Một Host-Based IDS chỉ làm nhiệm vụ giám sát và ghi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ.
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện
được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng Unix và nhiều hệ điều hành khác. Một số dịch vụ cho phép admin theo dõi và giám sát như Syslog, File Fingerprinting, System Integrity Check và Systrace.
Ưu điểm:
Cài đặt trên nhiều dạng máy tính (PC, laptop, máy chủ…), phân tích lưu lượng mạng rồi mới forward, có khả năng xác định người dùng (user) liên quan tới sự kiện (event), HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này, có thể phân tích các dữ liệu đã mã hoá, cung cấp các thông tin về host trong khi cuộc tấn công đang diễn ra trên host này.
Nhược điểm:
Đa số chạy trên hệ điều hành Windows, tuy nhiên đã có một số chạy trên Unix và các hệ thống khác, thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công, khi hệ điều hành (OS) bị vô hiệu hóa do tấn công thì HIDS cũng bị vô hiệu hóa, HIDS phải được thiết kế trên từng host cần được giám sát, HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat, …), HIDS cần tài nguyên trên Host để hoạt động, HIDS có thể không hiệu quả khi bị DoS
Network - based và Host - based phổ biến và đáng tin cậy hơn, đã được các tổ chức, cơ quan… áp dụng nhiều hơn trong nhiều năm trong khi NBA xuất hiện sau này, một phần được phát triển để chống lại tấn công Ddos, một phần để giám sát hoạt động lưu lượng trong nội mang. IDS wireless được phát triển sau khi công nghệ wireless ra đời để quản lý lưu lượng trong mạng Wireless Local Area Network (WLAN) và để ngăn chặn các mối đe dọa xuất hiện trong mạng wireless. Vì lý do đó, trong phạm vi luận văn này sẽ chỉ nghiên cứu sâu về hai loại IDS phổ biến nhất hiện nay là Network - Based và Host - Based.