tính) đợc tính theo một số biến thời gian. Ví dụ, các biến nh là: đăng nhập ngời dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU, Chu kỳ nâng cấp có thể thay đổi từ một…
vài phút đến một tháng. Hệ thống lu giá trị có nghĩa cho mỗi biến đợc sử dụng để phát hiện sự vợt quá ngỡng đợc định nghĩa từ trớc. Ngay cả phơng pháp đơn giản này cũng không thế hợp đợc với mô hình hành vi ngời dùng điển hình. Các phơng pháp dựa vào việc làm tơng quan thông tin về ngời dùng riêng lẻ với các biến nhóm đã đợc gộp lại cũng ít có hiệu quả. Vì vậy, một mô hình tinh vi hơn về hành vi ngời dùng đã đợc phát triển bằng cách sử dụng thông tin ngời dùng ngắn hạn hoặc dài hạn. Các thông tin này thờng xuyên đợc nâng cấp để bắt kịp
với thay đổi trong hành vi ngời dùng. Các phơng pháp thống kê thờng đợc sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi ngời dùng thông thờng.