Detection System)
Hệ thống phát hiện xâm nhập Host (HIDS) là một ứng dụng hoạt động dựa trên thông tin đƣợc tập hợp từ những máy tính riêng lẻ. Điểm lợi thế này cho phép HIDS phân tích các hoạt động trên các host để theo dõi với mức độ chi tiết cao hơn. Nó có thể xác định quá trình hoặc user nào liên quan đến các
ra tấn công trên một máy bởi vì chúng có thể truy cập trực tiếp hoặc theo dõi các file dữ liệu và quá trình hệ thống. Cách khác, HIDS có thể dùng những nguồn thông tin theo hai kiểu, kiểm soát vận hành hệ thống và nhật ký hệ thống. Việc kiểm soát hệ điều hành hình thành ở mức trong cùng của hệ điều hành (nhân), bởi vậy nhật ký hệ thống bảo vệ tốt hơn và chi tiết hơn.
Hầu hết các phần mềm HIDS, thiết lập một file “kiểm kê số” và những thuộc tính của chúng. Và việc sử dụng những kiểm kê này nhƣ một đƣờng mốc cho việc theo dõi sự thay đổi của hệ thống. “Kiểm kê” thông thƣờng là một file chứa đựng các file kiểm tra cá nhân và các thƣ mục riêng đƣợc mã hóa bằng thuật toán MD5.
Sự giám sát HIDS đặc biệt quan trọng đối với phƣơng tiện truyền thông VoIP, proxy, registration server và nên xem xét các phần khởi đầu của việc thiết lập gói. Thật vậy, những nhà cung cấp nhƣ Cisco thậm chí đang làm cài đặt mặc định cho phần này vào các thiết bị của họ. Tuy nhiên HIDS không thể ngăn chặn tấn công DoS cũng nhƣ không thể phát hiện các cuộc dò quét mạng và HIDS cần tài nguyên trên host để hoạt động.